Autorizzazioni per visualizzare e gestire le prenotazioni di Azure

Questo articolo illustra il funzionamento delle autorizzazioni di prenotazione e il modo in cui gli utenti possono visualizzare e gestire le prenotazioni di Azure nel portale di Azure e con Azure PowerShell.

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Chi può gestire una prenotazione per impostazione predefinita

Per impostazione predefinita, le prenotazioni possono essere visualizzate e gestite dagli utenti seguenti:

  • L'utente che acquista una prenotazione e l'amministratore account della sottoscrizione di fatturazione usata per acquistare la prenotazione vengono aggiunti all'ordine di prenotazione.
  • Amministratori fatturazione con Contratto Enterprise e Contratto del cliente Microsoft.
  • Utenti con privilegi di accesso elevati per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure
  • Amministratore delle prenotazioni per le prenotazioni nel tenant di Azure Active Directory (Azure AD) (directory)
  • Un lettore di prenotazione ha accesso in sola lettura alle prenotazioni nel tenant di Azure Active Directory (directory)

Il ciclo di vita della prenotazione è indipendente da una sottoscrizione di Azure, quindi la prenotazione non è una risorsa nella sottoscrizione di Azure. È invece una risorsa a livello di tenant con le proprie autorizzazioni di controllo degli accessi in base al ruolo di Azure separate dalle sottoscrizioni. Le prenotazioni non ereditano le autorizzazioni dalle sottoscrizioni dopo l'acquisto.

Visualizzare e gestire le prenotazioni

Se si è un amministratore della fatturazione, seguire questa procedura per visualizzare e gestire tutte le prenotazioni e le transazioni di prenotazione nel portale di Azure.

  1. Accedere al portale di Azure e passare a Gestione dei costi e fatturazione.
    • Se si è un amministratore EA, nel menu a sinistra selezionare Ambiti di fatturazione e quindi nell'elenco degli ambiti di fatturazione selezionare uno.
    • Se si è un proprietario del profilo di fatturazione del Contratto del cliente Microsoft, nel menu a sinistra selezionare Profili di fatturazione. Nell'elenco dei profili di fatturazione, selezionarne uno.
  2. Nel menu a sinistra selezionare Prodotti e servizi>Prenotazioni.
  3. Viene visualizzato l'elenco completo delle prenotazioni per la registrazione EA o il profilo di fatturazione.
  4. Gli amministratori di fatturazione possono assumere la proprietà di una prenotazione selezionando una o più prenotazioni, selezionando Concedi accesso e selezionando Concedi accesso nella finestra visualizzata.

Aggiungere amministratori di fatturazione

Aggiungere un utente come amministratore della fatturazione a un Contratto Enterprise o a un Contratto del cliente Microsoft nel portale di Azure.

  • Per un Contratto Enterprise, aggiungere gli utenti con il ruolo di Amministratore dell'organizzazione per visualizzare e gestire tutti gli ordini di prenotazione applicabili al Contratto Enterprise. Gli amministratori dell'organizzazione possono visualizzare e gestire le prenotazioni in Gestione costi e fatturazione.
    • Gli utenti con ruolo Amministratore organizzazione (sola lettura) possono visualizzare solo la prenotazione da Gestione costi e fatturazione.
    • Gli amministratori del reparto e i proprietari dell'account non possono visualizzare le prenotazioni a meno che non vengano aggiunti ad esse in modo esplicito tramite Controllo di accesso (IAM). Per altre informazioni, vedere Gestione dei ruoli Enterprise di Azure.
  • Per un Contratto del cliente Microsoft, gli utenti con il ruolo di proprietario del profilo di fatturazione o di collaboratore per il profilo di fatturazione possono gestire tutti gli acquisti di prenotazioni effettuati usando il profilo di fatturazione. Gli utenti con il ruolo di lettore profilo di fatturazione e responsabile fatturazione possono visualizzare tutte le prenotazioni pagate con il profilo di fatturazione. Non possono però apportare modifiche alle prenotazioni. Per altre informazioni, vedere Ruoli e attività del profilo di fatturazione.

Visualizzare le prenotazioni con l'accesso al controllo degli accessi in base al ruolo di Azure

Se è stata acquistata la prenotazione o si è aggiunta a una prenotazione, seguire questa procedura per visualizzare e gestire le prenotazioni nel portale di Azure.

  1. Accedere al portale di Azure.
  2. Selezionare Tutte le prenotazioni dei servizi> per elencare leprenotazioni a cui si ha accesso.

Gestire sottoscrizioni e gruppi di gestione con accesso con privilegi elevati

È possibile elevare i privilegi di accesso di un utente per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure.

Dopo aver elevato i privilegi di accesso:

  1. Passare a Prenotazione tutti i servizi>per visualizzare tutte le prenotazioni presenti nel tenant.
  2. Per apportare modifiche alla prenotazione, aggiungere se stessi come proprietario dell'ordine di prenotazione usando il controllo di accesso (IAM).

Concedere l'accesso a singole prenotazioni

Gli utenti con accesso proprietario alle prenotazioni e agli amministratori di fatturazione possono delegare la gestione degli accessi per un singolo ordine di prenotazione nel portale di Azure.

Per consentire ad altre persone di gestire le prenotazioni sono disponibili due opzioni:

  • Delegare la gestione degli accessi per un singolo ordine di prenotazione assegnando il ruolo Proprietario a un utente nell'ambito della risorsa dell'ordine di prenotazione. Se si vuole concedere un accesso limitato, selezionare un ruolo diverso.
    Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

  • Aggiungere un utente come amministratore della fatturazione a un Contratto Enterprise o a un Contratto del cliente Microsoft:

    • Per un Contratto Enterprise, aggiungere gli utenti con il ruolo di Amministratore dell'organizzazione per visualizzare e gestire tutti gli ordini di prenotazione applicabili al Contratto Enterprise. Gli utenti con il ruolo Amministratore dell'organizzazione (sola lettura) possono solo visualizzare la prenotazione. Gli amministratori del reparto e i proprietari dell'account non possono visualizzare le prenotazioni a meno che non vengano aggiunti ad esse in modo esplicito tramite Controllo di accesso (IAM). Per altre informazioni, vedere Gestione dei ruoli Enterprise di Azure.

      Gli amministratori dell'organizzazione possono assumere la proprietà di un ordine di prenotazione e aggiungere altri utenti a una prenotazione tramite Controllo di accesso (IAM).

    • Per un Contratto del cliente Microsoft, gli utenti con il ruolo di proprietario del profilo di fatturazione o di collaboratore per il profilo di fatturazione possono gestire tutti gli acquisti di prenotazioni effettuati usando il profilo di fatturazione. Gli utenti con il ruolo di lettore profilo di fatturazione e responsabile fatturazione possono visualizzare tutte le prenotazioni pagate con il profilo di fatturazione. Non possono però apportare modifiche alle prenotazioni. Per altre informazioni, vedere Ruoli e attività del profilo di fatturazione.

Concedere l'accesso con PowerShell

Gli utenti con accesso proprietario per gli ordini di prenotazioni, gli utenti con accesso con privilegi elevati e gli amministratori di Accesso utenti possono delegare la gestione degli accessi per tutti gli ordini di prenotazione a cui hanno accesso.

L'accesso concesso con PowerShell non viene visualizzato nella portale di Azure. Usare invece il get-AzRoleAssignment comando nella sezione seguente per visualizzare i ruoli assegnati.

Assegnare il ruolo di proprietario per tutte le prenotazioni

Usare lo script seguente di Azure PowerShell per concedere a un utente l'accesso Controllo degli accessi in base al ruolo di Azure a tutti gli ordini di prenotazione nel tenant (directory) di Azure AD.


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Quando si usa lo script di PowerShell per assegnare il ruolo di proprietà e viene eseguito correttamente, non viene restituito un messaggio di operazione riuscita.

Parametri

-Objectid ObjectId di Azure AD dell'utente, del gruppo o dell'entità servizio.

  • Tipo: String
  • Alias: Id, PrincipalId
  • Posizione: denominata
  • Valore predefinito: Nessuno
  • Accettare l'input della pipeline: True
  • Accettare caratteri jolly: False

-TenantId Identificatore univoco del tenant.

  • Tipo: String
  • Posizione: 5
  • Valore predefinito: Nessuno
  • Accettare l'input della pipeline: False
  • Accettare caratteri jolly: False

Accesso a livello di tenant

I diritti di amministratore accesso utenti sono necessari prima di poter concedere agli utenti o ai gruppi i ruoli Amministratore prenotazione e Lettore prenotazioni a livello di tenant. Per ottenere i diritti di amministratore accesso utenti a livello di tenant, seguire la procedura Elevare l'accesso .

Aggiungere un ruolo di amministratore della prenotazione o di lettore di prenotazioni a livello di tenant

È possibile assegnare questi ruoli da portale di Azure.

  1. Accedere al portale di Azure e passare a Prenotazioni.
  2. Nella parte superiore della pagina selezionare Assegnazione di ruolo.
  3. Per apportare modifiche, aggiungere l'utente come amministratore della prenotazione o lettore di prenotazioni usando il controllo di accesso.

Aggiungere un ruolo di amministratore della prenotazione a livello di tenant usando Azure PowerShell script

Usare lo script di Azure PowerShell seguente per aggiungere un ruolo di amministratore della prenotazione a livello di tenant con PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parametri

-Objectid ObjectId di Azure AD dell'utente, del gruppo o dell'entità servizio.

  • Tipo: String
  • Alias: Id, PrincipalId
  • Posizione: denominata
  • Valore predefinito: Nessuno
  • Accettare l'input della pipeline: True
  • Accettare caratteri jolly: False

-TenantId Identificatore univoco del tenant.

  • Tipo: String
  • Posizione: 5
  • Valore predefinito: Nessuno
  • Accettare l'input della pipeline: False
  • Accettare caratteri jolly: False

Assegnare un ruolo di lettore di prenotazioni a livello di tenant usando Azure PowerShell script

Usare lo script di Azure PowerShell seguente per assegnare il ruolo Con autorizzazioni di lettura prenotazione a livello di tenant con PowerShell.


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parametri

-Objectid ObjectId di Azure AD dell'utente, del gruppo o dell'entità servizio.

  • Tipo: String
  • Alias: Id, PrincipalId
  • Posizione: denominata
  • Valore predefinito: Nessuno
  • Accettare l'input della pipeline: True
  • Accettare caratteri jolly: False

-TenantId Identificatore univoco del tenant.

  • Tipo: String
  • Posizione: 5
  • Valore predefinito: Nessuno
  • Accettare l'input della pipeline: False
  • Accettare caratteri jolly: False

Passaggi successivi