Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como as permissões de reserva funcionam no Azure e como os usuários autorizados podem exibir e gerenciar reservas do Azure no portal do Azure e com o Azure PowerShell.
Observação
Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Quem pode gerenciar uma reserva por padrão
Por padrão, os seguintes usuários podem ver e gerenciar reservas:
- A pessoa que compra uma reserva e o administrador da conta da assinatura para cobrança usada para comprar a reserva são adicionadas ao pedido de reserva.
- Administradores de cobrança do Contrato Enterprise e do Contrato de Cliente da Microsoft.
- Usuários com acesso elevado para gerenciar todas as assinaturas e os grupos de gerenciamento do Azure
- Um administrador de reserva ou colaborador de reserva, para reservas em seu locatário do Microsoft Entra (diretório)
- Um leitor de reserva tem acesso de somente leitura a reservas em seu locatário (diretório) do Microsoft Entra
O ciclo de vida da reserva é independente de uma assinatura do Azure. Uma reserva não é um recurso na assinatura do Azure, mas sim um recurso no nível do locatário com sua própria permissão RBAC do Azure separada das assinaturas. As reservas não herdam permissões das assinaturas após a compra.
Exibir e gerenciar reservas
Dois métodos de autorização diferentes controlam a capacidade de um usuário de exibir, gerenciar e delegar permissões para reservas:
- Funções de administrador de cobrança
- Funções de RBAC (controle de acesso baseado em função) de reserva
Funções de Administrador de Cobrança
Você pode exibir, gerenciar e delegar permissões para reservas usando funções de administrador de cobrança internas. Para saber mais sobre o Contrato de Cliente da Microsoft e as funções de cobrança do Contrato Enterprise, consulte Noções básicas sobre as funções administrativas do Contrato de Cliente da Microsoft no Azure e no Gerenciamento de funções do Contrato Enterprise do Azure, respectivamente.
Funções de administrador de cobrança necessárias para ações de reserva
Exibir reservas:
- Contrato de Cliente da Microsoft: usuários com leitor de perfil de cobrança ou superior
- Contrato Enterprise: Usuários com Administrador Corporativo (somente leitura) ou superior
- Contrato de Parceiro da Microsoft: sem suporte
Gerenciar reservas (obtidas delegando permissões para o perfil de cobrança/registro completo):
- Contrato de Cliente da Microsoft: usuários com colaborador de perfil de cobrança ou superior
- Contrato Enterprise: usuários com administrador do Contrato Enterprise ou superior
- Contrato de Parceiro da Microsoft: sem suporte
Delegar permissões de reserva:
- Contrato de Cliente da Microsoft: usuários com colaborador de perfil de cobrança ou superior
- Contrato Enterprise: Usuários com o comprador do Contrato Enterprise ou superior
- Contrato de Parceiro da Microsoft: sem suporte
Os administradores do EA ou os Proprietários do perfil de cobrança precisam ter acesso de proprietário ou de comprador de reserva em, no mínimo, uma assinatura do EA ou MCA para comprar uma reserva. Essa opção é útil para empresas que desejam que uma equipe centralizada compre reservas. Para obter mais informações, consulte Comprar uma reserva do Azure.
Exibir e gerenciar reservas como administrador de cobrança
Se você for um usuário de função de cobrança, siga estas etapas para exibir e gerenciar todas as reservas e transações de reserva no portal do Azure.
- Entre no portal do Azure e navegue até Gerenciamento de Custos e Cobrança do Azure.
- Se você estiver em uma conta do Contrato Enterprise, no menu à esquerda, selecione escopos de Cobrança e, na lista de escopos de cobrança, selecione um.
- Se você estiver em uma conta do Contrato de Cliente da Microsoft, no menu à esquerda, selecione perfis de Cobrança. Na lista de perfis de cobrança, selecione um.
- No menu à esquerda, selecione Produtos + serviços>Reservas + Benefício Híbrido. A lista completa de reservas para o registro do Contrato Enterprise ou o perfil de cobrança do Contrato de Cliente da Microsoft é exibida.
Os usuários da função de cobrança podem assumir a propriedade de uma reserva selecionando uma ou várias reservas, selecionando Conceder acesso na janela exibida. Para um Contrato de Cliente da Microsoft, o usuário deve estar no mesmo locatário do Microsoft Entra (diretório) que a reserva.
Adicionar administradores de cobrança
Adicione um usuário como Administrador de cobrança a um Contrato Enterprise ou um Contrato de Cliente da Microsoft no portal do Azure.
Contrato Enterprise: adicione usuários com a função de administrador enterprise para exibir e gerenciar todos os pedidos de reserva que se aplicam ao Contrato Enterprise. Os administradores corporativos podem ver e gerenciar reservas no Gerenciamento de Custos e Cobrança.
- Os usuários com a função administrador enterprise (somente leitura) só podem exibir a reserva do Gerenciamento de Custos + Cobrança.
- Administradores de departamento e proprietários de conta não podem exibir reservas , a menos que sejam explicitamente adicionados a eles usando o controle de acesso (IAM). Para obter mais informações, consulte Gerenciar funções do Azure Enterprise.
Contrato de Cliente da Microsoft: os usuários com a função de proprietário do perfil de cobrança ou a função de colaborador do perfil de cobrança podem gerenciar todas as compras de reserva feitas usando o perfil de cobrança.
- Os leitores do perfil de cobrança e os gerenciadores de faturas podem ver todas as reservas pagas com o perfil de cobrança. No entanto, eles não podem fazer alterações nas reservas. Para obter mais informações, confira Funções e tarefas do perfil de cobrança.
Funções RBAC de reserva
Visão geral
O Azure fornece quatro funções RBAC específicas à reserva com níveis de permissão diferentes:
- Administrador de reserva: permite o gerenciamento de uma ou mais reservas em seu Locatário do Microsoft Entra (diretório) e delegação de funções RBAC para outros usuários.
- Comprador de reserva: permite a compra de reservas com uma assinatura especificada mesmo para proprietários que não são de assinatura.
- Colaborador de reserva: permite o gerenciamento de uma ou mais reservas em seu locatário do Microsoft Entra (diretório), mas não a delegação de funções RBAC para outros usuários.
- Leitor de reserva: permite acesso somente leitura a uma ou mais reservas em seu locatário do Microsoft Entra (diretório).
Essas funções podem ser destinadas a uma entidade de recurso específica (por exemplo, assinatura ou reserva) ou ao locatário do Microsoft Entra. Para saber mais sobre o RBAC do Azure, confira o que é o RBAC (controle de acesso baseado em função) do Azure?.
Funções RBAC de reserva necessárias para ações de reserva
Exibir reservas:
- Escopo do locatário: usuários com leitor de reserva ou superior
- Escopo da reserva: leitor interno ou superior
Gerenciar reservas:
- Escopo do locatário: usuários com colaborador de reserva ou superior
- Escopo da reserva: colaborador interno ou funções de proprietário ou colaborador de reserva ou acima
Delegar permissões de reserva:
- Escopo do locatário: os direitos de administrador do Acesso do Usuário são necessários para conceder funções RBAC a todas as reservas no locatário. Para obter esses direitos, siga as etapas de acesso do Elevate
- Escopo da reserva: administrador de reserva ou administrador de acesso do usuário
Além disso, os usuários que mantiveram a função de proprietário da assinatura quando a assinatura foi usada para comprar uma reserva também podem exibir, gerenciar e delegar permissões para a reserva adquirida.
Exibir e gerenciar reservas com acesso a RBAC
Se você tiver funções RBAC específicas de reserva (administrador de reserva, comprador, colaborador ou leitor), reservas adquiridas ou tiver sido adicionado como proprietário a reservas, siga estas etapas para exibir e gerenciar reservas no portal do Azure:
- Entre no Portal do Azure
- SelecioneReservas de Página Inicial> para listar reservas às quais você tem acesso
Dica
Se você não conseguir ver suas reservas, verifique se está conectado com a conta que tem as permissões apropriadas. Para cenários entre locatários, verifique se você está no contexto de locatário correto.
Delegar funções RBAC de reserva
Nesta seção, você encontrará como:
- Delegar a função de comprador de reserva a uma assinatura específica
- Delegar as funções de administrador, colaborador ou leitor de reserva a uma reserva específica
- Delegar as funções de administrador, colaborador ou leitor de reserva a todas as reservas
Os usuários e grupos que obtêm a capacidade de comprar, gerenciar ou exibir reservas por meio de funções RBAC devem fazer isso naReservaInicial>.
Os administradores corporativos podem assumir a propriedade de um pedido de reserva. Eles podem adicionar outros usuários a uma reserva usando o controle de acesso (IAM).
Delegar a função de Comprador de Reserva a uma assinatura específica
Para delegar a função de comprador a uma assinatura específica e depois que você tiver acesso elevado:
- Vá paraReservas Domésticas> para ver todas as reservas que estão no locatário.
- Para fazer modificações na reserva, adicione-se como proprietário da ordem de reserva usando o controle de acesso (IAM).
Delegar funções de Administrador de Reserva, Colaborador ou Leitor a uma reserva específica
Para delegar as funções de administrador, colaborador ou leitor a uma reserva específica:
- Vá para Reservas Domésticas>.
- Selecione a reserva desejada.
- Selecione controle de acesso (IAM) no painel mais à esquerda.
- Selecione Adicionar e, em seguida, selecione Adicionar atribuição de função na barra de navegação superior.
Delegar funções de Administrador de Reserva, Colaborador ou Leitor a todas as reservas
Os direitos de administrador do Acesso do Usuário são necessários para conceder funções RBAC no nível do locatário. Para obter direitos de administrador do Acesso do Usuário, siga as etapas para acesso elevado: elevar as etapas de acesso.
Em seguida, para delegar a função de administrador, colaborador ou leitor a todas as reservas em um locatário:
- Ir paraReservas Domésticas>
- Selecionar atribuição de função na barra de navegação superior
Conceder acesso a reservas individuais
Os usuários que têm acesso de proprietário nas reservas e os administradores de cobrança podem delegar o gerenciamento de acesso para uma ordem de reserva individual no portal do Azure.
Para permitir que outras pessoas gerenciem reservas, você tem duas opções:
Delegar o gerenciamento de acesso para uma ordem de reserva individual atribuindo a função Proprietário a um usuário no escopo do recurso da ordem de reserva. Se quiser permitir acesso limitado, escolha outra função. Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.
Adicione um usuário como administrador de cobrança a um Contrato Enterprise ou a um Contrato de Cliente da Microsoft:
- Para um Contrato Enterprise, adicione usuários com a função administrador empresarial para exibir e gerenciar todos os pedidos de reserva que se aplicam ao Contrato Enterprise. Os usuários com a função Administrador Da Empresa (somente leitura) só podem exibir a reserva. Administradores de departamento e proprietários de conta não podem exibir reservas, a menos que sejam explicitamente adicionados a eles usando o controle de acesso (IAM). Para obter mais informações, confira Como gerenciar funções corporativas do Azure.
Os administradores corporativos podem se apropriar de um pedido de reserva e adicionar outros usuários a uma reserva usando o Controle de acesso (IAM).
- Para um Contrato de Cliente da Microsoft, os usuários com a função proprietário ou colaborador do perfil de cobrança podem gerenciar todas as compras de reserva feitas usando o perfil de cobrança. Os leitores do perfil de cobrança e os gerenciadores de faturas podem ver todas as reservas pagas com o perfil de cobrança. No entanto, eles não podem fazer alterações nas reservas. Para obter mais informações, confira Funções e tarefas do perfil de cobrança.
Conceder acesso com o PowerShell
Os usuários que têm acesso de proprietário para pedidos de reservas, usuários com acesso elevado e Administradores de Acesso do Usuário podem delegar o gerenciamento de acesso para todos os pedidos de reserva aos quais têm acesso.
O acesso concedido usando o PowerShell não é mostrado no portal do Azure. Em vez disso, use o get-AzRoleAssignment comando na seção a seguir para exibir as funções atribuídas.
Para obter detalhes sobre como conceder acesso com o PowerShell, consulte Conceder acesso rbac às reservas do Azure usando o PowerShell.