Hizmet sorumlularına Kurumsal Anlaşma rolleri atama

  • Makale

azure portalında Kurumsal Anlaşma (EA) kaydınızı yönetebilirsiniz. Kuruluşunuzu yönetmek, maliyetleri görüntülemek ve abonelikler oluşturmak için farklı roller oluşturabilirsiniz. Bu makale, Microsoft Entra ID hizmet sorumlularıyla Azure PowerShell ve REST API'lerini kullanarak bu görevlerin bazılarını otomatikleştirmenize yardımcı olur.

Not

Kuruluşunuzda birden çok EA ödeme hesabınız varsa, EA rollerini her EA ödeme hesabında Microsoft Entra Id hizmet sorumlularına ayrı ayrı vermelisiniz.

Başlamadan önce aşağıdaki makalelere aşina olduğunuzdan emin olun:

Hizmet sorumlunuzu oluşturma ve kimlik doğrulaması

Hizmet sorumlusu kullanarak EA eylemlerini otomatikleştirmek için, otomatik bir şekilde kimlik doğrulaması yapabilecek bir Microsoft Entra uygulama kimliği oluşturmanız gerekir.

Hizmet sorumlunuzu kullanarak kimlik doğrulaması yapmak ve oluşturmak için bu makalelerdeki adımları izleyin.

Aşağıda uygulama kayıt sayfasının bir örneği verilmiştır.

Uygulamayı kaydetme işlemini gösteren ekran görüntüsü.

Hizmet sorumlunuzu ve kiracı kimliklerinizi bulma

Hizmet sorumlusunun nesne kimliğine ve kiracı kimliğine ihtiyacınız vardır. Bu makalenin devamındaki izin atama işlemleri için bu bilgilere ihtiyacınız vardır. Tüm uygulamalar kiracıdaki Microsoft Entra Kimliği'ne kaydedilir. Uygulama kaydı tamamlandığında iki tür nesne oluşturulur:

  • Uygulama nesnesi - Uygulama kimliği, Kurumsal Uygulamalar altında gördüğünüz kimliktir. Kimlik, herhangi bir EA rolü vermek için kullanılmamalıdır.
  • Hizmet Sorumlusu nesnesi - Hizmet Sorumlusu nesnesi, Microsoft Entra Id'deki Kurumsal Kayıt penceresinde gördüğünüz nesnedir. Nesne kimliği, hizmet sorumlusuna EA rolleri vermek için kullanılır.

  1. Microsoft Entra Id'yi açın ve kurumsal uygulamalar'ı seçin.

  2. Uygulamanızı listede bulun.

    Örnek kurumsal uygulamayı gösteren ekran görüntüsü.

  3. Uygulama kimliğini ve nesne kimliğini bulmak için uygulamayı seçin:

    Kurumsal uygulamanın uygulama kimliğini ve nesne kimliğini gösteren ekran görüntüsü.

  4. Kiracı kimliğini bulmak için Microsoft Entra Id'ye Genel Bakış sayfasına gidin.

    Kiracı kimliğini gösteren ekran görüntüsü.

Not

Microsoft Entra kiracı kimliğinizin değeri şu biçime sahip bir GUID gibi görünür: 11111111-1111-1111-1111-111111111111.

Hizmet sorumlusuna atanabilecek izinler

Bu makalenin ilerleyen bölümlerinde Microsoft Entra uygulamasına EA rolü kullanarak işlem yapma izni vereceksiniz. Hizmet sorumlusuna yalnızca aşağıdaki rolleri atayabilirsiniz ve tam olarak gösterildiği gibi rol tanımı kimliğine ihtiyacınız vardır.

Role İzin verilen eylemler Rol tanımı kimliği
EnrollmentReader Kayıt okuyucuları kayıt, departman ve hesap kapsamlarında verileri görüntüleyebilir. Veriler, tüm kiracılar dahil olmak üzere kapsamlar altındaki tüm abonelikler için ücret içerir. Kayıtla ilişkili Azure Ön Ödemesi (eski adıyla parasal taahhüt) bakiyesini görüntüleyebilir. 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
EA satın almacı Rezervasyon siparişlerini satın alın ve rezervasyon hareketlerini görüntüleyin. Tüm EnrollmentReader izinlerine sahiptir ve bu da DepartmentReader'ın tüm izinlerine sahip olur. Tüm hesaplarda ve aboneliklerde kullanımı ve ücretleri görüntüleyebilir. Kayıtla ilişkili Azure Ön Ödemesi (eski adıyla parasal taahhüt) bakiyesini görüntüleyebilir. da6647fb-7651-49ee-be91-c43c4877f0c4
DepartmentReader Yönettikleri bölümün kullanım ayrıntılarını indirin. Bölümüyle ilişkili kullanımı ve ücretleri görüntüleyebilir. db609904-a47f-4794-9be8-9bd86fbffd8a
SubscriptionCreator Verilen Hesap kapsamında yeni abonelikler oluşturun. a0bcee42-bf30-4d1b-926a-48d21664ef71
  • Bir EnrollmentReader rolü bir hizmet sorumlusuna yalnızca kayıt yazıcı rolüne sahip olan bir kullanıcı tarafından atanabilir. Hizmet sorumlusuna atanan EnrollmentReader rolü Azure portalında gösterilmez. Program aracılığıyla oluşturulur ve yalnızca programlı kullanım içindir.
  • DepartmentReader rolü, hizmet sorumlusuna yalnızca kayıt yazıcısı veya departman yazıcısı rolü olan bir kullanıcı tarafından atanabilir.
  • SubscriptionCreator rolü bir hizmet sorumlusuna yalnızca kayıt hesabının sahibi olan bir kullanıcı (EA yöneticisi) tarafından atanabilir. Rol Azure portalında gösterilmez. Program aracılığıyla oluşturulur ve yalnızca programlı kullanım içindir.
  • EA satın almacı rolü Azure portalında gösterilmez. Program aracılığıyla oluşturulur ve yalnızca programlı kullanım içindir.

Bir hizmet sorumlusuna EA rolü verdiğinizde, gerekli özelliği kullanmanız billingRoleAssignmentName gerekir. parametresi sağlamanız gereken benzersiz bir GUID'dir. New-Guid PowerShell komutunu kullanarak BIR GUID oluşturabilirsiniz. Ayrıca, benzersiz bir GUID oluşturmak için Çevrimiçi GUID / UUID Oluşturucu web sitesini de kullanabilirsiniz.

Hizmet sorumlusu yalnızca bir role sahip olabilir.

Hizmet sorumlusuna kayıt hesabı rolü izni atama

  1. Rol Atamaları - REST API'yi yerleştirme makalesini okuyun. Makaleyi okurken hizmet sorumlusunu kullanmaya başlamak için Deneyin'i seçin.

    Koy makalesindeki Deneyin seçeneğini gösteren ekran görüntüsü.

  2. Atamak istediğiniz kayıt erişimiyle kiracıda oturum açmak için hesap kimlik bilgilerinizi kullanın.

  3. API isteğinin bir parçası olarak aşağıdaki parametreleri sağlayın.

    • billingAccountName: Bu parametre Faturalama hesabı kimliğidir. Bunu Azure portalında Maliyet Yönetimi + Faturalamaya genel bakış sayfasında bulabilirsiniz.

      Ödeme hesabı kimliğini gösteren ekran görüntüsü.

    • billingRoleAssignmentName: Bu parametre sağlamanız gereken benzersiz bir GUID'dir. New-Guid PowerShell komutunu kullanarak BIR GUID oluşturabilirsiniz. Ayrıca, benzersiz bir GUID oluşturmak için Çevrimiçi GUID / UUID Oluşturucu web sitesini de kullanabilirsiniz.

    • api-version: 2019-10-01-preview sürümünü kullanın. Rol Atamaları - Put - Örnekler bölümünde örnek istek gövdesini kullanın.

      İstek gövdesinde kullanmanız gereken üç parametreye sahip JSON kodu vardır.

      Parametre Nerede bulunur?
      properties.principalId Nesne Kimliği değeridir. Bkz. Hizmet sorumlunuzu ve kiracı kimliklerinizi bulma.
      properties.principalTenantId Bkz. Hizmet sorumlunuzu ve kiracı kimliklerinizi bulma.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e

      Ödeme hesabı adı, API parametrelerinde kullandığınız parametreyle aynıdır. Bu, Azure portalında gördüğünüz kayıt kimliğidir.

      Bir EnrollmentReader için faturalama rolü tanım kimliği olduğuna 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e dikkat edin.

  4. Komutu başlatmak için Çalıştır'ı seçin.

    Çalıştırmaya hazır örnek bilgiler içeren örnek rol atamasını gösteren ekran görüntüsü.

    Yanıt 200 OK , hizmet sorumlusunun başarıyla eklendiğini gösterir.

Artık EA API'lerine otomatik olarak erişmek için hizmet sorumlusunu kullanabilirsiniz. Hizmet sorumlusu EnrollmentReader rolüne sahiptir.

Hizmet sorumlusuna EA Satın Almacı rolü izni atama

EA satın almacı rolü için kayıt okuyucu için aynı adımları kullanın. roleDefinitionIdaşağıdaki örneği kullanarak değerini belirtin:

"/providers/Microsoft.Billing/billingAccounts/1111111/billingRoleDefinitions/ da6647fb-7651-49ee-be91-c43c4877f0c4"

Bölüm okuyucu rolünü hizmet sorumlusuna atama

  1. Kayıt Bölümü Rol Atamaları - REST API'yi Yerleştirme makalesini okuyun. Makaleyi okurken Dene'yi seçin.

    Kayıt Bölümü Rol Atamaları Koyma makalesindeki Deneyin seçeneğini gösteren ekran görüntüsü.

  2. Atamak istediğiniz kayıt erişimiyle kiracıda oturum açmak için hesap kimlik bilgilerinizi kullanın.

  3. API isteğinin bir parçası olarak aşağıdaki parametreleri sağlayın.

    • billingAccountName: Bu parametre Faturalama hesabı kimliğidir. Bunu Azure portalında Maliyet Yönetimi + Faturalamaya genel bakış sayfasında bulabilirsiniz.

      Ödeme hesabı kimliğini gösteren ekran görüntüsü.

    • billingRoleAssignmentName: Bu parametre sağlamanız gereken benzersiz bir GUID'dir. New-Guid PowerShell komutunu kullanarak BIR GUID oluşturabilirsiniz. Ayrıca, benzersiz bir GUID oluşturmak için Çevrimiçi GUID / UUID Oluşturucu web sitesini de kullanabilirsiniz.

    • departmentName: Bu parametre departman kimliğidir. Azure portalında Maliyet Yönetimi + Faturalama>Bölümleri sayfasında bölüm kimliklerini görebilirsiniz.

      Bu örnekte ACE bölümünü kullandık. Örneğin kimliği: 84819.

      Örnek bölüm kimliğini gösteren ekran görüntüsü.

    • api-version: 2019-10-01-preview sürümünü kullanın. Kayıt Bölümü Rol Atamaları - Put bölümündeki örneği kullanın.

      İstek gövdesinde kullanmanız gereken üç parametreye sahip JSON kodu vardır.

      Parametre Nerede bulunur?
      properties.principalId Nesne Kimliği değeridir. Bkz. Hizmet sorumlunuzu ve kiracı kimliklerinizi bulma.
      properties.principalTenantId Bkz. Hizmet sorumlunuzu ve kiracı kimliklerinizi bulma.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/db609904-a47f-4794-9be8-9bd86fbffd8a

      Ödeme hesabı adı, API parametrelerinde kullandığınız parametreyle aynıdır. Bu, Azure portalında gördüğünüz kayıt kimliğidir.

      faturalama rolü tanımı kimliği bir departman okuyucusunun db609904-a47f-4794-9be8-9bd86fbffd8a kimliğidir.

  4. Komutu başlatmak için Çalıştır'ı seçin.

    Örnek Kayıt Bölümü Rol Atamalarını gösteren ekran görüntüsü : Çalışmaya hazır örnek bilgilerle REST Deneyin'i yerleştirin.

    Yanıt 200 OK , hizmet sorumlusunun başarıyla eklendiğini gösterir.

Artık EA API'lerine otomatik olarak erişmek için hizmet sorumlusunu kullanabilirsiniz. Hizmet sorumlusu DepartmentReader rolüne sahiptir.

Hizmet sorumlusuna abonelik oluşturucu rolünü atama

  1. Kayıt Hesabı Rol Atamaları - Put makalesini okuyun. Okurken abonelik oluşturucu rolünü hizmet sorumlusuna atamak için Deneyin'i seçin.

    Kayıt Hesabı Rol Atamaları Koyma makalesindeki Deneyin seçeneğini gösteren ekran görüntüsü.

  2. Atamak istediğiniz kayıt erişimiyle kiracıda oturum açmak için hesap kimlik bilgilerinizi kullanın.

  3. API isteğinin bir parçası olarak aşağıdaki parametreleri sağlayın. Kayıt Hesabı Rol Atamaları - Put - URI Parametreleri makalesini okuyun.

    • billingAccountName: Bu parametre Faturalama hesabı kimliğidir. Bunu Azure portalında Maliyet Yönetimi + Faturalamaya genel bakış sayfasında bulabilirsiniz.

      Ödeme hesabı kimliğini gösteren ekran görüntüsü.

    • billingRoleAssignmentName: Bu parametre sağlamanız gereken benzersiz bir GUID'dir. New-Guid PowerShell komutunu kullanarak BIR GUID oluşturabilirsiniz. Ayrıca, benzersiz bir GUID oluşturmak için Çevrimiçi GUID/UUID Oluşturucu web sitesini de kullanabilirsiniz.

    • enrollmentAccountName: Bu parametre hesap kimliğidir. Hesap adı için hesap kimliğini Azure portalında Maliyet Yönetimi + Faturalama sayfasında bulabilirsiniz.

      Bu örnekte GTM Test Hesabını kullandık. Kimlik: 196987.

      Hesap kimliğini gösteren ekran görüntüsü.

    • api-version: 2019-10-01-preview sürümünü kullanın. Kayıt Bölümü Rol Atamaları - Put - Örnekler bölümündeki örneği kullanın.

      İstek gövdesinde kullanmanız gereken üç parametreye sahip JSON kodu vardır.

      Parametre Nerede bulunur?
      properties.principalId Nesne Kimliği değeridir. Bkz. Hizmet sorumlunuzu ve kiracı kimliklerinizi bulma.
      properties.principalTenantId Bkz. Hizmet sorumlunuzu ve kiracı kimliklerinizi bulma.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountID}/enrollmentAccounts/{enrollmentAccountID}/billingRoleDefinitions/a0bcee42-bf30-4d1b-926a-48d21664ef71

      Ödeme hesabı adı, API parametrelerinde kullandığınız parametreyle aynıdır. Bu, Azure portalında gördüğünüz kayıt kimliğidir.

      faturalama rolü tanımı kimliği a0bcee42-bf30-4d1b-926a-48d21664ef71 , abonelik oluşturucu rolüne yöneliktir.

  4. Komutu başlatmak için Çalıştır'ı seçin.

    Kayıt Hesabı Rol Atamaları - Koy makalesindeki Deneyin seçeneğini gösteren ekran görüntüsü.

    Yanıt 200 OK , hizmet sorumlusunun başarıyla eklendiğini gösterir.

Artık EA API'lerine otomatik olarak erişmek için hizmet sorumlusunu kullanabilirsiniz. Hizmet sorumlusu SubscriptionCreator rolüne sahiptir.

Hizmet sorumlusu rol atamalarını doğrulama

Hizmet sorumlusu rol atamaları Azure portalında görünmez. Faturalama Rolü Atamaları - Kayıt Hesabına Göre Listele - REST API (Azure Faturalama) API'si ile abonelik oluşturucu rolü dahil olmak üzere kayıt hesabı rol atamalarını görüntüleyebilirsiniz. Rol atamasının başarılı olduğunu doğrulamak için API'yi kullanın.

Sorun giderme

EA rolünü vermiş olduğunuz Kurumsal uygulama nesne kimliğini tanımlamanız ve kullanmanız gerekir. Başka bir uygulamanın Nesne Kimliğini kullanırsanız API çağrıları başarısız olur. Doğru Kurumsal uygulama nesne kimliğini kullandığınızı doğrulayın.

API çağrınızı yaparken aşağıdaki hatayı alırsanız, Uygulama Kayıtları'nda bulunan hizmet sorumlusu nesne kimliği değerini yanlış kullanıyor olabilirsiniz. Bu hatayı çözmek için, Uygulama Kayıtları'ndan değil Kurumsal Uygulamalardan hizmet sorumlusu nesne kimliğini kullandığınızdan emin olun.

The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid

Sonraki adımlar

Kurumsal Anlaşma ödeme hesabınızı kullanmaya başlayın.