Behörigheter för att visa och hantera Azure-sparplaner

Den här artikeln beskriver hur behörigheter för sparplan fungerar och hur användare kan visa och hantera Azure-sparplaner i Azure-portalen.

Vem kan hantera en sparplan som standard

Två olika auktoriseringsmetoder styr en användares möjlighet att visa, hantera och delegera behörigheter till sparplaner. De är roller som faktureringsadministratör och rollerna för rollbaserad åtkomstkontroll (RBAC) för sparplan.

Administratörsroller för fakturering

Du kan visa, hantera och delegera behörigheter till sparplaner med hjälp av inbyggda administratörsroller för fakturering. Mer information om Microsoft-kundavtal och företagsavtal faktureringsroller finns i Förstå Microsoft-kundavtal administrativa roller i Azure respektive Hantera Azure-företagsavtal roller.

Faktureringsadministratörsroller som krävs för sparplansåtgärder

• Visa sparplaner:
  • Microsoft-kundavtal: Användare med faktureringsprofilläsare eller senare
  • företagsavtal: Användare med företagsadministratör (skrivskyddad) eller senare
  • Microsoft-partneravtal: Stöds inte
• Hantera sparplaner (uppnås genom att delegera behörigheter för den fullständiga faktureringsprofilen/registreringen):
  • Microsoft-kundavtal: Användare med faktureringsprofildeltagare eller senare
  • företagsavtal: Användare med företagsavtal administratör eller senare
  • Microsoft-partneravtal: Stöds inte
• Delegera behörigheter för sparplan:
  • Microsoft-kundavtal: Användare med faktureringsprofildeltagare eller senare
  • företagsavtal: Användare med företagsavtal köpare eller senare
  • Microsoft-partneravtal: Stöds inte

Visa och hantera sparplaner som faktureringsadministratör

Om du är en faktureringsrollanvändare följer du de här stegen för att visa och hantera alla sparplaner och sparplanstransaktioner i Azure-portalen.

1. Logga in på Azure-portalen och gå till Cost Management + Fakturering.
   • Om du är under ett företagsavtal konto väljer du Faktureringsomfång på den vänstra menyn. Välj sedan ett i listan över faktureringsomfång.
   • Om du är under ett Microsoft-kundavtal konto väljer du Faktureringsprofiler på den vänstra menyn. Välj en faktureringsprofil i listan.
2. På den vänstra menyn väljer du Produkter + tjänster>Sparplaner. Den fullständiga listan över sparplaner för din företagsavtal-registrering eller Microsoft-kundavtal faktureringsprofil visas.
3. Faktureringsrollanvändare kan ta ansvar för en sparplan med sparplansbeställningen – Höja REST-API :et för att ge sig själva Azure RBAC-roller.

Lägga till faktureringsadministratörer

Lägg till en användare som faktureringsadministratör i en företagsavtal eller en Microsoft-kundavtal i Azure-portalen.

• företagsavtal: Lägg till användare med rollen Företagsadministratör för att visa och hantera alla beställningar av sparplan som gäller för företagsavtal. Företagsadministratörer kan visa och hantera sparplaner i Cost Management och fakturering.
  • Användare med rollen Företagsadministratör (skrivskyddad) kan bara visa sparplanen från Cost Management + Fakturering.
  • Avdelningsadministratörer och kontoägare kan inte visa sparplaner om de inte uttryckligen läggs till i dem med hjälp av åtkomstkontroll (IAM). Mer information finns i Hantera Azure Enterprise-roller.
• Microsoft-kundavtal: Användare med rollen som faktureringsprofilägare eller faktureringsprofildeltagare kan hantera alla köp av sparplan som görs med hjälp av faktureringsprofilen.
  • Debiteringsprofilläsare och fakturahanterare kan visa alla sparplaner som betalas via faktureringsprofilen. Däremot kan de inte göra ändringar i sparplaner. Mer information finns i Roller och uppgifter för faktureringsprofiler.

RBAC-roller för sparplan

Livscykeln för sparplanen är oberoende av en Azure-prenumeration. Sparplaner ärver inte behörigheter från prenumerationer efter köpet. Sparplaner är en resurs på klientorganisationsnivå med sina egna Azure RBAC-behörigheter.

Översikt

Det finns fyra besparingsplanspecifika RBAC-roller:

• Administratör för sparplan: Tillåter hantering av en eller flera sparplaner i en klientorganisation och delegering av RBAC-roller till andra användare.
• Köp av sparplan: Tillåter köp av sparplaner med en angiven prenumeration.
  • Tillåter köp eller reservationsinbyte för sparplaner av icke-fakturerande administratörer och icke-prenumerationsägare .
  • Köp av sparplaner av icke-fakturerande administratörer måste vara aktiverade. Mer information finns i Behörigheter för att köpa en Azure-sparplan.
• Deltagare i sparplan: Tillåter hantering av en eller flera sparplaner i en klientorganisation men inte delegering av RBAC-roller till andra användare.
• Läsare av sparplan: Tillåter skrivskyddad åtkomst till en eller flera sparplaner i en klientorganisation.

Dessa roller kan begränsas till antingen en specifik resursentitet (till exempel prenumeration eller sparplan) eller Microsoft Entra-klientorganisationen (katalog). Mer information om Azure RBAC finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.

RBAC-roller för sparplan krävs för sparplansåtgärder

• Visa sparplaner:
  • Klientomfång: Användare med sparplansläsare eller senare.
  • Omfång för sparplan: Inbyggd läsare eller senare.
• Hantera sparplaner:
  • Klientomfång: Användare med sparplansdeltagare eller senare.
  • Omfång för sparplan: Inbyggda deltagar- eller ägarroller eller sparplansdeltagare eller senare.
• Delegera behörigheter för sparplan:
  • Klientomfång: Administratörsbehörighet för användaråtkomst krävs för att bevilja RBAC-roller till alla sparplaner i klientorganisationen. Om du vill få dessa rättigheter följer du stegen för att höja åtkomsten .
  • Omfång för sparplan: Administratör för sparplan eller administratör för användaråtkomst.

Dessutom kan användare som innehade rollen som prenumerationsägare när prenumerationen användes för att köpa en sparplan också visa, hantera och delegera behörigheter för den köpta sparplanen.

Visa sparplaner med RBAC-åtkomst

Om du har sparplansspecifika RBAC-roller (administratör för sparplan, inköpare, deltagare eller läsare), köpta sparplaner eller har lagts till som ägare till sparplaner följer du dessa steg för att visa och hantera sparplaner i Azure-portalen.

1. Logga in på Azure-portalen.
2. Välj Startsparplaner> för att visa en lista över sparplaner som du har åtkomst till.

Lägga till RBAC-roller till användare och grupper

Mer information om hur du delegerar RBAC-roller för sparplaner finns i Delegera RBAC-roller för sparplan.

Företagsadministratörer kan ta över ägarskapet för en sparplansbeställning. De kan lägga till andra användare i en sparplan med hjälp av Åtkomstkontroll (IAM).

Bevilja åtkomst med PowerShell

Användare som har ägaråtkomst för sparplansbeställningar, användare med förhöjd åtkomst och administratörer för användaråtkomst kan delegera åtkomsthantering för alla sparplansbeställningar som de har åtkomst till.

Åtkomst som beviljas med hjälp av PowerShell visas inte i Azure-portalen. I stället använder get-AzRoleAssignment du kommandot i följande avsnitt för att visa tilldelade roller.

Tilldela ägarrollen för alla sparplaner

Om du vill ge en användare Azure RBAC åtkomst till alla beställningar av sparplan i sin Microsoft Entra-klientorganisation (katalog) använder du följande Azure PowerShell-skript:

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

När du använder PowerShell-skriptet för att tilldela ägarskapsrollen och den körs korrekt returneras inte något meddelande.

Parametrar

• ObjectId: Microsoft Entra-objekt-ID för användaren, gruppen eller tjänstens huvudnamn

  • Typ: Sträng
  • Alias: ID, PrincipalId
  • Position: Namngiven
  • Standardvärde: Ingen
  • Acceptera pipelineindata: Sant
  • Acceptera jokertecken: Falskt

• TenantId: Unik identifierare för klientorganisation

  • Typ: Sträng
  • Position: 5
  • Standardvärde: Ingen
  • Acceptera pipelineindata: Falskt
  • Acceptera jokertecken: Falskt

Lägga till en administratörsroll för sparplan på klientnivå med hjälp av Azure PowerShell-skript

Om du vill lägga till en administratörsroll för sparplan på klientorganisationsnivå med PowerShell använder du följande Azure PowerShell-skript:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Parametrar

• ObjectId: Microsoft Entra-objekt-ID för användaren, gruppen eller tjänstens huvudnamn

  • Typ: Sträng
  • Alias: ID, PrincipalId
  • Position: Namngiven
  • Standardvärde: Ingen
  • Acceptera pipelineindata: Sant
  • Acceptera jokertecken: Falskt

• TenantId: Unik identifierare för klientorganisation

  • Typ: Sträng
  • Position: 5
  • Standardvärde: Ingen
  • Acceptera pipelineindata: Falskt
  • Acceptera jokertecken: Falskt

Tilldela en roll för sparplansdeltagare på klientnivå med hjälp av Azure PowerShell-skript

Om du vill tilldela rollen sparplansdeltagare på klientorganisationsnivå med PowerShell använder du följande Azure PowerShell-skript:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Parametrar

• ObjectId: Microsoft Entra-objekt-ID för användaren, gruppen eller tjänstens huvudnamn

  • Typ: Sträng
  • Alias: ID, PrincipalId
  • Position: Namngiven
  • Standardvärde: Ingen
  • Acceptera pipelineindata: Sant
  • Acceptera jokertecken: Falskt

• TenantId: Unik identifierare för klientorganisation

  • Typ: Sträng
  • Position: 5
  • Standardvärde: Ingen
  • Acceptera pipelineindata: Falskt
  • Acceptera jokertecken: Falskt

Tilldela en läsarroll för sparplan på klientnivå med hjälp av Azure PowerShell-skript

Använd följande Azure PowerShell-skript för att tilldela rollen sparplansläsare på klientorganisationsnivå med PowerShell:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Parametrar

• ObjectId: Microsoft Entra-objekt-ID för användaren, gruppen eller tjänstens huvudnamn

  • Typ: Sträng
  • Alias: ID, PrincipalId
  • Position: Namngiven
  • Standardvärde: Ingen
  • Acceptera pipelineindata: Sant
  • Acceptera jokertecken: Falskt

• TenantId: Unik identifierare för klientorganisation

  • Typ: Sträng
  • Position: 5
  • Standardvärde: Ingen
  • Acceptera pipelineindata: Falskt
  • Acceptera jokertecken: Falskt

Nästa steg

• Hantera Azure-sparplaner