Delen via

Machtigingen voor het weergeven en beheren van Azure-besparingsplannen

In dit artikel wordt uitgelegd hoe machtigingen voor spaarplannen werken en hoe gebruikers Azure-spaarplannen kunnen bekijken en beheren in Azure Portal.

Wie standaard een besparingsplan kan beheren

Twee verschillende autorisatiemethoden bepalen de mogelijkheid van een gebruiker om machtigingen voor besparingen te bekijken, beheren en delegeren. Het gaat om rollen voor factureringsbeheer en rollen voor toegangsbeheer op basis van rollen (RBAC).

Rollen van factureringsbeheerder

U kunt machtigingen voor spaarplannen weergeven, beheren en delegeren met behulp van ingebouwde factureringsbeheerdersrollen. Zie Begrijp de beheerdersrollen binnen Microsoft-klantovereenkomst in Azure en Beheer respectievelijk de rollen van Azure Enterprise Agreement.

Factureringsbeheerdersrollen die vereist zijn voor acties voor spaarplannen

  • Spaarplannen weergeven:
    • Microsoft-klantovereenkomst: Gebruikers met de lezer van het factureringsprofiel of hoger
    • Enterprise-overeenkomst: gebruikers met enterprise-beheerder (alleen-lezen) of hoger
    • Microsoft Partner-overeenkomst: niet ondersteund
  • Besparingsplannen beheren (door machtigingen te delegeren voor het volledige factureringsprofiel of inschrijving):
    • Microsoft-klantovereenkomst: Gebruikers met factureringsprofiel bijdragerniveau of hoger
    • Enterprise-overeenkomst: gebruikers met een Enterprise-overeenkomst beheerder of hoger
    • Microsoft Partner-overeenkomst: niet ondersteund
  • Machtigingen voor besparingenplan delegeren:
    • Microsoft-klantovereenkomst: Gebruikers met factureringsprofiel bijdragerniveau of hoger
    • Enterprise-overeenkomst: Gebruikers met Enterprise-overeenkomst aankoper of hoger
    • Microsoft Partner-overeenkomst: niet ondersteund

Spaarplannen weergeven en beheren als factureringsbeheerder

Als u een factureringsrolgebruiker bent, volgt u deze stappen om alle spaarplannen en spaarplantransacties in Azure Portal weer te geven en te beheren.

  1. Meld u aan bij Azure Portal en ga naar Cost Management + Billing.
    • Als u een Enterprise Agreement-account heeft, selecteert u factureringsgebieden in het linkermenu. Selecteer er vervolgens een in de lijst met factureringsbereiken.
    • Als u zich onder een Microsoft-klantovereenkomst account bevindt, selecteert u factureringsprofielen in het linkermenu. Selecteer een profiel in de lijst met factureringsprofielen.
  2. Selecteer producten en services>spaarplannen in het linkermenu. De volledige lijst met spaarplannen voor uw Enterprise Overeenkomst-inschrijving of Microsoft-klantovereenkomst factureringsprofiel wordt weergegeven.
  3. Gebruikers van de factureringsrol kunnen eigenaar worden van een spaarplan met de Savings Plan Order - Elevate REST API om zichzelf Azure RBAC-rollen toe te wijzen.

Factureringsbeheerders toevoegen

Voeg een gebruiker toe als factureringsbeheerder aan een Enterprise Overeenkomst of een Microsoft-klantovereenkomst in Azure Portal.

  • Enterprise Overeenkomst: Voeg gebruikers toe met de rol Ondernemingsbeheerder om alle orders voor het spaarplan weer te geven en te beheren die van toepassing zijn op de Enterprise Overeenkomst. Ondernemingsbeheerders kunnen besparingsplannen bekijken en beheren in Kostenbeheer en facturering.
    • Gebruikers met de rol Ondernemingsbeheerder (alleen-lezen) kunnen alleen het besparingsplan bekijken van Cost Management + Billing.
    • Afdelingsbeheerders en accounteigenaren kunnen geen spaarplannen weergeven, tenzij ze expliciet aan hen worden toegevoegd met behulp van Toegangsbeheer (IAM). Zie Azure Enterprise-rollen beheren voor meer informatie.
  • Microsoft-klantovereenkomst: Gebruikers met de rol eigenaar van het factureringsprofiel of de rol van inzender voor factureringsprofielen kunnen alle aankopen van het spaarplan beheren met behulp van het factureringsprofiel.
    • Factureringsprofiellezers en factuurbeheerders kunnen alle besparingsplannen bekijken waarvoor is betaald met het factureringsprofiel. Ze kunnen echter geen wijzigingen aanbrengen in besparingsplannen. Zie Rollen en taken van een factureringsprofiel voor meer informatie.

RBAC-rollen voor spaarplannen

De levenscyclus van het spaarplan is onafhankelijk van een Azure-abonnement. Besparingsplannen nemen na de aankoop geen machtigingen over van abonnementen. Spaarplannen zijn een resource op tenantniveau met hun eigen Azure RBAC-machtigingen.

Overzicht

Er zijn vier spaarplanspecifieke RBAC-rollen:

  • Besparingsplanbeheerder: hiermee kunt u een of meer spaarplannen in een tenant beheren en RBAC-rollen delegeren aan andere gebruikers.
  • Koper van spaarplannen: hiermee kunt u spaarplannen kopen met een opgegeven abonnement.
    • Hiermee kunnen besparingsplannen worden aangeschaft of kunnen niet-facturerende beheerders en niet-abonneehouders reserveringen inruilen.
    • Aankoop van spaarplannen door niet-facturerende beheerders moet zijn ingeschakeld. Zie Machtigingen voor het kopen van een Azure-spaarplan voor meer informatie.
  • Inzender voor besparingen: hiermee kunt u een of meer spaarplannen in een tenant beheren, maar geen RBAC-rollen delegeren aan andere gebruikers.
  • Spaarplanlezer: staat alleen-lezentoegang toe tot een of meer spaarplannen in een tenant.

Deze rollen kunnen worden toegewezen aan een specifieke resource-entiteit (bijvoorbeeld een abonnement of spaarplan) of de Microsoft Entra-tenant (directory). Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)? voor meer informatie over Azure RBAC.

RBAC-rollen vereist voor spaarplanactions

  • Spaarplannen weergeven:
    • Tenantbereik: Gebruikers met lezer van spaarplan of hoger.
    • Bereik besparingsplan: ingebouwde lezer of hoger.
  • Spaarplannen beheren:
    • Tenantbereik: Gebruikers met bijdrager voor spaarplannen of hoger.
    • Besparingsplanbereik: ingebouwde rollen van bijdrager of eigenaar, of bijdrager bij het besparingsplan of hoger.
  • Machtigingen voor besparingenplan delegeren:
    • Tenantbereik: Beheerdersrechten voor gebruikerstoegang zijn vereist om RBAC-rollen toe te kennen aan alle spaarplannen in de tenant. Volg de stappen voor toegang verhogen om deze rechten te verkrijgen.
    • Toepassingsgebied van het spaarplan: Beheerder van het spaarplan of beheerder van gebruikerstoegang.

Daarnaast kunnen gebruikers die de rol van abonnementseigenaar hebben wanneer het abonnement is gebruikt om een spaarplan aan te schaffen, ook machtigingen voor het aangeschafte spaarplan bekijken, beheren en delegeren.

Besparingsplannen weergeven met RBAC-toegang

Als u spaarplanspecifieke RBAC-rollen hebt (spaarplanbeheerder, koper, inzender of lezer), aangeschafte spaarplannen of als eigenaar aan spaarplannen zijn toegevoegd, volgt u deze stappen om spaarplannen in Azure Portal weer te geven en te beheren.

  1. Meld u aan bij het Azure-portaal.
  2. Selecteer Home>Spaarplannen om de spaarplannen weer te geven waartoe u toegang hebt.

RBAC-rollen toevoegen aan gebruikers en groepen

Zie RBAC-rollen delegeren voor spaarplannen voor meer informatie over het delegeren van RBAC-rollen.

Ondernemingsbeheerders kunnen eigenaar worden van een order voor een spaarplan. Ze kunnen andere gebruikers toevoegen aan een spaarplan met behulp van Toegangsbeheer (IAM).

Toegang verlenen met PowerShell

Gebruikers die eigenaarstoegang hebben voor orders voor spaarplannen, gebruikers met verhoogde toegang en beheerders van gebruikerstoegang, kunnen toegangsbeheer delegeren voor alle orders voor spaarplannen waartoe ze toegang hebben.

Toegang verleend met behulp van PowerShell wordt niet weergegeven in Azure Portal. In plaats daarvan gebruikt u de get-AzRoleAssignment opdracht in de volgende sectie om toegewezen rollen weer te geven.

De rol van eigenaar toewijzen voor alle spaarplannen

Gebruik het volgende Azure PowerShell-script om een gebruiker Azure RBAC toegang te geven tot alle orders voor een spaarplan in hun Microsoft Entra-tenant (directory):

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Wanneer u het PowerShell-script gebruikt om de eigendomsrol toe te wijzen en dit succesvol wordt uitgevoerd, wordt er geen succesbericht geretourneerd.

Parameters

  • ObjectId: Microsoft Entra-object-id van de gebruiker, groep of service-principal

    • Type: String
    • Aliassen: Id, PrincipalId
    • Positie: genoemd
    • Standaardwaarde: Geen
    • Pijplijninvoer accepteren: True
    • Jokertekens accepteren: Onwaar

  • TenantId: unieke tenant-id

    • Type: String
    • Positie: 5
    • Standaardwaarde: Geen
    • Accepteren van pijplijninvoer: Niet waar
    • Jokertekens accepteren: Onwaar

Een beheerdersrol voor een spaarplan toevoegen op tenantniveau met behulp van een Azure PowerShell-script

Als u een beheerdersrol voor een spaarplan wilt toevoegen op tenantniveau met PowerShell, gebruikt u het volgende Azure PowerShell-script:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Parameters

  • ObjectId: Microsoft Entra-object-id van de gebruiker, groep of service-principal

    • Type: String
    • Aliassen: Id, PrincipalId
    • Positie: genoemd
    • Standaardwaarde: Geen
    • Pijplijninvoer accepteren: True
    • Jokertekens accepteren: Onwaar

  • TenantId: unieke tenant-id

    • Type: String
    • Positie: 5
    • Standaardwaarde: Geen
    • Accepteren van pijplijninvoer: Niet waar
    • Jokertekens accepteren: Onwaar

Een rol van inzender voor een spaarplan toewijzen op tenantniveau met behulp van een Azure PowerShell-script

Gebruik het volgende Azure PowerShell-script om de rol inzender voor het spaarplan toe te wijzen op tenantniveau met PowerShell:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Parameters

  • ObjectId: Microsoft Entra-object-id van de gebruiker, groep of service-principal

    • Type: String
    • Aliassen: Id, PrincipalId
    • Positie: genoemd
    • Standaardwaarde: Geen
    • Pijplijninvoer accepteren: True
    • Jokertekens accepteren: Onwaar

  • TenantId: unieke tenant-id

    • Type: String
    • Positie: 5
    • Standaardwaarde: Geen
    • Accepteren van pijplijninvoer: Niet waar
    • Jokertekens accepteren: Onwaar

Een lezerrol voor een spaarplan toewijzen op tenantniveau met behulp van een Azure PowerShell-script

Gebruik het volgende Azure PowerShell-script om de rol van lezer van het spaarplan toe te wijzen op tenantniveau met PowerShell:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Parameters

  • ObjectId: Microsoft Entra-object-id van de gebruiker, groep of service-principal

    • Type: String
    • Aliassen: Id, PrincipalId
    • Positie: genoemd
    • Standaardwaarde: Geen
    • Pijplijninvoer accepteren: True
    • Jokertekens accepteren: Onwaar

  • TenantId: unieke tenant-id

    • Type: String
    • Positie: 5
    • Standaardwaarde: Geen
    • Accepteren van pijplijninvoer: Niet waar
    • Jokertekens accepteren: Onwaar

Volgende stappen