Permissões para visualizar e gerir reservas do Azure

Este artigo explica como as permissões de reserva funcionam e como os utilizadores podem ver e gerir reservas do Azure no portal do Azure e com Azure PowerShell.

Nota

Recomendamos que utilize o módulo Azure Az PowerShell para interagir com o Azure. Consulte a instalação Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Quem pode gerir reservas por predefinição

Por predefinição, os utilizadores seguintes podem ver e gerir as reservas:

  • A pessoa que comprar uma reserva e o administrador de conta da subscrição de faturação utilizada para a compra são adicionados à encomenda da reserva.
  • Administradores de faturação do Contrato Enterprise e do Contrato de Cliente Microsoft.
  • Utilizadores com acesso melhorado para gerir todos os grupos de gestão e subscrições do Azure
  • Um administrador de reserva para reservas no seu Azure Ative Directory (Azure AD) inquilino (diretório)
  • Um leitor de reservas tem acesso apenas a reservas no seu inquilino Azure Ative Directory (diretório)

O ciclo de vida da reserva é independente de uma subscrição do Azure, pelo que a reserva não é um recurso sob a assinatura Azure. Em vez disso, é um recurso ao nível do inquilino com a sua própria permissão RBAC do Azure independente de subscrições. As reservas não herdam permissões de subscrições após a compra.

Ver e gerir reservas

Se você é um administrador de faturação, use os passos seguintes para ver e gerir todas as reservas e transações de reservas no portal do Azure.

  1. Iniciar sessão no portal do Azure e navegar para Cost Management + Faturação.
    • Se você é um administrador da EA, no menu esquerdo, selecione os âmbitos de faturação e, em seguida, na lista de âmbitos de faturação, selecione um.
    • Se tiver um perfil de faturação do Contrato de Cliente Microsoft, no menu do lado esquerdo, selecione Perfis de faturação. Na lista de perfis de faturação, selecione um.
  2. No menu esquerdo, selecionar Produtos + serviços>Reservas.
  3. É apresentada a lista completa de reservas para a sua inscrição ou perfil de faturação da EA.
  4. Os administradores de faturação podem apropriar-se de uma reserva selecionando uma ou múltiplas reservas, selecionando o acesso ao Grant e selecionando o acesso ao Grant na janela que aparece.

Adicionar administradores de faturação

Adicione um utilizador como administrador de faturação a um Contrato Enterprise ou Contrato de Cliente Microsoft no portal do Azure.

  • Num Contrato Enterprise, adicione utilizadores com a função Administrador do Enterprise para ver e gerir todas as encomendas de reservas que se aplicam a esse Contrato Enterprise. Os administradores da empresa podem ver e gerir reservas em Gestão de Custos + Faturação.
    • Os utilizadores com a função de Administrador Empresarial (leia apenas) só podem ver a reserva da Gestão de Custos + Faturação.
    • Os administradores de departamentos e os proprietários de conta não podem ver as reservas, a não ser que sejam adicionados explicitamente às mesmas com o Controlo de acesso (IAM). Para obter mais informações, veja Gerir funções empresariais do Azure.
  • Num Contrato de Cliente Microsoft, os utilizadores com a função de proprietário de perfil de faturação ou a função contribuidor de perfil de faturação podem gerir todas as compras de reservas feitas com o perfil de faturação. Os leitores de perfil de faturação e os gestores de faturas podem ver todas as reservas que são pagas com o perfil de faturação. No entanto, não podem fazer alterações às reservas. Para obter mais informações, veja Funções e tarefas do perfil de faturação.

Ver reservas com acesso a Azure RBAC

Se adquiriu a reserva ou se adicionou a uma reserva, use os seguintes passos para visualizar e gerir reservas no portal do Azure.

  1. Inicie sessão no portal do Azure.
  2. Selecione Todas asReservas de Serviços> para listar reservas às quais tenha acesso.

Gerir subscrições e grupos de gestão com acesso melhorado

Pode elevar o acesso de um utilizador para gerir todos os grupos de gestão e subscrições do Azure.

Depois de elevar o acesso:

  1. Navegue para Todos os Serviços>Reserva para ver todas as reservas que estão no inquilino.
  2. Para efetuar modificações na reserva, adicione-se como proprietário da ordem de reserva utilizando o controlo de acesso (IAM).

Conceder acesso a reservas individuais

Os utilizadores que tenham acesso ao proprietário nas reservas e administradores de faturação podem delegar a gestão de acesso para uma ordem de reserva individual no portal do Azure.

Para permitir que outras pessoas façam a gestão de reservas, tem duas opções:

  • Delegar a gestão de acesso para uma ordem de reserva individual, atribuindo a função de Proprietário a um utilizador no âmbito de recursos da ordem de reserva. Se quiser conceder acesso limitado, selecione uma função diferente.
    Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.

  • Adicionar um utilizador como administrador de faturação a um Contrato Enterprise ou Contrato de Cliente Microsoft:

    • Num Contrato Enterprise, adicione utilizadores com a função Administrador do Enterprise para ver e gerir todas as encomendas de reservas que se aplicam a esse Contrato Enterprise. Os utilizadores com a função Administrador do Enterprise (só de leitura) só podem ver a reserva. Os administradores de departamentos e os proprietários de conta não podem ver as reservas, a não ser que sejam adicionados explicitamente às mesmas com o Controlo de acesso (IAM). Para obter mais informações, veja Gerir funções empresariais do Azure.

      Os administradores Enterprise podem assumir a propriedade de uma encomenda de reserva e podem adicionar outros utilizadores a uma reserva com o Controlo de acesso (IAM).

    • Num Contrato de Cliente Microsoft, os utilizadores com a função de proprietário de perfil de faturação ou a função contribuidor de perfil de faturação podem gerir todas as compras de reservas feitas com o perfil de faturação. Os leitores de perfil de faturação e os gestores de faturas podem ver todas as reservas que são pagas com o perfil de faturação. No entanto, não podem fazer alterações às reservas. Para obter mais informações, veja Funções e tarefas do perfil de faturação.

Conceder acesso com PowerShell

Os utilizadores que tenham acesso ao proprietário para encomendas de reservas, utilizadores com acesso elevado e Administradores de Acesso ao Utilizador podem delegar a gestão de acesso para todas as ordens de reserva a que tenham acesso.

O acesso concedido através do PowerShell não é mostrado na portal do Azure. Em vez disso, utiliza o get-AzRoleAssignment comando na secção seguinte para visualizar as funções atribuídas.

Atribuir a função de proprietário para todas as reservas

Utilize o seguinte script do Azure PowerShell para dar a um utilizador RBAC do Azure acesso a todas as encomendas de reservas no inquilino do Azure Active Directory (diretório).


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Quando usa o script PowerShell para atribuir o papel de propriedade e funciona com sucesso, uma mensagem de sucesso não é devolvida.

Parâmetros

-ObjectId Azure AD ObjectId do utilizador, grupo ou principal de serviço.

  • Tipo: Cadeia
  • Pseudónimos: Id, DirectorId
  • Posição: Nomeado
  • Valor predefinido: Nenhum
  • Aceitar entrada de gasoduto: Verdadeiro
  • Aceitar personagens wildcard: Falso

-TenantId Inquilino identificador único.

  • Tipo: Cadeia
  • Posição: 5
  • Valor predefinido: Nenhum
  • Aceitar entrada do gasoduto: Falso
  • Aceitar personagens wildcard: Falso

Acesso ao nível do inquilino

Os direitos do Administrador de Acesso ao Utilizador são necessários antes de poder conceder aos utilizadores ou grupos as funções de Administrador de Reserva e Leitor de Reservas ao nível do arrendatário. Para obter os direitos de Administrador de Acesso ao Utilizador ao nível do inquilino, siga as etapas de acesso Elevate .

Adicione uma função de administrador de reserva ou papel de leitor de reservas ao nível do inquilino

Pode atribuir estes papéis a portal do Azure.

  1. Inicie sessão no portal do Azure e navegue para Reservas.
  2. No topo da página, selecione Role Assignment.
  3. Para efetuar modificações, adicione o utilizador como Administrador de Reservas ou Leitor de Reservas utilizando o controlo de Acesso.

Adicione uma função de administrador de reserva ao nível do inquilino usando Azure PowerShell script

Utilize o seguinte Azure PowerShell script para adicionar uma função de Administrador de Reserva ao nível do inquilino com o PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parâmetros

-ObjectId Azure AD ObjectId do utilizador, grupo ou principal de serviço.

  • Tipo: Cadeia
  • Pseudónimos: Id, DirectorId
  • Posição: Nomeado
  • Valor predefinido: Nenhum
  • Aceitar entrada de gasoduto: Verdadeiro
  • Aceitar personagens wildcard: Falso

-TenantId Inquilino identificador único.

  • Tipo: Cadeia
  • Posição: 5
  • Valor predefinido: Nenhum
  • Aceitar entrada do gasoduto: Falso
  • Aceitar personagens wildcard: Falso

Atribua um papel de Leitor de Reservas ao nível do inquilino usando Azure PowerShell script

Utilize o seguinte Azure PowerShell script para atribuir o papel de Leitor de Reservas ao nível do inquilino com o PowerShell.


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parâmetros

-ObjectId Azure AD ObjectId do utilizador, grupo ou principal de serviço.

  • Tipo: Cadeia
  • Pseudónimos: Id, DirectorId
  • Posição: Nomeado
  • Valor predefinido: Nenhum
  • Aceitar entrada de gasoduto: Verdadeiro
  • Aceitar personagens wildcard: Falso

-TenantId Inquilino identificador único.

  • Tipo: Cadeia
  • Posição: 5
  • Valor predefinido: Nenhum
  • Aceitar entrada do gasoduto: Falso
  • Aceitar personagens wildcard: Falso

Passos seguintes