Conceder acesso para criar assinaturas do Azure Enterprise (legado)

Como cliente do Azure com um Enterprise Agreement (EA), pode conceder permissão a outro utilizador ou entidade de serviço para criar subscrições faturadas na sua conta. Neste artigo, você aprenderá a usar o controle de acesso baseado em função do Azure (Azure RBAC) para compartilhar a capacidade de criar assinaturas e como auditar criações de assinatura. Tem de ter a função de Proprietário na conta que pretende partilhar.

Conceder acesso

Para criar assinaturas em uma conta de registro, os usuários devem ter a função de Proprietário do RBAC do Azure nessa conta. Pode conceder a um utilizador ou a um grupo de utilizadores a função de Proprietário de RBAC do Azure numa conta de inscrição ao seguir estes passos:

1. Obter o ID de objeto da conta de inscrição à qual pretende conceder acesso

   Para conceder a outros utilizadores a função de Proprietário de RBAC do Azure numa conta de subscrição, precisa de ser o Proprietário da Conta ou um Proprietário de RBAC do Azure nesta conta.

   • DESCANSO
   • PowerShell
   • Azure CLI

   Pedido para listar todas as contas de inscrição às quais tem acesso:

   GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
   

   O Azure responde com uma lista de todas as contas de inscrição às quais tem acesso:

   {
     "value": [
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
         "name": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "SignUpEngineering@contoso.com"
         }
       },
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "BillingPlatformTeam@contoso.com"
         }
       }
     ]
   }
   

   Use a propriedade principalName para identificar a conta à qual pretende conceder o acesso de Proprietário do Azure RBAC. Copie o name da conta. Por exemplo, se quisesse conceder acesso de Proprietário de RBAC do Azure à SignUpEngineering@contoso.com conta de adesão, teria de copiar aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Trata-se do ID de objeto da conta de inscrição. Cole este valor algures para que possa utilizá-lo no próximo passo como enrollmentAccountObjectId.

   Use a variável principalName para identificar a conta à qual pretende conceder acesso de Proprietário do RBAC do Azure. Copie o name daquela conta. Por exemplo, se quisesse conceder acesso de Proprietário do RBAC do Azure à SignUpEngineering@contoso.com conta de inscrição, teria de copiar aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Trata-se do ID de objeto da conta de inscrição. Cole este valor algures para que possa utilizá-lo no próximo passo como enrollmentAccountObjectId.

2. Obtenha o ID de objeto do utilizador ou do grupo ao qual pretende conceder a função de Proprietário de RBAC do Azure

   1. No portal do Azure, pesquise em Microsoft Entra ID.
   2. Se você quiser conceder acesso a um usuário, selecione Usuários no menu à esquerda. Para dar acesso a um grupo, selecione Grupos.
   3. Selecione o Utilizador ou Grupo ao qual pretende conceder a função de Proprietário de RBAC do Azure.
   4. Se selecionou um Utilizador, encontrará o ID de objeto na página Perfil. Se selecionou um Grupo, o ID do objeto estará na página Descrição Geral. Copie o ObjectID selecionando o ícone à direita da caixa de texto. Cole-o num local em que possa utilizá-lo no próximo passo como userObjectId.

3. Conceder ao utilizador ou ao grupo a função de Proprietário de RBAC do Azure na conta de registo

   Através dos valores que recolheu nos dois primeiros passos, conceda ao utilizador ou ao grupo a função de Proprietário de RBAC do Azure na conta de inscrição.

   • DESCANSO
   • PowerShell
   • Azure CLI

   Execute o comando seguinte, ao substituir <enrollmentAccountObjectId> pelo name que copiou no primeiro passo (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb). Substitua <userObjectId> pelo ID de objeto que copiou no segundo passo.

   PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01
   
   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>"
     }
   }
   

   Quando a função de Administrador é atribuída com êxito no âmbito da conta de inscrição, o Azure responde com detalhes da atribuição de função.

   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>",
       "scope": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
       "createdOn": "2018-03-05T08:36:26.4014813Z",
       "updatedOn": "2018-03-05T08:36:26.4014813Z",
       "createdBy": "<assignerObjectId>",
       "updatedBy": "<assignerObjectId>"
     },
     "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
     "type": "Microsoft.Authorization/roleAssignments",
     "name": "<roleAssignmentGuid>"
   }
   

Auditar quem criou subscrições através de registos de atividades

Para controlar as subscrições criadas através desta API, utilize a API de Registo de Atividades do Inquilino. Atualmente, não é possível utilizar o PowerShell, a CLI ou o portal do Azure para monitorizar a criação de subscrições.

1. Como administrador do locatário Microsoft Entra, eleve o acesso e atribua uma função de Leitor ao usuário auditor dentro do âmbito /providers/microsoft.insights/eventtypes/management. Esse acesso está disponível na função Leitor , na função Colaborador de monitoramento ou em uma função personalizada.

2. Como utilizador de auditoria, utilize a API de Registo de Atividades do Locatário para ver as atividades de criação de assinaturas. Exemplo:

   GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
   

Para chamar convenientemente essa API a partir da linha de comando, tente ARMClient.

Conteúdos relacionados

• Agora que o usuário ou a entidade de serviço tem permissão para criar uma assinatura, você pode usar essa identidade para criar programaticamente assinaturas do Azure Enterprise.
• Para obter um exemplo sobre como criar assinaturas usando o .NET, consulte o código de exemplo no GitHub.
• Para saber mais sobre o Azure Resource Manager e suas APIs, consulte Visão geral do Azure Resource Manager.
• Para saber mais sobre como gerenciar um grande número de assinaturas usando grupos de gerenciamento, consulte Organizar seus recursos com grupos de gerenciamento do Azure
• Para ver uma orientação abrangente de práticas recomendadas para grandes organizações sobre governança de assinatura, consulte Azure enterprise scaffold - prescriptive subscription governance