查看和管理 Azure 预留项的权限

2025-09-12

本文介绍预留权限在 Azure 中的工作原理，以及授权用户在 Azure 门户中以及 Azure PowerShell 中如何查看和管理 Azure 预留。

注释

建议使用 Azure Az PowerShell 模块与 Azure 交互。请参阅安装 Azure PowerShell 以开始使用。若要了解如何迁移到 Az PowerShell 模块，请参阅将 Azure PowerShell 从 AzureRM 迁移到 Az。

默认情况下谁可以管理预留

默认情况下，以下用户可以查看和管理预留：

预留订单中将添加购买预留的人员和用于购买预留的计费订阅的帐户管理员。
企业协议和 Microsoft 客户协议计费管理员。
拥有提升访问权限以管理所有 Azure 订阅和管理组的用户
预留管理员或预留参与者，对于其Microsoft Entra 租户中的预留（目录）
预留读取者对其 Microsoft Entra 租户（目录）中的预留项拥有只读访问权限

预留生命周期独立于 Azure 订阅。预留不是 Azure 订阅下的资源，而是具有独立于订阅的自己的 Azure RBAC 权限的租户级资源。在购买后，预留项不会从订阅继承权限。

查看和管理预留

两种不同的授权方法控制用户查看、管理和委托预留权限的能力：

计费管理员角色
基于角色的预留访问控制（RBAC）角色

计费管理员角色

可以使用内置计费管理员角色查看、管理和委托预留权限。若要详细了解Microsoft客户协议和企业协议计费角色，请参阅分别了解 Azure 中的客户协议管理角色和管理 Azure 企业协议角色中的Microsoft。

预留作所需的计费管理员角色

查看预留：

Microsoft客户协议：具有计费配置文件读取者或更高版本的用户
企业协议：具有企业管理员的用户（只读）或更高版本
Microsoft合作伙伴协议：不支持

管理预留 （通过委派完整计费配置文件/注册的权限来实现）：

Microsoft客户协议：具有计费配置文件参与者或更高版本的用户
企业协议：具有企业协议管理员或更高版本的用户
Microsoft合作伙伴协议：不支持

委托预留权限：

Microsoft客户协议：具有计费配置文件参与者或更高版本的用户
企业协议：具有企业协议购买者或更高版本的用户
Microsoft合作伙伴协议：不支持

EA 管理员或计费对象信息所有者必须在至少一个 EA 或 MCA 订阅上具有所有者访问权限或预留购买者访问权限才能购买预留。此选项对于希望集中团队购买预留的企业非常有用。有关详细信息，请参阅 “购买 Azure 预留”。

以计费管理员身份查看和管理预留

如果你是计费角色用户，请按照以下步骤在 Azure 门户中查看和管理所有预留和预留交易。

登录到 Azure 门户，导航到成本管理 + 计费。
- 如果你位于企业协议帐户下，请在左侧菜单中选择 “计费范围 ”，然后在计费范围列表中选择一个。
- 如果使用的是Microsoft客户协议帐户，请在左侧菜单中选择 “计费配置文件”。在计费配置文件列表中选择一个计费配置文件。
在左侧菜单中，选择 “产品和服务>预留 + 混合权益”。将显示企业协议注册或Microsoft客户协议计费配置文件的预留的完整列表。

计费角色用户可以通过选择一个或多个预留来获取预留的所有权，并在显示的窗口中选择 “授予访问权限 ”。对于Microsoft客户协议，用户应与预留位于同一Microsoft Entra 租户（目录）中。

添加计费管理员

在 Azure 门户中，将用户作为计费管理员添加到企业协议或 Microsoft 客户协议。

企业协议：添加具有 企业管理员 角色的用户，以查看和管理适用于企业协议的所有预留订单。企业管理员可以在“成本管理 + 计费”中查看和管理预留项。
- 具有 企业管理员（只读） 角色的用户只能查看 成本管理 + 计费中的预留。
- 部门管理员和帐户所有者无法查看预留，除非使用访问控制（IAM）将其显式添加到预留。有关详细信息，请参阅 “管理 Azure 企业角色”。
Microsoft客户协议：具有计费配置文件所有者角色或计费配置文件参与者角色的用户可以管理使用计费配置文件进行的所有预留购买。
- 计费配置文件阅读者和发票管理员可以通过计费配置文件查看付费的所有预留。但是，他们不能对预留进行更改。有关详细信息，请参阅计费概况角色和任务。

预留 RBAC 角色

概述

Azure 提供四个具有不同权限级别的特定于预留的 RBAC 角色：

预留管理员：允许管理其Microsoft Entra Tenant（目录）中的一个或多个预留，以及将 RBAC 角色委派给其他用户。
预留购买者：允许购买具有指定订阅的预留，即使对于非订阅所有者也是如此。
预留参与者：允许管理其Microsoft Entra 租户（目录）中的一个或多个预留，但不允许将 RBAC 角色委派给其他用户。
预留读取者：允许对其Microsoft Entra 租户（目录）中的一个或多个预留进行只读访问。

这些角色可以限定为特定资源实体（例如订阅或预留）或Microsoft Entra 租户。若要了解有关 Azure RBAC 的详细信息，请参阅什么是 Azure 基于角色的访问控制（Azure RBAC？）。

预留作所需的预留 RBAC 角色

查看预留：

租户范围：具有预留读取者或更高版本的用户
预留范围：内置读取器或更高版本

管理预留：

租户范围：具有预留参与者或更高版本的用户
预留范围：内置参与者或所有者角色、预留参与者或更高版本

委托预留权限：

租户范围：需要用户访问管理员权限才能向租户中的所有预留授予 RBAC 角色。若要获取这些权限，请遵循 Elevate 访问步骤
预留范围：预留管理员或用户访问管理员

此外，使用订阅购买预留时拥有订阅所有者角色的用户还可以查看、管理和委托已购买预留的权限。

使用 RBAC 访问权限查看和管理预留

如果你有特定于预留的 RBAC 角色（预留管理员、购买者、参与者或读者）、购买的预留，或者作为预留的所有者添加到预留，请按照以下步骤在 Azure 门户中查看和管理预留：

登录到 Azure 门户
选择 “家庭>预留 ”以列出你有权访问的预留

小窍门

如果看不到预留，请确保使用具有相应权限的帐户登录。对于跨租户方案，请确保你位于正确的租户上下文中。

委托预留 RBAC 角色

在本部分下，你将了解如何：

将预留购买者角色委托给特定订阅
将预留管理员、参与者或读者角色委托给特定预留
将预留管理员、参与者或读者角色委托给所有预留

通过 RBAC 角色购买、管理或查看预留的用户和组必须从家庭>预留中执行此作。

企业管理员可以拥有预留订单的所有权。他们可以使用 访问控制（IAM）将其他用户添加到预留。

将预留购买者角色委托给特定订阅

若要将购买者角色委托给特定订阅，并在提升访问权限后：

转到家庭>预留，查看租户中的所有预留。
若要对预留进行修改，请使用 访问控制（IAM）将自己添加为预留订单的所有者。

将预留管理员、参与者或读者角色委派给特定预留

若要将管理员、参与者或读者角色委托给特定预留，请执行以下作：

转到家庭>预订。
选择所需的预留。
在最左侧窗格中选择 “访问控制”（IAM ）。
选择 “添加”，然后从顶部导航栏中选择 “添加角色分配 ”。

将预留管理员、参与者或读者角色委派给所有预留

在租户级别授予 RBAC 角色需要用户访问管理员权限。若要获取用户访问管理员权限，请遵循提升访问权限的步骤：提升访问权限步骤。

然后，若要将管理员、参与者或读者角色委托给租户中的所有预留：

转到家庭>预订
从顶部导航栏中选择角色分配

授予对单个预留的访问权限

对预留拥有所有者访问权限的用户和计费管理员可以在 Azure 门户中委派单个预留订单的访问管理。

若要允许其他人管理预留，可通过两种方式实现：

通过将“所有者”角色分配给预留订单的资源范围内的用户来委托单个预留订单的访问管理。如果希望提供有限的访问权限，请选择其他角色。有关详细步骤，请参阅使用 Azure 门户分配 Azure 角色。
将用户作为计费管理员添加到 企业协议或Microsoft客户协议：
- 对于企业协议，请添加具有企业管理员角色的用户，以查看和管理适用于企业协议的所有预留订单。具有 企业管理员（只读） 角色的用户只能查看预留。部门管理员和帐户所有者无法查看预留，除非使用访问控制（IAM）将其显式添加到预留。有关详细信息，请参阅管理 Azure 企业角色。

企业管理员可以获得预留订单的所有权，并可以使用访问控制 (IAM) 将其他用户添加到预留。

在 Microsoft 客户协议下，具有计费配置文件所有者角色或计费配置文件参与者角色的用户可以管理使用计费配置文件完成的所有预留购买。计费配置文件阅读者和发票管理员可以通过计费配置文件查看付费的所有预留。但是，他们不能对预留进行更改。有关详细信息，请参阅计费概况角色和任务。

使用 PowerShell 授予访问权限

拥有预留订单所有者访问权限的用户、具有提升访问权限的用户和用户访问管理员可以委托他们有权访问的所有预留订单的访问管理。

Azure 门户中未显示使用 PowerShell 授予的访问权限。但是，你可以在以下部分使用 get-AzRoleAssignment 命令来查看分配的角色。

有关使用 PowerShell 授予访问权限的详细信息，请参阅使用 PowerShell 授予对 Azure 预留的 RBAC 访问权限。

通过