Partilhar via

Atribuir funções do acordo empresarial a entidades de serviço

Você pode gerenciar sua inscrição no Enterprise Agreement (EA) no portal do Azure. Você pode criar diferentes funções para gerenciar sua organização, exibir custos e criar assinaturas. Este artigo ajuda-o a automatizar algumas destas tarefas usando o Azure PowerShell e as APIs REST com os principais de serviço do Microsoft Entra ID.

Nota

Se a sua organização tiver várias contas de faturação EA, deve conceder os cargos de EA aos principais de serviço do Microsoft Entra ID individualmente em cada conta de faturação EA.

Antes de começar, certifique-se de que está familiarizado com os seguintes artigos:

Você precisa de uma maneira de chamar APIs REST. Algumas maneiras populares de consultar a API são:

Crie e autentique a sua entidade de serviço

Para automatizar ações EA usando um principal de serviço, é necessário criar uma identidade de aplicativo Microsoft Entra, que possa autenticar de maneira automatizada.

Siga os passos nestes artigos para criar e autenticar usando o seu service principal.

Aqui está um exemplo da página de registro do aplicativo.

Captura de ecrã de Registar uma aplicação.

Encontre o seu principal de serviço e IDs de tenant

Você precisa do ID do objeto do principal do serviço e do ID do inquilino. Você precisa dessas informações para operações de atribuição de permissão mais adiante neste artigo. Todas as aplicações estão registadas no Microsoft Entra ID no inquilino. Dois tipos de objetos são criados quando o registro do aplicativo é concluído:

  • Objeto de aplicativo - A ID do aplicativo é o que você vê em Aplicativos Corporativos. Não use o ID para conceder qualquer função EA.
  • Objeto de Principal de Serviço - O Objeto de Principal de Serviço é o que vê na janela de Registo Empresarial no Microsoft Entra ID. O ID do objeto é usado para conceder funções EA ao principal de serviço.

  1. Abra o Microsoft Entra ID e selecione Aplicativos corporativos.

  2. Encontre seu aplicativo na lista.

    Captura de ecrã a mostrar um exemplo de aplicação empresarial.

  3. Selecione o aplicativo para encontrar o ID do aplicativo e o ID do objeto:

    Captura de tela mostrando um ID de aplicativo e ID de objeto para um aplicativo empresarial.

  4. Vá para a página Visão Geral do Microsoft Entra ID para encontrar a ID do locatário.

    Captura de ecrã a mostrar o ID do inquilino.

Nota

O valor do ID do inquilino do seu Microsoft Entra assemelha-se a um GUID com o seguinte formato: aaaabbbb-0000-cccc-1111-dddd2222eeee.

Permissões que podem ser atribuídas ao principal do serviço

Mais adiante neste artigo, dá permissão à aplicação Microsoft Entra para atuar utilizando um papel EA. Você pode atribuir apenas as seguintes funções ao principal de serviço e precisa do ID de definição de função, exatamente como mostrado.

Função Ações permitidas ID da definição de função
Leitor de Inscrições Exiba dados nos escopos de inscrição, departamento e conta. Os dados contêm cobranças para todas as assinaturas dentro dos âmbitos, inclusive entre inquilinos. Pode exibir o saldo de Pré-pagamento do Azure (anteriormente chamado de compromisso monetário) associado à inscrição. 24F8EDB6-1668-4659-B5E2-40BB5F3A7D7E
Comprador de EA Compre ordens de reserva e visualize transações de reserva. Tem todas as permissões do EnrollmentReader, que têm todas as permissões do DepartmentReader. Pode ver a utilização e os encargos em todas as contas e subscrições. Pode exibir o saldo de Pré-pagamento do Azure (anteriormente chamado de compromisso monetário) associado à inscrição. da6647fb-7651-49ee-be91-c43c4877f0c4
DepartmentReader Descarregue os detalhes de utilização do departamento que administram. Pode ver a utilização e os encargos associados ao seu departamento. db609904-a47f-4794-9be8-9bd86fbffd8a
Criador de Subscrições Crie novas subscrições no âmbito determinado da Conta. A0BCEE42-BF30-4D1B-926A-48D21664EF71
Visualizador de Administração de Parceiros Visualize os dados de todas as inscrições na organização parceira. Essa função só está disponível para as seguintes APIs:
- Saldos
- Exportações V2 (somente versão da API 2025-03-01)
- Gerar relatório de detalhes de custo
- Plataformas de Mercado
- Ficha de preços de consumo
- Gestão de Custos Download da Ficha de Preços
- Gerar Relatório sobre os Detalhes da Reserva
- Resumos de Reservas
- Recomendações de Reservas
- Transações de Reserva		 4F6144C0-A809-4C55-B3C8-7F9B7B15A1BF

As seguintes funções de usuário são necessárias para atribuir cada função principal de serviço:

  • EnrollmentReader: o utilizador que está a atribuir deve ter a função de escritor de inscrição.
  • DepartmentReader: o utilizador que faz a atribuição deve ter a função de redator de inscrição ou redator de departamento.
  • SubscriptionCreator: o usuário atribuído deve ser o proprietário da conta de inscrição (administrador da conta EA).
  • Comprador de EA: o utilizador que está a atribuir deve ter a função de redator de registos.
  • Partner Admin Reader: o utilizador que está a atribuir deve ter a função de administrador de parceiro.

Todas essas funções são criadas por meios programáticos, não são mostradas no portal do Azure e são apenas para uso programático.

Ao conceder uma função EA a uma entidade de serviço, você deve usar a billingRoleAssignmentName propriedade necessária. O parâmetro é um GUID exclusivo que você deve fornecer. Você pode gerar um GUID usando o comando New-Guid PowerShell. Você também pode usar o site Online GUID / UUID Generator para gerar um GUID exclusivo.

Uma entidade de serviço só pode ter uma função.

Atribuir uma função à entidade de serviço

Siga estes passos para atribuir qualquer uma das funções suportadas a um principal de serviço:

  1. Use a REST API de Atribuição de Funções Put apropriada e selecione Testar. Encontre a API correta para usar na tabela abaixo. Captura de ecrã mostrando a opção Experimentar no artigo Colocar.

  2. Entre no locatário com o acesso necessário.

  3. Forneça os seguintes parâmetros em sua solicitação de API:

    • billingAccountName: O ID da conta de faturamento. Para a função de Leitor de Administrador de Parceiro, use o formato pcn.{PCN} (em que {PCN} é o Número de Cliente do Parceiro). Para todas as outras funções, use a ID de conta de cobrança padrão do portal do Azure.

    Captura de ecrã a mostrar o ID da conta de faturação.

    • billingRoleAssignmentName: Um GUID exclusivo que você gera (consulte New-Guid).
    • api-version: Utilizar 2019-10-01-preview salvo indicação em contrário.
    • Parâmetros do corpo da solicitação:
      • properties.principalId: O ID do objeto do principal de serviço.
      • properties.principalTenantId: O ID do inquilino.
      • properties.roleDefinitionId: Use o valor da tabela abaixo.
Função Função de usuário necessária para atribuir ID da definição de função Referência da API Observações
Leitor de Inscrições Escritor de Inscrições 24F8EDB6-1668-4659-B5E2-40BB5F3A7D7E Atribuições de Função - Colocar
Comprador de EA Escritor de Inscrições da6647fb-7651-49ee-be91-c43c4877f0c4 Atribuições de Função - Colocar
DepartmentReader Redator de inscrição ou redator de departamento db609904-a47f-4794-9be8-9bd86fbffd8a Atribuições de Funções do Departamento de Inscrição - Colocar Utilize o parâmetro departmentName.
Criador de Subscrições Proprietário da conta de inscrição (administrador da EA) A0BCEE42-BF30-4D1B-926A-48D21664EF71 Atribuições de Função na Conta de Inscrição - Enviar Utilize o parâmetro enrollmentAccountName.
Visualizador de Administração de Parceiros Administrador de Parceiros 4F6144C0-A809-4C55-B3C8-7F9B7B15A1BF Atribuições de Função - Colocar Use pcn.{PCN} para nomeDaContaDeFaturação.
  1. Selecione Executar para executar o comando.

Captura de tela mostrando uma atribuição de função de exemplo com informações de exemplo que estão prontas para serem executadas.

  1. Uma 200 OK resposta significa que o principal de serviço foi atribuído com êxito à função.

Verificar atribuições de função do principal de serviço

As atribuições de função principal de serviço não são visíveis no portal do Azure. Você pode visualizar atribuições de função da conta de inscrição, incluindo a função de criador de subscrição, utilizando a API de Atribuições de Função de Cobrança - Listar por Conta de Inscrição - REST API (Cobrança do Azure). Use a API para verificar se a atribuição de função foi bem-sucedida.

Solucionar problemas

Deve identificar e usar o ID do objeto da aplicação empresarial onde concedeu o papel EA. Se você usar o ID do objeto de algum outro aplicativo, as chamadas de API falharão. Verifique se você está usando a ID de objeto do aplicativo Enterprise correta.

Se você receber o seguinte erro ao fazer sua chamada de API, talvez esteja usando incorretamente o valor de ID do objeto principal de serviço localizado em Registros de Aplicativo. Para resolver este erro, assegure-se de que está a utilizar o ID do objeto do principal do serviço a partir de Aplicações Empresariais, e não de Registos de Aplicações.

The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid

Próximos passos

Comece a utilizar a sua conta de faturação do Enterprise Agreement.