Share via

Autorizzazioni per visualizzare e gestire i piani di risparmio di Azure

  • Articolo

Questo articolo illustra il funzionamento delle autorizzazioni per il piano di risparmio e spiega in che modo gli utenti possono visualizzare e gestire i piani di risparmio di Azure nel portale di Azure.

Utenti che possono gestire un piano di risparmio per impostazione predefinita

Due diversi metodi di autorizzazione controllano la capacità di un utente di visualizzare, gestire e delegare le autorizzazioni ai piani di risparmio. Sono ruoli di amministratore della fatturazione e ruoli del piano di risparmio del controllo degli accessi in base al ruolo.

Ruoli di amministratore fatturazione

È possibile visualizzare, gestire e delegare le autorizzazioni ai piani di risparmio usando i ruoli di amministratore della fatturazione predefiniti. Per altre informazioni sui ruoli di fatturazione Contratto del cliente Microsoft e Contratto Enterprise, vedere Informazioni sui ruoli amministrativi Contratto del cliente Microsoft in Azure e sulla gestione di Azure Contratto Enterprise ruoli rispettivamente.

Ruoli di amministratore della fatturazione necessari per le azioni del piano di risparmio

  • Visualizzare i piani di risparmio:
    • Contratto del cliente Microsoft: utenti con lettore profilo di fatturazione o versione successiva
    • Contratto Enterprise: utenti con amministratore dell'organizzazione (sola lettura) o versione successiva
    • Contratto Microsoft Partner: non supportato
  • Gestire i piani di risparmio (ottenuti delegando le autorizzazioni per il profilo di fatturazione completo/registrazione):
    • Contratto del cliente Microsoft: Utenti con collaboratore profilo di fatturazione o versione successiva
    • Contratto Enterprise: utenti con amministratore Contratto Enterprise o versione successiva
    • Contratto Microsoft Partner: non supportato
  • Delegare le autorizzazioni del piano di risparmio:
    • Contratto del cliente Microsoft: Utenti con collaboratore profilo di fatturazione o versione successiva
    • Contratto Enterprise: utenti con acquirente Contratto Enterprise o superiore
    • Contratto Microsoft Partner: non supportato

Visualizzare e gestire i piani di risparmio come amministratore della fatturazione

Se si è un utente del ruolo di fatturazione, seguire questa procedura per visualizzare e gestire tutti i piani di risparmio e le transazioni del piano di risparmio nel portale di Azure.

  1. Accedere al portale di Azure e passare a Gestione costi e fatturazione.
    • Se si usa un account Contratto Enterprise, nel menu a sinistra selezionare Ambiti di fatturazione. Nell'elenco degli ambiti di fatturazione selezionare quindi uno.
    • Se si usa un account Contratto del cliente Microsoft, nel menu a sinistra selezionare Profili di fatturazione. Nell'elenco dei profili di fatturazione, selezionarne uno.
  2. Nel menu a sinistra selezionare Prodotti e servizi>Piani di risparmio. Viene visualizzato l'elenco completo dei piani di risparmio per la registrazione Contratto Enterprise o Contratto del cliente Microsoft profilo di fatturazione.
  3. Gli utenti del ruolo di fatturazione possono assumere la proprietà di un piano di risparmio con l'ordine del piano di risparmio - Elevare i ruoli rest per assegnarsi ruoli controllo degli accessi in base al ruolo di Azure.

Aggiungere amministratori fatturazione

Aggiungere un utente come amministratore di fatturazione a un Contratto Enterprise o a un Contratto del cliente Microsoft nel portale di Azure.

  • Contratto Enterprise: aggiungere utenti con il ruolo di amministratore dell'organizzazione per visualizzare e gestire tutti gli ordini del piano di risparmio applicabili al Contratto Enterprise. Gli amministratori aziendali possono visualizzare e gestire i piani di risparmio in Gestione dei costi e fatturazione.
    • Gli utenti con ruolo amministratore dell'organizzazione (sola lettura) possono visualizzare solo il piano di risparmio di Gestione costi e fatturazione.
    • Gli amministratori del reparto e i proprietari degli account non possono visualizzare i piani di risparmio a meno che non vengano aggiunti in modo esplicito tramite controllo di accesso (IAM). Per altre informazioni, vedere Gestire i ruoli di Azure Enterprise.
  • Contratto del cliente Microsoft: gli utenti con il ruolo di proprietario del profilo di fatturazione o il ruolo collaboratore del profilo di fatturazione possono gestire tutti gli acquisti del piano di risparmio effettuati usando il profilo di fatturazione.
    • Gli utenti con il ruolo di lettore profilo di fatturazione e responsabile fatturazione possono visualizzare tutti i piani di risparmio pagati con il profilo di fatturazione. Non possono però apportare modifiche ai piani di risparmio. Per altre informazioni, vedere Ruoli e attività del profilo di fatturazione.

Ruoli controllo degli accessi in base al ruolo del piano di risparmio

Il ciclo di vita del piano di risparmio è indipendente da una sottoscrizione di Azure. I piani di risparmio non ereditano le autorizzazioni dalle sottoscrizioni dopo l'acquisto. I piani di risparmio sono una risorsa a livello di tenant con le proprie autorizzazioni di controllo degli accessi in base al ruolo di Azure.

Panoramica

Esistono quattro ruoli di controllo degli accessi in base al ruolo specifici del piano di risparmio:

  • Amministratore del piano di risparmio: consente la gestione di uno o più piani di risparmio in un tenant e la delega dei ruoli controllo degli accessi in base al ruolo ad altri utenti.
  • Acquirente del piano di risparmio: consente l'acquisto di piani di risparmio con una sottoscrizione specificata.
    • Consente l'acquisto di piani di risparmio o il commercio delle prenotazioni da parte di amministratori non fatturati e proprietari non di sottoscrizione.
    • L'acquisto del piano di risparmio da parte degli amministratori non fatturabili deve essere abilitato. Per altre informazioni, vedere Autorizzazioni per acquistare un piano di risparmio di Azure.
  • Collaboratore piano di risparmio: consente la gestione di uno o più piani di risparmio in un tenant, ma non la delega dei ruoli controllo degli accessi in base al ruolo ad altri utenti.
  • Lettore piano di risparmio: consente l'accesso in sola lettura a uno o più piani di risparmio in un tenant.

Questi ruoli possono essere limitati a un'entità risorsa specifica (ad esempio, sottoscrizione o piano di risparmio) o al tenant di Microsoft Entra (directory). Per altre informazioni sul controllo degli accessi in base al ruolo di Azure, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?.

Ruoli controllo degli accessi in base al ruolo del piano di risparmio necessari per le azioni del piano di risparmio

  • Visualizzare i piani di risparmio:
    • Ambito tenant: utenti con autorizzazioni di lettura piano di risparmio o versioni successive.
    • Ambito del piano di risparmio: lettore predefinito o superiore.
  • Gestire i piani di risparmio:
    • Ambito tenant: utenti con collaboratore piano di risparmio o superiore.
    • Ambito del piano di risparmio: ruoli di collaboratore o proprietario predefiniti o collaboratore del piano di risparmio o superiore.
  • Delegare le autorizzazioni del piano di risparmio:
    • Ambito del tenant: i diritti di amministratore di Accesso utenti sono necessari per concedere ruoli di controllo degli accessi in base al ruolo a tutti i piani di risparmio nel tenant. Per ottenere questi diritti, seguire la procedura Elevare l'accesso .
    • Ambito del piano di risparmio: amministratore del piano di risparmio o amministratore dell'accesso utente.

Inoltre, gli utenti che hanno ricoperto il ruolo di proprietario della sottoscrizione quando la sottoscrizione è stata usata per acquistare un piano di risparmio possono anche visualizzare, gestire e delegare le autorizzazioni per il piano di risparmio acquistato.

Visualizzare i piani di risparmio con accesso controllo degli accessi in base al ruolo

Se si dispone di ruoli di controllo degli accessi in base al ruolo specifici del piano di risparmio (amministratore del piano di risparmio, acquirente, collaboratore o lettore), piani di risparmio acquistati o aggiunti come proprietario ai piani di risparmio, seguire questa procedura per visualizzare e gestire i piani di risparmio nel portale di Azure.

  1. Accedere al portale di Azure.
  2. Selezionare Piani di risparmio casa>per elencare i piani di risparmio a cui si ha accesso.

Aggiungere ruoli controllo degli accessi in base al ruolo a utenti e gruppi

Per informazioni sulla delega dei ruoli controllo degli accessi in base al ruolo del piano di risparmio, vedere Delegare i ruoli controllo degli accessi in base al ruolo del piano di risparmio.

Gli amministratori aziendali possono assumere la proprietà di un ordine di piano di risparmio. Possono aggiungere altri utenti a un piano di risparmio usando Controllo di accesso (IAM).

Concedere l'accesso con PowerShell

Gli utenti che dispongono dell'accesso proprietario per gli ordini del piano di risparmio, gli utenti con accesso con privilegi elevati e gli amministratori di accesso utente possono delegare la gestione degli accessi per tutti gli ordini di piano di risparmio a cui hanno accesso.

L'accesso concesso tramite PowerShell non viene visualizzato nel portale di Azure. Per visualizzare i ruoli assegnati, si usa invece il comando get-AzRoleAssignment nella sezione seguente.

Assegnare il ruolo di proprietario per tutti i piani di risparmio

Per concedere a un utente il controllo degli accessi in base al ruolo di Azure a tutti gli ordini di piano di risparmio nel tenant di Microsoft Entra (directory), usare lo script di Azure PowerShell seguente:

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Quando si usa lo script di PowerShell per assegnare il ruolo di proprietà e viene eseguito correttamente, non viene restituito un messaggio di operazione riuscita.

Parametri

  • ObjectId: ID oggetto Microsoft Entra dell'utente, del gruppo o dell'entità servizio

    • Tipo: Stringa
    • Alias: Id, PrincipalId
    • Posizione: denominata
    • Valore predefinito: Nessuno
    • Accettare l'input della pipeline: True
    • Accettare caratteri jolly: False

  • TenantId: identificatore univoco del tenant

    • Tipo: Stringa
    • Posizione: 5
    • Valore predefinito: Nessuno
    • Accettare l'input della pipeline: False
    • Accettare caratteri jolly: False

Aggiungere un ruolo di amministratore del piano di risparmio a livello di tenant usando lo script di Azure PowerShell

Per aggiungere un ruolo di amministratore del piano di risparmio a livello di tenant con PowerShell, usare lo script di Azure PowerShell seguente:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Parametri

  • ObjectId: ID oggetto Microsoft Entra dell'utente, del gruppo o dell'entità servizio

    • Tipo: Stringa
    • Alias: Id, PrincipalId
    • Posizione: denominata
    • Valore predefinito: Nessuno
    • Accettare l'input della pipeline: True
    • Accettare caratteri jolly: False

  • TenantId: identificatore univoco del tenant

    • Tipo: Stringa
    • Posizione: 5
    • Valore predefinito: Nessuno
    • Accettare l'input della pipeline: False
    • Accettare caratteri jolly: False

Assegnare un ruolo di collaboratore del piano di risparmio a livello di tenant usando lo script di Azure PowerShell

Per assegnare il ruolo di collaboratore del piano di risparmio a livello di tenant con PowerShell, usare lo script di Azure PowerShell seguente:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Parametri

  • ObjectId: ID oggetto Microsoft Entra dell'utente, del gruppo o dell'entità servizio

    • Tipo: Stringa
    • Alias: Id, PrincipalId
    • Posizione: denominata
    • Valore predefinito: Nessuno
    • Accettare l'input della pipeline: True
    • Accettare caratteri jolly: False

  • TenantId: identificatore univoco del tenant

    • Tipo: Stringa
    • Posizione: 5
    • Valore predefinito: Nessuno
    • Accettare l'input della pipeline: False
    • Accettare caratteri jolly: False

Assegnare un ruolo lettore del piano di risparmio a livello di tenant usando lo script di Azure PowerShell

Per assegnare il ruolo lettore del piano di risparmio a livello di tenant con PowerShell, usare lo script di Azure PowerShell seguente:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Parametri

  • ObjectId: ID oggetto Microsoft Entra dell'utente, del gruppo o dell'entità servizio

    • Tipo: Stringa
    • Alias: Id, PrincipalId
    • Posizione: denominata
    • Valore predefinito: Nessuno
    • Accettare l'input della pipeline: True
    • Accettare caratteri jolly: False

  • TenantId: identificatore univoco del tenant

    • Tipo: Stringa
    • Posizione: 5
    • Valore predefinito: Nessuno
    • Accettare l'input della pipeline: False
    • Accettare caratteri jolly: False

Passaggi successivi