檢視和管理 Azure 保留的權限

  • 發行項

本文說明保留權限的運作方式,以及使用者如何在 Azure 入口網站和使用 Azure PowerShell 來檢視和管理 Azure 保留。

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az

預設可以管理保留的人員

根據預設,下列使用者可以檢視和管理保留:

  • 購買保留的人員,以及購買保留所用計費訂用帳戶的帳戶管理員,都會新增至保留訂單。
  • Enterprise 合約和 Microsoft 客戶合約的計費管理員。
  • 提高存取權以管理所有 Azure 訂用帳戶和管理群組的使用者
  • Microsoft Entra 租用戶 (目錄) 中保留的保留管理員
  • 保留讀者具有 Microsoft Entra 租用戶 (目錄) 中保留的唯讀存取權

保留生命週期與 Azure 訂用帳戶無關,因此保留不是 Azure 訂用帳戶下的資源。 相反地,它是租用戶層級資源,其本身的 Azure RBAC 權限與訂用帳戶不同。 購買之後,保留不會繼承訂用帳戶的權限。

檢視和管理保留

如果您是計費管理員,請在 Azure 入口網站中使用下列步驟來檢視並管理所有保留和保留交易。

  1. 登入 Azure 入口網站,並瀏覽至 [成本管理 + 計費]
    • 如果您是 EA 管理員,請在左側功能表中選取 [計費範圍],然後從清單中選取一個計費範圍。
    • 如果您是 Microsoft 客戶合約帳單設定檔擁有者,請在左側功能表中,選取 [帳單設定檔]。 在帳單設定檔清單中,選取一個設定檔。
  2. 在左側功能表中,選取 [產品 + 服務>][保留]。
  3. 系統會顯示您 EA 註冊或帳單設定檔的完整保留清單。
  4. 計費管理員可以取得保留的擁有權,方法是選取一或多個保留,並在出現的視窗中選取 [授與存取權] 和選取 [授與存取權]。 針對 Microsoft 客戶合約,使用者應該位於與保留相同的 Microsoft Entra 租用戶 (目錄) 中。

新增計費管理員

在 Azure 入口網站將使用者新增為 Enterprise 合約或 Microsoft 客戶合約的計費管理員。

  • 針對 Enterprise 合約,需以「企業系統管理員」角色新增使用者,才能檢視及管理套用至 Enterprise 合約的所有保留訂單。 企業管理員可以在 [成本管理 + 計費] 中檢視和管理保留。
    • 具有企業管理員 (唯讀) 角色的使用者只能從 [成本管理 + 計費] 中檢視保留。
    • 部門系統管理員和帳戶擁有者無法檢視保留,除非使用存取控制 (IAM) 明確地將他們新增至保留中。 如需詳細資訊,請參閱管理 Azure 企業角色
  • 若為 Microsoft 客戶合約,使用者如果具有「帳單設定檔擁有者」角色或「帳單設定檔參與者」角色,即可管理使用帳單設定檔所購買的所有保留。 帳單設定檔讀者和發票管理者可以檢視所有使用帳單設定檔支付的保留。 不過,他們無法對保留進行變更。 如需詳細資訊,請參閱帳單設定檔角色和工作

使用 Azure RBAC 存取權檢視保留

如果您已購買保留或已新增至保留,請使用下列步驟在 Azure 入口網站中檢視和管理保留。

  1. 登入 Azure 入口網站
  2. 選取 [所有服務]> [保留] 來列出您具有存取權的保留。

使用提升權限的存取權管理訂用帳戶和管理群組

您可以提升使用者管理所有 Azure 訂用帳戶和管理群組的存取權

提升存取權之後:

  1. 瀏覽至 [所有服務]> [保留] 以查看租用戶中的所有保留。
  2. 若要對保留進行修改,請使用存取控制 (IAM) 將您自己新增為保留訂單的擁有者。

授與個別保留的存取權

具有保留上擁有者存取權的使用者和計費管理員,可以在 Azure 入口網站中委派個別保留訂單的存取管理。

若要允許其他人管理保留,您有兩個選項:

  • 將擁有者角色指派給保留訂單資源範圍的使用者,以委派個別保留訂單的存取管理。 如果您想要給予有限的存取權,可選取不同角色。
    如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色

  • 將使用者新增為 Enterprise 合約或 Microsoft 客戶合約的計費管理員:

    • 針對 Enterprise 合約,需以「企業系統管理員」角色新增使用者,才能檢視及管理套用至 Enterprise 合約的所有保留訂單。 具有「企業系統管理員 (唯讀)」角色的使用者只能檢視保留。 部門系統管理員和帳戶擁有者無法檢視保留,除非使用存取控制 (IAM) 明確地將他們新增至保留中。 如需詳細資訊,請參閱管理 Azure 企業角色

      企業系統管理員可以取得保留訂單的擁有權,也可以使用存取控制 (IAM) 將其他使用者新增至保留。

    • 若為 Microsoft 客戶合約,使用者如果具有「帳單設定檔擁有者」角色或「帳單設定檔參與者」角色,即可管理使用帳單設定檔所購買的所有保留。 帳單設定檔讀者和發票管理者可以檢視所有使用帳單設定檔支付的保留。 不過,他們無法對保留進行變更。 如需詳細資訊,請參閱帳單設定檔角色和工作

使用 PowerShell 授與存取權

擁有保留訂單擁有者存取權的使用者、具有提高存取權的使用者,以及使用者存取管理員可以委派他們有權存取的所有保留訂單的存取管理。

使用 PowerShell 授與的存取權不會在 Azure 入口網站中顯示。 相反地,您會使用下一節中的 get-AzRoleAssignment 命令來檢視指派的角色。

為所有保留指派擁有者角色

使用下列 Azure PowerShell 指令碼,給予使用者存取 Microsoft Entra 租用戶 (目錄) 中所有保留訂單的存取權。


Import-Module Az.Accounts
Import-Module Az.Resources
 
Connect-AzAccount -Tenant <TenantId>
 
$response = Invoke-AzRestMethod -Path /providers/Microsoft.Capacity/reservations?api-version=2020-06-01 -Method GET
 
$responseJSON = $response.Content | ConvertFrom-JSON
 
$reservationObjects = $responseJSON.value
 
foreach ($reservation in $reservationObjects)
{
  $reservationOrderId = $reservation.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$reservationOrderId
  New-AzRoleAssignment -Scope $reservationOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

使用 PowerShell 指令碼來指派擁有權角色並成功執行時,不會傳回成功訊息。

參數

-ObjectId 使用者、群組或服務主體的 Microsoft Entra ObjectId。

  • 類型:字串
  • 別名:識別碼、PrincipalId
  • 位置:指定
  • 預設值:無
  • 接受管線輸入:True
  • 接受萬用字元:False

-TenantId 租用戶的唯一識別碼。

  • 類型:字串
  • 位置:5
  • 預設值:無
  • 接受管線輸入:False
  • 接受萬用字元:False

租用戶層級存取

您必須先有使用者存取系統管理員權限,才能在租用戶層級將「保留系統管理員」和「保留讀者」角色授與使用者或群組。 若要在租用戶層級取得使用者存取管理員權限,請遵循提高存取權步驟。

在租用戶層級新增保留系統管理員角色或保留讀者角色

您可以從 Azure 入口網站指派這些角色。

  1. 登入 Azure 入口網站,然後瀏覽至 [保留]。
  2. 選取您具有存取權的保留。
  3. 在頁面頂端,選取 [角色指派]
  4. 選取 [角色] 索引標籤。
  5. 若要進行修改,請使用「存取控制」,以將使用者新增為「保留系統管理員」或「保留讀者」。

使用 Azure PowerShell 指令碼,在租用戶層級新增保留管理員角色

使用下列 Azure PowerShell 指令碼,以使用 PowerShell 在租用戶層級新增保留管理員角色。

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Administrator"

參數

-ObjectId 使用者、群組或服務主體的 Microsoft Entra ObjectId。

  • 類型:字串
  • 別名:識別碼、PrincipalId
  • 位置:指定
  • 預設值:無
  • 接受管線輸入:True
  • 接受萬用字元:False

-TenantId 租用戶的唯一識別碼。

  • 類型:字串
  • 位置:5
  • 預設值:無
  • 接受管線輸入:False
  • 接受萬用字元:False

使用 Azure PowerShell 指令碼,在租用戶層級指派保留讀取者角色

使用下列 Azure PowerShell 指令碼,以使用 PowerShell 在租用戶層級指派保留讀取者角色。


Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>

New-AzRoleAssignment -Scope "/providers/Microsoft.Capacity" -PrincipalId <ObjectId> -RoleDefinitionName "Reservations Reader"

參數

-ObjectId 使用者、群組或服務主體的 Microsoft Entra ObjectId。

  • 類型:字串
  • 別名:識別碼、PrincipalId
  • 位置:指定
  • 預設值:無
  • 接受管線輸入:True
  • 接受萬用字元:False

-TenantId 租用戶的唯一識別碼。

  • 類型:字串
  • 位置:5
  • 預設值:無
  • 接受管線輸入:False
  • 接受萬用字元:False

下一步