Machtigingen voor het weergeven en beheren van Azure-reserveringen

In dit artikel wordt uitgelegd hoe reserveringsmachtigingen werken en hoe gebruikers Azure-reserveringen kunnen bekijken en beheren in Azure Portal en met Azure PowerShell.

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Wie kunnen standaard een reservering beheren?

De volgende gebruikers kunnen standaard reserveringen weergeven en beheren:

  • De persoon die een reservering koopt, en de accountbeheerder van het factureringsabonnement dat is gebruikt om de reservering te kopen, worden toegevoegd aan de reserveringsorder.
  • Factureringsbeheerders van een Enterprise Agreement en Microsoft-klantovereenkomst.
  • Gebruikers met verhoogde toegangsrechten om alle Azure-abonnementen en beheergroepen te beheren
  • Een reserveringsbeheerder voor reserveringen in hun Microsoft Entra-tenant (directory)
  • Een reserveringslezer heeft alleen-lezentoegang tot reserveringen in hun Microsoft Entra-tenant (directory)

De levenscyclus van de reservering is onafhankelijk van een Azure-abonnement, dus de reservering is geen resource onder het Azure-abonnement. In plaats daarvan is het een resource op tenantniveau met een eigen Azure RBAC-machtiging, gescheiden van abonnementen. Reserveringen nemen na de aankoop geen machtigingen over van abonnementen.

Reserveringen weergeven en beheren

Als u een factureringsbeheerder bent, gebruikt u de volgende stappen om alle reserveringen en reserveringstransacties in Azure Portal weer te geven en te beheren.

  1. De beheerder meldt zich aan bij Azure Portal en gaat naar Cost Management + Billing.
    • Als u een EA-beheerder bent, selecteert u in het linkermenu Factureringsbereiken en selecteert u vervolgens een bereik in de lijst met factureringsbereiken.
    • Als u de factureringsprofieleigenaar van een Microsoft-klantovereenkomst bent, selecteert u Factureringsprofielen in het linkermenu. Selecteer een profiel in de lijst met factureringsprofielen.
  2. In het linkermenu selecteert de beheerder de optie Producten en services>Reserveringen.
  3. De volledige lijst met reserveringen voor uw EA-inschrijving of factureringsprofiel wordt weergegeven.
  4. Factureringsbeheerders kunnen eigenaar worden van een reservering door een of meer reserveringen te selecteren, toegang verlenen te selecteren en toegang verlenen te selecteren in het venster dat wordt weergegeven. Voor een Microsoft-klantovereenkomst moet de gebruiker zich in dezelfde Microsoft Entra-tenant (directory) bevinden als de reservering.

Factureringsbeheerders toevoegen

Voeg een gebruiker als factureringsbeheerder toe aan een Enterprise Agreement of Microsoft-klantovereenkomst in de Azure-portal.

  • Voor een Enterprise Agreement voegt u gebruikers toe met de rol Ondernemingsbeheerder om alle reserveringsorders weer te geven en te beheren die van toepassing zijn op de Enterprise Agreement. Ondernemingsbeheerders kunnen reserveringen bekijken en beheren in Cost Management + Billing.
    • Gebruikers met de rol Enterprise Beheer istrator (alleen-lezen) kunnen alleen de reservering bekijken vanuit Cost Management + Billing.
    • Afdelingsbeheerders en accounteigenaars kunnen reserveringen niet weergeven, tenzij ze expliciet worden toegevoegd met behulp van IAM (Toegangsbeheer). Zie Azure Enterprise-rollen beheren voor meer informatie.
  • Voor een Microsoft-klantovereenkomst kunnen gebruikers met de rol Eigenaar van factureringsprofiel of de rol Inzender van factureringsprofiel alle reserveringsaankopen beheren die zijn gedaan via het factureringsprofiel. Factureringsprofiellezers en factuurbeheerders kunnen alle reserveringen weergeven waarvoor is betaald met het factureringsprofiel. Ze kunnen echter geen wijzigingen aanbrengen in reserveringen. Zie Rollen en taken van een factureringsprofiel voor meer informatie.

Reserveringen weergeven met Azure RBAC-toegang

Als u de reservering hebt gekocht of als u aan een reservering bent toegevoegd, gebruikt u de volgende stappen om reserveringen in Azure Portal weer te geven en te beheren.

  1. Meld u aan bij de Azure-portal.
  2. Selecteer Alle servicesreserveringen> om reserveringen weer te geven waartoe u toegang hebt.

Abonnementen en beheergroepen met verhoogde toegang beheren

U kunt de toegang van een gebruiker verhogen om alle Azure-abonnementen en beheergroepen te beheren.

Nadat u de toegang hebt verhoogd:

  1. Navigeer naar Alle servicesreservering> om alle reserveringen in de tenant weer te geven.
  2. Als u wijzigingen wilt aanbrengen in de reservering, voegt u uzelf toe als eigenaar van de reserveringsorder met behulp van Toegangsbeheer (IAM).

Toegang verlenen tot afzonderlijke reserveringen

Gebruikers met eigenaarstoegang voor de reserveringen en factureringsbeheerders kunnen toegangsbeheer delegeren voor een afzonderlijke reserveringsorder in Azure Portal.

U hebt twee opties om toe te staan dat andere personen reserveringen beheren:

  • Delegeer toegangsbeheer voor een afzonderlijke reserveringsorder door de rol Eigenaar toe te wijzen aan een gebruiker in het resourcebereik van de reserveringsorder. Als u beperkte toegang wilt verlenen, selecteert u een andere rol.
    Raadpleeg Azure-rollen toewijzen met Azure Portal voor informatie over het toewijzen van rollen.

  • Een gebruiker als factureringsbeheerder toevoegen aan een Enterprise Agreement of Microsoft-klantovereenkomst:

    • Voor een Enterprise Agreement voegt u gebruikers toe met de rol Ondernemingsbeheerder om alle reserveringsorders weer te geven en te beheren die van toepassing zijn op de Enterprise Agreement. Gebruikers met de rol Ondernemingsbeheerder (alleen lezen) kunnen de reservering alleen weergeven. Afdelingsbeheerders en accounteigenaars kunnen reserveringen niet weergeven, tenzij ze expliciet worden toegevoegd met behulp van IAM (Toegangsbeheer). Zie Azure Enterprise-rollen beheren voor meer informatie.

      Ondernemingsbeheerders kunnen eigendom van een reserveringsorder overnemen, en ze kunnen andere gebruikers toevoegen aan een reservering met behulp van IAM (Toegangsbeheer).

    • Voor een Microsoft-klantovereenkomst kunnen gebruikers met de rol Eigenaar van factureringsprofiel of de rol Inzender van factureringsprofiel alle reserveringsaankopen beheren die zijn gedaan via het factureringsprofiel. Factureringsprofiellezers en factuurbeheerders kunnen alle reserveringen weergeven waarvoor is betaald met het factureringsprofiel. Ze kunnen echter geen wijzigingen aanbrengen in reserveringen. Zie Rollen en taken van een factureringsprofiel voor meer informatie.

Toegang verlenen met PowerShell

Gebruikers met eigenaarstoegang voor reserveringsorders, gebruikers met verhoogde toegang en gebruikerstoegang Beheer beheerders kunnen toegangsbeheer delegeren voor alle reserveringsorders waartoe ze toegang hebben.

Toegang verleend met behulp van PowerShell wordt niet weergegeven in Azure Portal. In plaats daarvan gebruikt u de get-AzRoleAssignment opdracht in de volgende sectie om toegewezen rollen weer te geven.

De rol van eigenaar toewijzen voor alle reserveringen

Gebruik het volgende Azure PowerShell-script om een gebruiker Azure RBAC toegang te geven tot alle reserveringsorders in hun Microsoft Entra-tenant (directory).


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Wanneer u het PowerShell-script gebruikt om de eigendomsrol toe te wijzen en deze wordt uitgevoerd, wordt er geen bericht geretourneerd.

Parameters

-ObjectId Microsoft Entra ObjectId van de gebruiker, groep of service-principal.

  • Type: String
  • Aliassen: Id, PrincipalId
  • Positie: benoemd
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: Waar
  • Jokertekens accepteren: Onwaar

-TenantId-unieke id.

  • Type: String
  • Positie: 5
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: onwaar
  • Jokertekens accepteren: Onwaar

Toegang op tenantniveau

Gebruikerstoegang Beheer rechten zijn vereist voordat u gebruikers of groepen de rollen Reserveringen Beheer istrator en Reserveringslezer op tenantniveau kunt verlenen. Als u gebruikerstoegang wilt krijgen Beheer istrator-rechten op tenantniveau, volgt u de stappen voor toegang verhogen.

Een rol van reservering Beheer istrator of de rol Lezer van reserveringen toevoegen op tenantniveau

U kunt deze rollen toewijzen vanuit Azure Portal.

  1. Meld u aan bij de Azure Portal en navigeer naar Reserveringen.
  2. Selecteer een reservering waartoe u toegang hebt.
  3. Selecteer boven aan de pagina roltoewijzing.
  4. Selecteer het tabblad Rollen .
  5. Als u wijzigingen wilt aanbrengen, voegt u een gebruiker toe als een reserverings-Beheer istrator of reserveringslezer met behulp van toegangsbeheer.

Een rol reserverings-Beheer istrator toevoegen op tenantniveau met behulp van azure PowerShell-script

Gebruik het volgende Azure PowerShell-script om een reserveringsrol Beheer istrator toe te voegen op tenantniveau met PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parameters

-ObjectId Microsoft Entra ObjectId van de gebruiker, groep of service-principal.

  • Type: String
  • Aliassen: Id, PrincipalId
  • Positie: benoemd
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: Waar
  • Jokertekens accepteren: Onwaar

-TenantId-unieke id.

  • Type: String
  • Positie: 5
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: onwaar
  • Jokertekens accepteren: Onwaar

Een rol reserveringslezer toewijzen op tenantniveau met behulp van een Azure PowerShell-script

Gebruik het volgende Azure PowerShell-script om de rol Reserveringslezer toe te wijzen op tenantniveau met PowerShell.


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parameters

-ObjectId Microsoft Entra ObjectId van de gebruiker, groep of service-principal.

  • Type: String
  • Aliassen: Id, PrincipalId
  • Positie: benoemd
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: Waar
  • Jokertekens accepteren: Onwaar

-TenantId-unieke id.

  • Type: String
  • Positie: 5
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: onwaar
  • Jokertekens accepteren: Onwaar

Volgende stappen