Concedere l'accesso per creare sottoscrizioni di Azure Enterprise (legacy)

In qualità di cliente di Azure con un Contratto Enterprise (EA), è possibile concedere a un altro utente o entità servizio l'autorizzazione per creare sottoscrizioni fatturate al proprio account. Questo articolo descrive come usare il controllo degli accessi in base al ruolo di Azure per condividere la capacità di creare sottoscrizioni e come controllare le creazioni di sottoscrizioni. È necessario disporre di un ruolo Proprietario per l'account da condividere.

Nota

• Questa API funziona solo con le API legacy per la creazione di sottoscrizioni.
• A meno che non sia necessario usare le API legacy, si consiglia di usare le informazioni relative alla versione con disponibilità generale più recente dell'API. Vedere Assegnazioni di ruolo dell'account di registrazione - Put per concedere l'autorizzazione a creare sottoscrizioni EA con l'API più recente.
• Se si esegue la migrazione per usare le API più recenti, è necessario concedere nuovamente le autorizzazioni di proprietario usando 2019-10-01-preview. La configurazione precedente eseguita con le API seguenti non viene convertita automaticamente per l'uso con le API più recenti.

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Concedi accesso

Per creare sottoscrizioni in un account di registrazione, gli utenti devono avere il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure in tale account. È possibile concedere a un utente o a un gruppo di utenti il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure in un account di registrazione seguendo questa procedura:

1. Ottenere l'ID oggetto dell'account di registrazione a cui si vuole concedere l'accesso

   Per concedere ad altri utenti il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure in un account di registrazione, è necessario essere il Proprietario dell'account o un Proprietario di Controllo degli accessi in base al ruolo di Azure dell'account.

   REST

   Richiesta per ottenere l'elenco di tutti gli account di registrazione a cui si può accedere:

   GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
   

   Azure risponde con un elenco di tutti gli account di registrazione a cui si ha accesso:

   {
     "value": [
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "SignUpEngineering@contoso.com"
         }
       },
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "BillingPlatformTeam@contoso.com"
         }
       }
     ]
   }
   

   Usare la proprietà principalName per identificare l'account per cui si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure. Copiare il valore name di tale account. Se, ad esempio, si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure l'accesso all'account di registrazione SignUpEngineering@contoso.com, copiare 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. È l'ID oggetto dell'account di registrazione. Incollare questo valore da qualche parte per poterlo usare nel passaggio successivo come enrollmentAccountObjectId.

   PowerShell

   Usare il cmdlet Get-AzEnrollmentAccount per elencare tutti gli account di registrazione a cui si ha accesso. Selezionare Prova per aprire Azure Cloud Shell. Per incollare il codice selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) le finestre della shell e selezionare Incolla.

   Get-AzEnrollmentAccount
   

   Azure risponde con un elenco degli account di registrazione a cui si ha accesso:

   ObjectId                               | PrincipalName
   747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | SignUpEngineering@contoso.com
   4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | BillingPlatformTeam@contoso.com
   

   Usare la proprietà principalName per identificare l'account per cui si vuole concedere l'accesso al Proprietario di Controllo degli accessi in base al ruolo di Azure. Copiare il valore ObjectId di tale account. Se, ad esempio, si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure l'accesso all'account di registrazione SignUpEngineering@contoso.com, copiare 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. Incollare l'ID oggetto da qualche parte per poterlo usare nel passaggio successivo come enrollmentAccountObjectId.

   Interfaccia della riga di comando di Azure

   Usare il comando az billing enrollment-account list per elencare tutti gli account di registrazione a cui si ha accesso. Selezionare Prova per aprire Azure Cloud Shell. Per incollare il codice selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) le finestre della shell e selezionare Incolla.

   az billing enrollment-account list
   

   Azure risponde con un elenco degli account di registrazione a cui si ha accesso:

   [
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "name": "747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "SignUpEngineering@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     },
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "BillingPlatformTeam@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     }
   ]
   

   Usare la proprietà principalName per identificare l'account per cui si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure. Copiare il valore name di tale account. Se, ad esempio, si vuole concedere al Proprietario di Controllo degli accessi in base al ruolo di Azure l'accesso all'account di registrazione SignUpEngineering@contoso.com, copiare 747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx. È l'ID oggetto dell'account di registrazione. Incollare questo valore da qualche parte per poterlo usare nel passaggio successivo come enrollmentAccountObjectId.

2. Ottenere l'ID oggetto dell'utente o gruppo a cui si vuole assegnare il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure

   1. Nel portale di Azure cercare Microsoft Entra ID.
   2. Se si vuole concedere l'accesso a un utente, scegliere Utenti dal menu a sinistra. Per concedere l'accesso a un gruppo, selezionare Gruppi.
   3. Selezionare l'utente o il gruppo a cui si vuole assegnare il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure.
   4. Se è stato selezionato un utente, l'ID oggetto sarà disponibile nella pagina Profilo. Se è stato selezionato un gruppo, l'ID oggetto sarà disponibile nella pagina Panoramica. Copiare il valore ObjectID selezionando l'icona alla destra della casella di testo. Incollare questo valore da qualche parte per poterlo usare nel passaggio successivo come userObjectId.

3. Concedere all'utente o al gruppo il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure nell'account di registrazione

   Usando i valori raccolti nei primi due passaggi, concedere all'utente o al gruppo il ruolo Proprietario di Controllo degli accessi in base al ruolo di Azure nell'account di registrazione.

   REST

   Eseguire questo comando, sostituendo <enrollmentAccountObjectId> con il valore name copiato nel primo passaggio (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Sostituire <userObjectId> con l'ID oggetto copiato dal secondo passaggio.

   PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01
   
   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>"
     }
   }
   

   Quando il ruolo di proprietario viene assegnato correttamente nell'ambito dell'account di registrazione, Azure risponde con le informazioni dell'assegnazione del ruolo:

   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>",
       "scope": "/providers/Microsoft.Billing/enrollmentAccounts/747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "createdOn": "2018-03-05T08:36:26.4014813Z",
       "updatedOn": "2018-03-05T08:36:26.4014813Z",
       "createdBy": "<assignerObjectId>",
       "updatedBy": "<assignerObjectId>"
     },
     "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
     "type": "Microsoft.Authorization/roleAssignments",
     "name": "<roleAssignmentGuid>"
   }
   

   PowerShell

   Eseguire questo comando New-AzRoleAssignment, sostituendo <enrollmentAccountObjectId> con il valore the ObjectId raccolto nel primo passaggio (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Sostituire <userObjectId> con l'ID oggetto raccolto nel secondo passaggio.

   New-AzRoleAssignment -RoleDefinitionName Owner -ObjectId <userObjectId> -Scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Interfaccia della riga di comando di Azure

   Eseguire questo comando az role assignment create, sostituendo <enrollmentAccountObjectId> con il valore name copiato nel primo passaggio (747ddfe5-xxxx-xxxx-xxxx-xxxxxxxxxxxx). Sostituire <userObjectId> con l'ID oggetto raccolto nel secondo passaggio.

   az role assignment create --role Owner --assignee-object-id <userObjectId> --scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Quando un utente diventa Proprietario di Controllo degli accessi in base al ruolo di Azure per l'account di registrazione, può creare sottoscrizioni a livello di codice in tale account. In una sottoscrizione creata da un utente delegato il proprietario dell'account originale è ancora amministratore del servizio, ma anche l'utente delegato è un Proprietario di Controllo degli accessi in base al ruolo di Azure per impostazione predefinita.

Controllo dei creatori delle sottoscrizioni mediante i log attività

Per monitorare le sottoscrizioni create tramite questa API, usare l'API del log attività del tenant. Attualmente non è possibile usare PowerShell, l'interfaccia della riga di comando o il portale di Azure per monitorare la creazione delle sottoscrizioni.

1. In qualità di amministratore del tenant di Microsoft Entra, elevare l'accesso quindi assegnare il ruolo di Lettore all'utente nominato al controllo dell'ambito /providers/microsoft.insights/eventtypes/management. Questo accesso è disponibile nel Ruolo con autorizzazioni di lettura, nel ruolo Collaboratore per il monitoraggio o in un ruolo personalizzato.

2. Come utente di controllo, chiamare l'API del log attività del tenant per visualizzare le attività di creazione della sottoscrizione. Esempio:

   GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
   

Per chiamare correttamente questa API dalla riga di comando, provare ARMClient.

Passaggi successivi

• Ora che l'utente o l'entità servizio dispone delle autorizzazioni necessarie per creare una sottoscrizione, è possibile usare tale identità per creare sottoscrizioni di Azure Enterprise a livello di codice.
• Per un esempio su come creare le sottoscrizioni che usano .NET, vedere l'esempio di codice su GitHub.
• Per altre informazioni su Azure Resource Manager e le relative API, vedere Panoramica di Azure Resource Manager.
• Per altre informazioni come gestire un numero elevato di sottoscrizioni usando i gruppi di gestione, vedere Organizzare le risorse con i gruppi di gestione di Azure
• Per una guida completa alle procedure consigliate per organizzazioni di grandi dimensioni sulla governance delle sottoscrizioni, vedere Scaffold Azure enterprise: governance prescrittiva per le sottoscrizioni