Machtigingen voor het weergeven en beheren van Azure-reserveringen
In dit artikel wordt uitgelegd hoe reserveringsmachtigingen werken en hoe gebruikers Azure-reserveringen kunnen bekijken en beheren in Azure Portal en met Azure PowerShell.
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Wie kunnen standaard een reservering beheren?
De volgende gebruikers kunnen standaard reserveringen weergeven en beheren:
- De persoon die een reservering koopt, en de accountbeheerder van het factureringsabonnement dat is gebruikt om de reservering te kopen, worden toegevoegd aan de reserveringsorder.
- Factureringsbeheerders van een Enterprise Agreement en Microsoft-klantovereenkomst.
- Gebruikers met verhoogde toegangsrechten om alle Azure-abonnementen en beheergroepen te beheren
- Een reserveringsbeheerder voor reserveringen in zijn of haar Microsoft Entra-tenant (directory)
- Een reserveringslezer heeft alleen-lezentoegang tot reserveringen in zijn of haar Microsoft Entra-tenant (directory)
De levenscyclus van de reservering is onafhankelijk van een Azure-abonnement, dus de reservering is geen resource onder het Azure-abonnement. In plaats daarvan is het een resource op tenantniveau met een eigen Azure RBAC-machtiging, gescheiden van abonnementen. Reserveringen erven geen rechten van abonnementen na de aankoop.
Reserveringen weergeven en beheren
Als u een factureringsbeheerder bent, gebruikt u de volgende stappen om alle reserveringen en reserveringstransacties in Azure Portal weer te geven en te beheren.
- De beheerder meldt zich aan bij Azure Portal en gaat naar Cost Management + Billing.
- Als u een EA-beheerder bent, selecteert u in het linkermenu Factureringsbereiken en selecteert u vervolgens een bereik in de lijst met factureringsbereiken.
- Als u de factureringsprofieleigenaar van een Microsoft-klantovereenkomst bent, selecteert u Factureringsprofielen in het linkermenu. Selecteer een profiel in de lijst met factureringsprofielen.
- In het linkermenu selecteert de beheerder de optie Producten en services>Reserveringen.
- De volledige lijst met reserveringen voor uw EA-inschrijvings- of factureringsprofiel wordt weergegeven.
- Factureringsbeheerders kunnen eigenaar worden van een reservering door een of meerdere reserveringen te selecteren, Toegang verlenen te selecteren en Toegang verlenen te selecteren in het venster dat verschijnt. Voor een Microsoft-klantovereenkomst moet de gebruiker zich in dezelfde Microsoft Entra-tenant (directory) bevinden als de reservering.
Factureringsbeheerders toevoegen
Voeg een gebruiker als factureringsbeheerder toe aan een Enterprise Agreement of Microsoft-klantovereenkomst in de Azure-portal.
- Voor een Enterprise Agreement voegt u gebruikers toe met de rol Ondernemingsbeheerder om alle reserveringsorders weer te geven en te beheren die van toepassing zijn op de Enterprise Agreement. Ondernemingsbeheerders kunnen reserveringen bekijken en beheren in Cost Management + Billing.
- Gebruikers met de rol Ondernemingsbeheerder (alleen-lezen) kunnen alleen de reservering bekijken vanuit Cost Management + Billing.
- Afdelingsbeheerders en accounteigenaars kunnen reserveringen niet weergeven, tenzij ze expliciet worden toegevoegd met behulp van IAM (Toegangsbeheer). Zie Azure Enterprise-rollen beheren voor meer informatie.
- Voor een Microsoft-klantovereenkomst kunnen gebruikers met de rol Eigenaar van factureringsprofiel of de rol Inzender van factureringsprofiel alle reserveringsaankopen beheren die zijn gedaan via het factureringsprofiel. Factureringsprofiellezers en factuurbeheerders kunnen alle reserveringen weergeven waarvoor is betaald met het factureringsprofiel. Ze kunnen echter geen wijzigingen aanbrengen in reserveringen. Zie Rollen en taken van een factureringsprofiel voor meer informatie.
Reserveringen weergeven met Azure RBAC-toegang
Als u de reservering hebt gekocht of als u aan een reservering bent toegevoegd, gebruikt u de volgende stappen om reserveringen in Azure Portal weer te geven en te beheren.
- Meld u aan bij het Azure-portaal.
- Selecteer Alle servicesreserveringen> om reserveringen weer te geven waartoe u toegang hebt.
Abonnementen en beheergroepen met verhoogde toegang beheren
U kunt de toegang van een gebruiker verhogen om alle Azure-abonnementen en beheergroepen te beheren.
Nadat u de toegang hebt verhoogd:
- Navigeer naar Alle servicesreservering> om alle reserveringen in de tenant weer te geven.
- Als u wijzigingen wilt aanbrengen in de reservering, voegt u uzelf toe als eigenaar van de reserveringsorder met behulp van Toegangsbeheer (IAM).
Toegang verlenen tot afzonderlijke reserveringen
Gebruikers met eigenaarstoegang voor de reserveringen en factureringsbeheerders kunnen toegangsbeheer delegeren voor een afzonderlijke reserveringsorder in Azure Portal.
U hebt twee opties om toe te staan dat andere personen reserveringen beheren:
Delegeer toegangsbeheer voor een afzonderlijke reserveringsorder door de rol Eigenaar toe te wijzen aan een gebruiker in het resourcebereik van de reserveringsorder. Als u beperkte toegang wilt verlenen, selecteert u een andere rol.
Raadpleeg Azure-rollen toewijzen met Azure Portal voor informatie over het toewijzen van rollen.Een gebruiker als factureringsbeheerder toevoegen aan een Enterprise Agreement of Microsoft-klantovereenkomst:
Voor een Enterprise Agreement voegt u gebruikers toe met de rol Ondernemingsbeheerder om alle reserveringsorders weer te geven en te beheren die van toepassing zijn op de Enterprise Agreement. Gebruikers met de rol Ondernemingsbeheerder (alleen lezen) kunnen de reservering alleen weergeven. Afdelingsbeheerders en accounteigenaars kunnen reserveringen niet weergeven, tenzij ze expliciet worden toegevoegd met behulp van IAM (Toegangsbeheer). Zie Azure Enterprise-rollen beheren voor meer informatie.
Ondernemingsbeheerders kunnen eigendom van een reserveringsorder overnemen, en ze kunnen andere gebruikers toevoegen aan een reservering met behulp van IAM (Toegangsbeheer).
Voor een Microsoft-klantovereenkomst kunnen gebruikers met de rol Eigenaar van factureringsprofiel of de rol Inzender van factureringsprofiel alle reserveringsaankopen beheren die zijn gedaan via het factureringsprofiel. Factureringsprofiellezers en factuurbeheerders kunnen alle reserveringen weergeven waarvoor is betaald met het factureringsprofiel. Ze kunnen echter geen wijzigingen aanbrengen in reserveringen. Zie Rollen en taken van een factureringsprofiel voor meer informatie.
Toegang verlenen met PowerShell
Gebruikers met eigenaarstoegang voor reserveringsorders, gebruikers met verhoogde toegang en beheerders van gebruikerstoegang kunnen toegangsbeheer delegeren voor alle reserveringsorders waartoe ze toegang hebben.
Toegang verleend met behulp van PowerShell wordt niet weergegeven in Azure Portal. In plaats daarvan gebruikt u de get-AzRoleAssignment
opdracht in de volgende sectie om toegewezen rollen weer te geven.
De rol van eigenaar toewijzen voor alle reserveringen
Gebruik het volgende Azure PowerShell-script om een gebruiker op rollen gebaseerd toegangsbeheer in te geven voor alle reserveringsorders in zijn of haar Microsoft Entra-tenant (directory).
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$reservationObjects = $responseJSON.value
foreach ($reservation in $reservationObjects)
{
$reservationOrderId = $reservation.id.substring(0, 84)
Write-Host "Assigning Owner role assignment to "$reservationOrderId
New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}
Wanneer u het PowerShell-script gebruikt om de eigendomsrol toe te wijzen en deze wordt uitgevoerd, wordt er geen bericht geretourneerd.
Parameters
-ObjectId Microsoft Entra ObjectId van de gebruiker, groep of service-principal.
- Type: Tekenreeks
- Aliassen: Id, PrincipalId
- Positie: benoemd
- Standaardwaarde: Geen
- Invoer van pijplijn accepteren: Waar
- Jokertekens accepteren: Onwaar
-TenantId-unieke id.
- Type: Tekenreeks
- Positie: 5
- Standaardwaarde: Geen
- Invoer van pijplijn accepteren: onwaar
- Jokertekens accepteren: Onwaar
Toegang op tenantniveau
Beheerdersrechten voor gebruikerstoegang zijn vereist voordat u gebruikers of groepen de rollen Reserveringsbeheerder en Reserveringslezer op tenantniveau kunt verlenen. Om beheerdersrechten op huurderniveau te krijgen, volg je de stappen van Toegang verhogen.
De rol Reserveringsbeheerder of Reserveringslezer toevoegen op tenantniveau
Alleen globale beheerders kunnen deze rollen toewijzen vanuit Azure Portal.
- Meld u aan bij de Azure Portal en navigeer naar Reserveringen.
- Selecteer een reservering waar u toegang tot hebt.
- Selecteer bovenaan de pagina Roltoewijzing.
- Selecteer het tabblad Rollen.
- Als u wijzigingen wilt aanbrengen, voegt u een gebruiker toe als reserveringsbeheerder of reserveringslezer met behulp van toegangsbeheer.
Een rol reserveringsbeheerder toevoegen op tenantniveau met behulp van een Azure PowerShell-script
Gebruik het volgende Azure PowerShell-script om een rol reserveringsbeheerder toe te voegen op tenantniveau met PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"
Parameters
-ObjectId Microsoft Entra ObjectId van de gebruiker, groep of service-principal.
- Type: Tekenreeks
- Aliassen: Id, PrincipalId
- Positie: benoemd
- Standaardwaarde: Geen
- Invoer van pijplijn accepteren: Waar
- Jokertekens accepteren: Onwaar
-TenantId-unieke id.
- Type: Tekenreeks
- Positie: 5
- Standaardwaarde: Geen
- Invoer van pijplijn accepteren: onwaar
- Jokertekens accepteren: Onwaar
Een rol reserveringslezer toewijzen op tenantniveau met behulp van een Azure PowerShell-script
Gebruik het volgende Azure PowerShell-script om de rol Reserveringslezer toe te wijzen op tenantniveau met PowerShell.
Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"
Parameters
-ObjectId Microsoft Entra ObjectId van de gebruiker, groep of service-principal.
- Type: Tekenreeks
- Aliassen: Id, PrincipalId
- Positie: benoemd
- Standaardwaarde: Geen
- Invoer van pijplijn accepteren: Waar
- Jokertekens accepteren: Onwaar
-TenantId-unieke id.
- Type: Tekenreeks
- Positie: 5
- Standaardwaarde: Geen
- Invoer van pijplijn accepteren: onwaar
- Jokertekens accepteren: Onwaar