Überlegungen und Empfehlungen zu Abonnements

Abonnements sind eine Einheit für die Verwaltung, Abrechnung und Skalierung in Azure. Sie spielen eine wichtige Rolle bei der Entwicklung für Azure im großen Stil. Die Informationen in diesem Artikel sollen Ihnen helfen, Abonnementanforderungen zu erfassen und Zielabonnements anhand wichtiger Faktoren zu entwerfen, die auf Folgendem basieren:

• Umgebungstyp
• Besitz und Governancemodell
• Organisationsstruktur
• Anwendungsportfolios

Tipp

Wir haben dieses Thema in einem aktuellen YouTube-Video erläutert: Azure Landing Zones – How many subscriptions should I use in Azure?

Hinweis

Überprüfen Sie die Abonnementgrenzwerte, wie unter Abrechnungskonten und -bereiche im Azure-Portal dokumentiert. Dieser Leitfaden richtet sich in erster Linie an Kunden, die Enterprise Agreements, Microsoft-Kundenvereinbarungen (Enterprise) oder Microsoft Partner-Vereinbarungen (CSP) verwenden.

Abonnementüberlegungen

Die folgenden Abschnitte enthalten Überlegungen zum Planen und Erstellen von Abonnements für Azure.

Entwurfsüberlegungen zu Organisation und Governance

• Abonnements fungieren bei Azure Policy-Zuweisungen als Grenzen.

  • Beispielsweise erfordern sichere Workloads wie z. B. PCI-Workloads (Payment Card Industry) in der Regel weitere Richtlinien, um Compliance zu erreichen. Anstatt eine Verwaltungsgruppe zum Sortieren von Workloads zu verwenden, die PCI-Compliance erfordern, können Sie die gleiche Abgrenzung auch mit einem Abonnement erzielen, ohne zu viele Verwaltungsgruppen mit wenigen Abonnements zu haben.

    • Wenn Sie mehrere Abonnements gruppieren müssen, die denselben Workloadarchetyp haben, sollten Sie diese in einer Verwaltungsgruppe erstellen.

• Abonnements dienen als Skalierungseinheit, sodass Komponentenworkloads innerhalb der Abonnementgrenzen der Plattform skaliert werden können. Berücksichtigen Sie beim Entwerfen Ihrer Workloads die Ressourcengrenzwerte für Abonnements.

• Abonnements stellen eine Verwaltungsgrenze für Governance und Isolation bereit, wodurch eine klare Trennung von Zuständigkeiten erreicht wird.

• Erstellen Sie separate Plattformabonnements für Verwaltung (Überwachung), Konnektivität und Identität, sofern diese erforderlich sind.

  • Erstellen Sie ein dediziertes Verwaltungsabonnement in der Plattformverwaltungsgruppe, um globale Verwaltungsfunktionen wie Log Analytics-Arbeitsbereiche in Azure Monitor und Azure Automation-Runbooks zu unterstützen.
    • Richten Sie ein dediziertes Identitätsabonnement in der Plattformverwaltungsgruppe ein, um Windows Server Active Directory-Domänencontroller bei Bedarf zu hosten.
    • Richten Sie ein dediziertes Konnektivitätsabonnement in der Plattformverwaltungsgruppe ein, um einen Azure Virtual WAN-Hub, ein privates Domain Name System (DNS), eine ExpressRoute-Leitung und andere Netzwerkressourcen zu hosten. Mit einem dedizierten Abonnement wird sichergestellt, dass alle grundlegenden Netzwerkressourcen zusammen abgerechnet und von anderen Workloads isoliert werden.
    • Verwenden Sie Abonnements als demokratisierte Verwaltungseinheit, die sich an geschäftlichen Anforderungen und Prioritäten orientiert.

• Verwenden Sie manuelle Prozesse, um Microsoft Entra-Mandanten ausschließlich auf Registrierungsabonnements für das Enterprise Agreement zu beschränken. Ein manueller Prozess verhindert die Erstellung von Microsoft Developer Network-Abonnements im Bereich der Stammverwaltungsgruppe.

  • Übermitteln Sie für den Support ein Azure-Supportticket.

• Informationen zum Übertragen von Abonnements zwischen Azure-Abrechnungsangeboten finden Sie unter Azure-Abonnement- und Reservierungsübertragungs-Hub.

Entwurfsüberlegungen zu Kontingent und Kapazität

Azure-Regionen verfügen eventuell über eine begrenzte Anzahl von Ressourcen. Daher sollten die verfügbare Kapazität und SKUs für Azure-Einführungen, die eine große Anzahl von Ressourcen umfassen, nachverfolgt werden.

• Beachten Sie für jeden von Ihren Workloads benötigten Dienst die Grenzwerte und Kontingente innerhalb der Azure-Plattform.

• Prüfen Sie die Verfügbarkeit der erforderlichen SKUs in ausgewählten Azure-Regionen. So können neue Features beispielsweise nur in bestimmten Regionen verfügbar sein. Die Verfügbarkeit bestimmter SKUs für Ressourcen wie VMs kann in verschiedenen Regionen variieren.

• Beachten Sie, dass Abonnementkontingente keine Kapazitätsgarantien sind und sich auf die jeweilige Region beziehen.

  • Informationen zu Kapazitätsreservierungen für VMs finden Sie unter Bedarfsgesteuerte Kapazitätsreservierung.

• Erwägen Sie, nicht verwendete oder außer Betrieb genommene Abonnements gemäß dem Leitfaden unter Sollten wir jedes Mal ein neues Azure-Abonnement erstellen oder können und sollten wir Azure-Abonnements wiederverwenden? – Häufig gestellte Fragen zu Azure-Zielzonen wiederzuverwenden.

Entwurfsüberlegungen zu Mandantenübertragungseinschränkungen

Jedes Azure-Abonnement ist mit einem einzigen Microsoft Entra-Mandanten verknüpft, der als Identitätsanbieter (IdP) für Ihr Azure-Abonnement fungiert. Der Microsoft Entra-Mandant wird verwendet, um Benutzer*innen, Dienste und Geräte zu authentifizieren.

Der mit Ihrem Azure-Abonnement verknüpfte Microsoft Entra-Mandant kann von Benutzer*innen mit den erforderlichen Berechtigungen geändert werden. Dieser Prozess wird in den folgenden Artikeln beschrieben:

• Zuordnen oder Hinzufügen eines Azure-Abonnements zu Ihrem Microsoft Entra-Mandanten
• Übertragen eines Azure-Abonnements in ein anderes Microsoft Entra-Verzeichnis

Hinweis

Die Übertragung an einen anderen Microsoft Entra-Mandanten wird für Azure Cloud Solution Provider-Abonnements (CSP) nicht unterstützt.

Bei Azure-Zielzonen können Sie Anforderungen festlegen, um zu verhindern, dass Benutzer*innen Abonnements an den Microsoft Entra-Mandanten Ihrer Organisation übertragen. Informationen zu dem Prozess finden Sie unter Verwalten von Azure-Abonnementrichtlinien.

Konfigurieren Sie Ihre Abonnementrichtlinie, indem Sie eine Liste der ausgenommenen Benutzer*innen bereitstellen. Ausgenommene Benutzer*innen dürfen die in der Richtlinie festgelegten Einschränkungen umgehen.

Wichtig

Eine Liste ausgenommener Benutzer*innen ist keine Azure Policy-Richtlinie.

• Überlegen Sie, ob Benutzer*innen mit Visual Studio/MSDN-Azure-Abonnements ihr Abonnement an Ihren oder von Ihrem Microsoft Entra-Mandanten übertragen dürfen.

• Mandantenübertragungseinstellungen können nur von Benutzer*innen mit der Microsoft Entra-Rolle Globaler Administrator konfiguriert werden. Diese Benutzer*innen müssen über erhöhte Zugriffsrechte verfügen, um die Richtlinie zu ändern.

  • Sie können nur einzelne Benutzerkonten als ausgenommene Benutzer*innen angeben, nicht Microsoft Entra-Gruppen.

• Alle Benutzer*innen mit Zugriff auf Azure können die für Ihren Microsoft Entra-Mandanten definierte Richtlinie anzeigen.

  • Benutzer*innen können Ihre Liste mit den ausgenommenen Benutzer*innen nicht anzeigen.

  • Benutzer können die globalen Administratoren in Ihrem Microsoft Entra-Mandanten anzeigen.

• Azure-Abonnements, die an einen Microsoft Entra-Mandanten übertragen wurden, werden in die Standardverwaltungsgruppe dieses Mandanten eingefügt.

• Das Anwendungsteam kann einen Prozess definieren, mit dem Azure-Abonnements an einen oder von einem Microsoft Entra-Mandanten übertragen werden können, sofern dies von der Organisation genehmigt wurde.

Festlegen von Entwurfsüberlegungen zur Kostenverwaltung

Die Kostentransparenz ist eine wichtige Verwaltungsaufgabe, mit der sich alle großen Organisationen befassen müssen. In diesem Abschnitt des Artikels werden wichtige Aspekte zum Erreichen von Kostentransparenz in großen Azure-Umgebungen beschrieben.

• Modelle für die verbrauchsbasierte Kostenzuteilung wie die Azure App Service-Umgebung und Azure Kubernetes Service müssen eventuell freigegeben werden, um breiter verfügbar zu sein. Freigegebene PaaS-Ressourcen (Platform-as-a-Service) können von Modellen mit verbrauchsbasierter Kostenzuteilung betroffen sein.

• Optimieren Sie die Kosten mithilfe eines Zeitplans zum Herunterfahren für nicht produktionsbezogene Workloads.

• Verwenden Sie Azure Advisor, um Empfehlungen zur Kostenoptimierung zu überprüfen.

• Richten Sie ein Modell mit verbrauchsbasierter Kostenzuteilung ein, um die Kosten in Ihrer Organisation besser aufteilen zu können.

• Implementieren Sie Richtlinien, um die Bereitstellung von Ressourcen zu verhindern, deren Bereitstellung in der Umgebung Ihrer Organisation nicht autorisiert ist.

• Richten Sie einen regulären Zeitplan und eine Kadenz ein, um die Kosten und die richtige Größe von Ressourcen für Workloads zu überprüfen.

Abonnementempfehlungen

Die folgenden Abschnitte enthalten Empfehlungen zum Planen und Erstellen von Abonnements für Azure.

Empfehlungen für Organisation und Governance

• Behandeln Sie Abonnements als eine Verwaltungseinheit, die sich an Ihren geschäftlichen Anforderungen und Prioritäten orientiert.

• Informieren Sie Abonnementbesitzer*innen über ihre Rollen und Zuständigkeiten.

  • Führen Sie quartalsweise oder jährlich eine Zugriffsprüfung in Microsoft Entra Privileged Identity Management aus, damit Berechtigungen bei Versetzungen der Benutzer*innen innerhalb Ihrer Organisation nicht weiterverbreitet werden.
  • Beanspruchen Sie die vollständige Verfügung über Budgetausgaben und Ressourcenverwendung.
  • Gewährleisten Sie die Richtlinienkompatibilität, und beheben Sie ggf. Verstöße.

• Orientieren Sie sich beim Ermitteln von Anforderungen für neue Abonnements an folgenden Grundsätzen:

  • Skalierungslimits: Abonnements dienen als Skalierungseinheit, sodass Komponenten-Workloads innerhalb der Abonnementgrenzen der Plattform skaliert werden können. Für große, spezialisierte Workloads wie High Performance Computing, IoT und SAP sollten separate Abonnements verwendet werden, um nicht an Grenzen zu stoßen.
  • Verwaltungsgrenze: Abonnements bilden eine Verwaltungsgrenze für Governance und Isolation, wodurch eine klare Trennung von Zuständigkeiten erreicht wird. Unterschiedliche Umgebungen wie Entwicklung, Test und Produktion werden im Hinblick auf die Verwaltung häufig entfernt.
  • Richtliniengrenzen: Abonnements dienen als Grenze für Azure Policy-Zuweisungen. Beispielsweise erfordern sichere Workloads (z. B. PCI-Workloads) in der Regel andere Richtlinien, um Compliance zu erzielen. Der andere Mehraufwand wird nicht berücksichtigt, wenn ein separates Abonnement verwendet wird. Entwicklungsumgebungen weisen weniger Anforderungen an Richtlinien auf als Produktionsumgebungen.
  • Topologie des Zielnetzwerks: Virtuelle Netzwerke können nicht abonnementübergreifend freigegeben werden. Sie können sie jedoch mithilfe verschiedener Technologien wie dem Peering virtueller Netzwerke oder mit Azure ExpressRoute verbinden. Berücksichtigen Sie, wenn Sie entscheiden, ob Sie ein neues Abonnement benötigen, welche Workloads miteinander kommunizieren müssen.

• Gruppieren Sie Abonnements in Verwaltungsgruppen, die sich an Ihrer Struktur der Verwaltungsgruppen und Ihren Richtlinienanforderungen orientieren. Durch das Gruppieren von Abonnements wird sichergestellt, dass Abonnements mit denselben Richtlinien und Azure-Rollenzuweisungen aus einer Verwaltungsgruppe stammen.

• Erstellen Sie ein dediziertes Verwaltungsabonnement in Ihrer Verwaltungsgruppe Platform, um globale Verwaltungsfunktionen wie Log Analytics-Arbeitsbereiche in Azure Monitor und Azure Automation-Runbooks zu unterstützen.

• Richten Sie bei Bedarf ein dediziertes Identitätsabonnement in Ihrer Verwaltungsgruppe Platform ein, um Windows Server Active Directory-Domänencontroller zu hosten.

• Richten Sie ein dediziertes Konnektivitätsabonnement in Ihrer Verwaltungsgruppe Platform ein, um einen Azure Virtual WAN-Hub, privates DNS (Domain Name System), ExpressRoute-Leitungen und andere Netzwerkressourcen zu hosten. Mit einem dedizierten Abonnement wird sichergestellt, dass alle grundlegenden Netzwerkressourcen zusammen abgerechnet und von anderen Workloads isoliert werden.

• Vermeiden Sie ein rigides Abonnementmodell. Verwenden Sie stattdessen flexible Kriterien, um Abonnements in Ihrer Organisation zu gruppieren. Mithilfe dieser Flexibilität wird sichergestellt, dass Sie angesichts von Änderungen der Struktur und der Workloadkomposition Ihrer Organisation neue Abonnementgruppen erstellen können, anstatt festgelegte vorhandene Abonnements zu verwenden. Es gibt keine universelle Methode für Abonnements. Was für eine Geschäftseinheit funktioniert, muss für eine andere nicht funktionieren. Einige Anwendungen können unter Umständen gleichzeitig im gleichen Zielzonenabonnement vorhanden sein, während andere ggf. ein eigenes Abonnement erfordern.

  • Weitere Informationen finden Sie unter Wie gehen wir in der Architektur der Azure-Zielzonen für Workloads mit „Dev/Test/Produktion“ um?.

Empfehlungen für Kontingent und Kapazität

• Verwenden Sie Abonnements als Skalierungseinheiten, und skalieren Sie Ressourcen und Abonnements nach Bedarf auf. Ihre Workload könnte dann die erforderlichen Ressourcen zum Aufskalieren verwenden, ohne Abonnementgrenzen auf der Azure-Plattform zu erreichen.

• Verwenden Sie reservierte Instanzen, um die Kapazität in einigen Regionen zu verwalten. Ihre Workload könnte dann über die erforderliche Kapazität für Ressourcen mit hohem Bedarf in einer bestimmten Region verfügen.

• Erstellen Sie ein Dashboard mit benutzerdefinierten Ansichten, um die verwendeten Kapazitätsstufen zu überwachen, und richten Sie Warnungen ein, wenn die Kapazität ein kritisches Niveau erreicht (CPU-Auslastung von 90 %).

• Stellen Sie Supportanfragen zu Kontingenterhöhungen bei der Abonnementbereitstellung, z. B. für die insgesamt verfügbaren VM-Kerne in einem Abonnement. Stellen Sie sicher, dass Ihre Kontingentgrenzen festgelegt sind, bevor Ihre Workloads die Standardgrenzwerte überschreiten.

• Stellen Sie sicher, dass die erforderlichen Dienste und Features innerhalb Ihrer ausgewählten Bereitstellungsregionen verfügbar sind.

Automatisierungsempfehlungen

• Erstellen Sie einen Abonnementverkaufsprozess, um die Erstellung von Abonnements für Anwendungsteams über einen Anforderungsworkflow zu automatisieren, wie unter Abonnementverkauf beschrieben.

Empfehlungen zur Übertragungseinschränkung bei Mandanten

• Konfigurieren Sie die folgenden Einstellungen, um zu verhindern, dass Benutzer*innen Azure-Abonnements an Ihren oder aus Ihrem Microsoft Entra-Mandanten übertragen:

  • Legen Sie Abonnements, die das Microsoft Entra-Verzeichnis verlassen auf Permit no one fest.

  • Legen Sie Abonnements, die in das Microsoft Entra-Verzeichnis eintreten auf Permit no one fest.

• Konfigurieren Sie eine begrenzte Liste von ausgenommenen Benutzer*innen.

  • Fügen Sie Mitglieder eines Azure PlatformOps-Teams (Plattformbetrieb) hinzu.
  • Fügen Sie der Liste der ausgenommenen Benutzer Notfallkonten hinzu.

Nächste Schritte

Einführen richtliniengesteuerter Schutzmaßnahmen