Permissões para exibir e gerenciar reservas do Azure

Este artigo explica como as permissões de reserva funcionam e como os usuários podem exibir e gerenciar reservas do Azure no portal do Azure e com o Azure PowerShell.

Nota

Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Quem pode gerir reservas por predefinição

Por predefinição, os utilizadores seguintes podem ver e gerir as reservas:

• A pessoa que comprar uma reserva e o administrador de conta da subscrição de faturação utilizada para a compra são adicionados à encomenda da reserva.
• Administradores de faturação do Contrato Enterprise e do Contrato de Cliente Microsoft.
• Utilizadores com acesso melhorado para gerir todos os grupos de gestão e subscrições do Azure
• Um Administrador de reservas para as reservas do seu inquilino do Microsoft Entra (diretório)
• Um Leitor de reservas tem acesso só de leitura às reservas no inquilino do Microsoft Entra (diretório)

O ciclo de vida da reserva é independente de uma assinatura do Azure, portanto, a reserva não é um recurso sob a assinatura do Azure. Em vez disso, é um recurso ao nível do inquilino com a sua própria permissão RBAC do Azure independente de subscrições. As reservas não herdam permissões de subscrições após a compra.

Ver e gerir reservas

Se você for um administrador de cobrança, use as etapas a seguir para exibir e gerenciar todas as reservas e transações de reserva no portal do Azure.

1. Iniciar sessão no portal do Azure e navegar para Cost Management + Faturação.
   • Se você for um administrador da EA, no menu à esquerda, selecione Escopos de faturamento e, na lista de escopos de faturamento, selecione um.
   • Se tiver um perfil de faturação do Contrato de Cliente Microsoft, no menu do lado esquerdo, selecione Perfis de faturação. Na lista de perfis de faturação, selecione um.
2. No menu esquerdo, selecionar Produtos + serviços>Reservas.
3. A lista completa de reservas para sua inscrição EA ou perfil de faturamento é mostrada.
4. Os administradores de cobrança podem assumir a propriedade de uma reserva selecionando uma ou várias reservas, selecionando Conceder acesso e selecionando Conceder acesso na janela exibida. Para um Contrato de Cliente Microsoft, o usuário deve estar no mesmo locatário (diretório) do Microsoft Entra que a reserva.

Adicionar administradores de faturação

Adicione um utilizador como administrador de faturação a um Contrato Enterprise ou Contrato de Cliente Microsoft no portal do Azure.

• Num Contrato Enterprise, adicione utilizadores com a função Administrador do Enterprise para ver e gerir todas as encomendas de reservas que se aplicam a esse Contrato Enterprise. Os administradores empresariais podem visualizar e gerir reservas em Gestão de Custos + Faturação.
  • Os utilizadores com a função de Administrador Empresarial (só de leitura) só podem ver a reserva a partir de Gestão de Custos + Faturação.
  • Os administradores de departamentos e os proprietários de conta não podem ver as reservas, a não ser que sejam adicionados explicitamente às mesmas com o Controlo de acesso (IAM). Para obter mais informações, veja Gerir funções empresariais do Azure.
• Num Contrato de Cliente Microsoft, os utilizadores com a função de proprietário de perfil de faturação ou a função contribuidor de perfil de faturação podem gerir todas as compras de reservas feitas com o perfil de faturação. Os leitores de perfil de faturação e os gestores de faturas podem ver todas as reservas que são pagas com o perfil de faturação. No entanto, não podem fazer alterações às reservas. Para obter mais informações, veja Funções e tarefas do perfil de faturação.

Exibir reservas com acesso ao Azure RBAC

Se você comprou a reserva ou foi adicionado a uma reserva, use as etapas a seguir para exibir e gerenciar reservas no portal do Azure.

1. Inicie sessão no portal do Azure.
2. Selecione Todas as reservas de serviços>para listar as reservas às quais você tem acesso.

Gerir subscrições e grupos de gestão com acesso melhorado

Pode elevar o acesso de um utilizador para gerir todos os grupos de gestão e subscrições do Azure.

Depois de elevar o acesso:

1. Navegue até Reserva de Todos os Serviços>para ver todas as reservas que estão no locatário.
2. Para fazer modificações na reserva, adicione-se como proprietário do pedido de reserva usando o controle de acesso (IAM).

Conceder acesso a reservas individuais

Os usuários que têm acesso de proprietário nas reservas e administradores de cobrança podem delegar o gerenciamento de acesso para uma ordem de reserva individual no portal do Azure.

Para permitir que outras pessoas façam a gestão de reservas, tem duas opções:

• Delegue o gerenciamento de acesso para uma ordem de reserva individual atribuindo a função de Proprietário a um usuário no escopo de recursos da ordem de reserva. Se quiser conceder acesso limitado, selecione uma função diferente.
  Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.

• Adicionar um utilizador como administrador de faturação a um Contrato Enterprise ou Contrato de Cliente Microsoft:

  • Num Contrato Enterprise, adicione utilizadores com a função Administrador do Enterprise para ver e gerir todas as encomendas de reservas que se aplicam a esse Contrato Enterprise. Os utilizadores com a função Administrador do Enterprise (só de leitura) só podem ver a reserva. Os administradores de departamentos e os proprietários de conta não podem ver as reservas, a não ser que sejam adicionados explicitamente às mesmas com o Controlo de acesso (IAM). Para obter mais informações, veja Gerir funções empresariais do Azure.

    Os administradores Enterprise podem assumir a propriedade de uma encomenda de reserva e podem adicionar outros utilizadores a uma reserva com o Controlo de acesso (IAM).

  • Num Contrato de Cliente Microsoft, os utilizadores com a função de proprietário de perfil de faturação ou a função contribuidor de perfil de faturação podem gerir todas as compras de reservas feitas com o perfil de faturação. Os leitores de perfil de faturação e os gestores de faturas podem ver todas as reservas que são pagas com o perfil de faturação. No entanto, não podem fazer alterações às reservas. Para obter mais informações, veja Funções e tarefas do perfil de faturação.

Conceder acesso com o PowerShell

Os usuários que têm acesso de proprietário para pedidos de reserva, usuários com acesso elevado e Administradores de Acesso de Usuário podem delegar o gerenciamento de acesso para todos os pedidos de reserva aos quais têm acesso.

O acesso concedido usando o PowerShell não é mostrado no portal do Azure. Em vez disso, use o get-AzRoleAssignment comando na seção a seguir para exibir as funções atribuídas.

Atribuir a função de proprietário para todas as reservas

Utilize o seguinte script do Azure PowerShell para dar a um utilizador RBAC do Azure acesso a todas as encomendas de reservas no inquilino do Microsoft Entra (diretório).

Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Quando você usa o script do PowerShell para atribuir a função de propriedade e ele é executado com êxito, uma mensagem de êxito não é retornada.

Parâmetros

-ObjectId Microsoft Entra ObjectId do usuário, grupo ou entidade de serviço.

• Tipo: cadeia
• Pseudónimos: Id, PrincipalId
• Cargo: Nomeado
• Valor padrão: Nenhum
• Aceitar entrada de pipeline: True
• Aceitar caracteres curinga: Falso

-Identificador exclusivo do locatário TenantId .

• Tipo: cadeia
• Posição: 5
• Valor padrão: Nenhum
• Aceitar entrada de pipeline: Falso
• Aceitar caracteres curinga: Falso

Acesso ao nível do inquilino

Os direitos de Administrador de Acesso de Usuário são necessários antes que você possa conceder aos usuários ou grupos as funções de Administrador de Reservas e Leitor de Reservas no nível do locatário. Para obter direitos de Administrador de Acesso de Usuário no nível do locatário, siga as etapas de Elevar acesso .

Adicionar uma função de Administrador de Reservas ou uma função de Leitor de Reservas no nível do locatário

Você pode atribuir essas funções no portal do Azure.

1. Inicie sessão no portal do Azure e navegue para Reservas.
2. Selecione uma reserva à qual tenha acesso.
3. Na parte superior da página, selecione Atribuição de função.
4. Selecione a guia Funções .
5. Para fazer modificações, adicione um usuário como Administrador de Reservas ou Leitor de Reservas usando o controle de acesso.

Adicionar uma função de Administrador de Reservas no nível do locatário usando o script do Azure PowerShell

Use o seguinte script do Azure PowerShell para adicionar uma função de Administrador de Reservas no nível do locatário com o PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

Parâmetros

-ObjectId Microsoft Entra ObjectId do usuário, grupo ou entidade de serviço.

• Tipo: cadeia
• Pseudónimos: Id, PrincipalId
• Cargo: Nomeado
• Valor padrão: Nenhum
• Aceitar entrada de pipeline: True
• Aceitar caracteres curinga: Falso

-Identificador exclusivo do locatário TenantId .

• Tipo: cadeia
• Posição: 5
• Valor padrão: Nenhum
• Aceitar entrada de pipeline: Falso
• Aceitar caracteres curinga: Falso

Atribuir uma função de Leitor de Reservas no nível do locatário usando o script do Azure PowerShell

Use o seguinte script do Azure PowerShell para atribuir a função de Leitor de Reservas no nível do locatário com o PowerShell.

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

Parâmetros

-ObjectId Microsoft Entra ObjectId do usuário, grupo ou entidade de serviço.

• Tipo: cadeia
• Pseudónimos: Id, PrincipalId
• Cargo: Nomeado
• Valor padrão: Nenhum
• Aceitar entrada de pipeline: True
• Aceitar caracteres curinga: Falso

-Identificador exclusivo do locatário TenantId .

• Tipo: cadeia
• Posição: 5
• Valor padrão: Nenhum
• Aceitar entrada de pipeline: Falso
• Aceitar caracteres curinga: Falso

Próximos passos

• Gerir Reservas do Azure.