提高管理計費帳戶的存取權

發行項
08/14/2024

身為 Microsoft Entra ID 中的全域管理員，您可能無法存取目錄中的所有計費帳戶。本文將描述可以提高所有計費帳戶存取權的方式。

提高管理所有計費帳戶的存取權可讓您檢視和管理帳戶的成本與帳單。您可以檢視發票、費用、購買的產品，以及可存取計費帳戶的使用者。如果您想要提高管理訂用帳戶、管理群組和資源的存取權，請參閱提高管理所有 Azure 訂用帳戶和管理群組的存取權。

注意

提高的權限僅適用於 Microsoft 客戶合約 (MCA) 和 Microsoft 合作夥伴合約 (MPA) 計費帳戶類型。您無法以「全域管理員」的身分提高存取權，以針對 Enterprise 合約 (EA) 和 Microsoft 線上服務程式 (MOSP) 類型管理計費帳戶。若要深入了解計費帳戶，請參閱 Azure 入口網站中的計費帳戶和範圍。

為什麼要提高存取權？

如果您是「全域管理員」，有時可能會想要執行下列動作：

查看組織中已建立個別計費帳戶的所有使用者。
檢視組織中建立的所有個別計費帳戶發票和費用。
當使用者失去存取權時，請重新取得 Azure 計費帳戶的存取權。
當其他系統管理員無法使用時，請執行帳戶的計費管理。

已提高的存取權會如何運作？

Microsoft Entra ID 中的所有全域管理員皆有權對其 Microsoft Entra ID 中的所有 Microsoft 客戶合約 (MCA) 和 Microsoft 合作夥伴合約 (MPA) 計費帳戶進行唯讀存取。他們可以檢視所有計費帳戶和對應的成本及計費資訊。除了唯讀檢視之外，他們也會取得在計費帳戶上管理角色指派的權限。他們可以將自己新增為計費帳戶的擁有者，提高自己。

登入 Azure 入口網站。
搜尋 [成本管理 + 帳單] 。
選取頁面左側的 [計費範圍]。
在 [計費範圍] 頁面上，選取方塊以檢視所有計費帳戶。

注意

計費範圍頁面僅顯示 200 個範圍。不過您可以使用頁面中的搜尋方塊來搜尋不屬於清單的帳戶。
從清單中選取 Microsoft 客戶合約或 Microsoft 合作夥伴合約計費帳戶。您能夠以「全域管理員」的身分讀取存取計費帳戶。若要提高自己執行寫入作業的權限，請遵循步驟 6 到 8。
在左測頁面選取 [存取控制 (IAM)]。
在頁面上方選取 [新增]。
在 [新增權限] 視窗的 [角色] 清單中，選取 [計費帳戶擁有者]。在 [選取] 區域底下，選取您的使用者名稱，然後選取視窗底部的 [儲存]。

您可以使用 Azure 計費 API，以程式設計方式提高自己的權權，管理目錄中的所有計費帳戶。

尋找目錄中的所有計費帳戶

GET https://management.azure.com/providers/Microsoft.Billing/billingAccounts?includeAllOrgs=true&api-version=2020-05-01

API 回應會傳回目錄中的計費帳戶清單。

{
  "value": [
    {
            "id": "/providers/Microsoft.Billing/billingAccounts/6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "name": "6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "properties": {
                "accountStatus": "Active",
                "accountType": "Individual",
                "agreementType": "MicrosoftCustomerAgreement",
                "billingProfiles": {
                    "hasMoreResults": false
                },
                "displayName": "Connie Wilson",
                "hasReadAccess": true
            },
            "type": "Microsoft.Billing/billingAccounts"
        },
        {
            "id": "/providers/Microsoft.Billing/billingAccounts/5e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "name": "5e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "properties": {
                "accountStatus": "Active",
                "accountType": "Enterprise",
                "agreementType": "MicrosoftCustomerAgreement",
                "billingProfiles": {
                    "hasMoreResults": false
                },
                "displayName": "Contoso",
                "hasReadAccess": true
            },
            "type": "Microsoft.Billing/billingAccounts"
        },
        {
            "id": "/providers/Microsoft.Billing/billingAccounts/4e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "name": "4e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "properties": {
                "accountStatus": "Active",
                "accountType": "Individual",
                "agreementType": "MicrosoftCustomerAgreement",
                "billingProfiles": {
                    "hasMoreResults": false
                },
                "displayName": "Tomas Wilson",
                "hasReadAccess": true
            },
            "type": "Microsoft.Billing/billingAccounts"
        }
  ]
}

使用計費帳戶的 displayName 屬性來識別您要提高存取權的計費帳戶。複製計費帳戶的 name。例如，如果您想要將自己提高為 Connie Wilson 計費帳戶上的擁有者，請複製 6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx。將此值貼在某處，以便您在下一個步驟中使用。

取得計費帳戶可用的角色定義

提出下列要求，並以在第一個步驟複製的 name 取代 <billingAccountName> (6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx)。

GET https://management.azure.com/providers/Microsoft.Billing/billingAccounts/<billingAccountName>/billingRoleDefinitions?api-version=2020-05-01

API 回應會傳回計費帳戶可用的角色清單。

{
    "value": [
        {
            "id": "/providers/Microsoft.Billing/billingAccounts/6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx/billingRoleDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "name": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "properties": {
                "description": "The Owner role gives the user all permissions including access management on a billing account.",
                "permissions": [
                    {
                        "actions": [
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
                        ]
                    }
                ],
                "roleName": "Billing account owner"
            },
            "type": "Microsoft.Billing/billingAccounts/billingRoleDefinitions"
        },
        {
            "id": "/providers/Microsoft.Billing/billingAccounts/6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx/billingRoleDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "name": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "properties": {
                "description": "The Contributor role gives the user all permissions except access management on a billing account.",
                "permissions": [
                    {
                        "actions": [
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                        ]
                    }
                ],
                "roleName": "Billing account contributor"
            },
            "type": "Microsoft.Billing/billingAccounts/billingRoleDefinitions"
        },
        {
            "id": "/providers/Microsoft.Billing/billingAccounts/6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx/billingRoleDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "name": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "properties": {
                "description": "The Reader role gives the user read permissions to a billing account.",
                "permissions": [
                    {
                        "actions": [
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                        ]
                    }
                ],
                "roleName": "Billing account reader"
            },
            "type": "Microsoft.Billing/billingAccounts/billingRoleDefinitions"
        }
    ]
}

使用 roleName 屬性來識別擁有者角色定義。複製角色定義的 name。例如，從上述 API 回應中，您會複製 a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1。將此值貼在某處，以便您在下一個步驟中使用。

將自己新增為擁有者

提出下列要求，並以在第一個步驟複製的 name 取代 <billingAccountName> (6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx)。

PUT  https://management.azure.com/providers/Microsoft.Billing/billingAccounts/<billingAccountName>/createBillingRoleAssignment?api-version=2020-05-01

要求本文

若要將自己新增為擁有者，您需要取得物件識別碼。您可以在 Azure 入口網站 Microsoft Entra ID 區段的 [使用者] 頁面中找到物件識別碼，或者也可以使用 Microsoft Graph API 來取得物件識別碼。

在要求本文中，請將 <roleDefinitionName> 取代為從步驟 2 複製的 name。將 <principalId> 取代為您從 Azure 入口網站或透過 Microsoft Graph API 取得的物件識別碼。

{
	    "principalId": "<principalId>",
	    "roleDefinitionId": "<roleDefinitionName>"
}

需要協助嗎？請連絡支援部門

如果需要協助，請連絡支援人員以快速解決您的問題。

共用方式為

提高管理計費帳戶的存取權

為什麼要提高存取權？

已提高的存取權會如何運作？

提高管理計費帳戶的存取權

尋找目錄中的所有計費帳戶

取得計費帳戶可用的角色定義

將自己新增為擁有者

要求本文

需要協助嗎？請連絡支援部門

下一步

意見反應

其他資源