Planen der Enterprise Agreement-Registrierung

  • Artikel

Eine Enterprise Agreement-Registrierung stellt die geschäftliche Beziehung zwischen Microsoft und der Art und Weise dar, wie Ihre Organisation Azure verwendet. Sie ist die Abrechnungsgrundlage für Ihre Abonnements und die Art und Weise der Verwaltung Ihrer digitalen Infrastruktur. Das Blatt „Cost Management + Abrechnung“ im Azure-Portal hilft Ihnen bei der Verwaltung Ihrer Enterprise Agreement-Registrierung. Eine Registrierung bildet häufig die Hierarchie einer Organisation ab, einschließlich ihrer Abteilungen, Konten und Abonnements. Diese Hierarchie stellt Kostenerfassungsgruppen innerhalb einer Organisation dar.

Hinweis

Das Azure EA-Portal (https://ea.azure.com) wurde am 15. Februar 2024 eingestellt. Ab jetzt sollen Kunden Ihre Registrierung wie nachfolgend beschrieben im Azure-Portal über das Blatt „Kostenverwaltung + Abrechnung“ verwalten:

Diagram that shows Azure Enterprise Agreement hierarchies.

  • Abteilungen helfen dabei, Kosten in logische Gruppen aufzuteilen und anschließend auf Abteilungsebene ein Budget oder ein Kontingent festzulegen. Das Kontingent wird nicht strikt durchgesetzt, sondern dient der Berichtserstellung.

  • Bei Konten handelt es sich um Organisationseinheiten des Azure EA-Portals. Sie können zum Verwalten von Abonnements und das Zugreifen auf Berichte verwendet werden.

  • Abonnements sind die kleinsten Einheiten im Azure EA-Portal. Dabei handelt es sich um Container für Azure-Dienste, die von Dienstadministrator*innen verwaltet werden. Hier stellt Ihre Organisation Azure-Dienste bereit.

  • Enterprise Agreement-Registrierungsrollen ordnen Benutzer ihrer funktionalen Rolle zu. Die folgenden Rollen sind vorhanden:

    • Unternehmensadministrator
    • Abteilungsadministrator
    • Kontobesitzer
    • Dienstadministrator
    • Benachrichtigungskontakt

So bezieht sich eine Enterprise Agreement-Registrierung auf Microsoft Entra ID und Azure RBAC

Wenn Ihre Organisation eine Enterprise Agreement-Registrierung für Azure-Abonnements verwendet, ist es wichtig, die verschiedenen Authentifizierungs- und Autorisierungsgrenzen und die Beziehung zwischen diesen Grenzen zu verstehen.

Zwischen Azure-Abonnements und einem Microsoft Entra-Mandanten besteht eine inhärente Vertrauensbeziehung, die unter Zuordnen oder Hinzufügen eines Azure-Abonnements zu Ihrem Microsoft Entra-Mandanten näher beschrieben wird. Eine Enterprise Agreement-Registrierung kann auch einen Microsoft Entra-Mandanten als Identitätsanbieter verwenden, je nachdem, welche Authentifizierungsebene für die Registrierung festgelegt und welche Option beim Erstellen des Registrierungskontobesitzers ausgewählt wurde. Abgesehen vom Kontobesitzer verfügen Enterprise Agreement-Registrierungsrollen jedoch nicht über Zugriff auf Microsoft Entra ID oder die Azure-Abonnements innerhalb dieser Registrierung.

Beispielsweise erhalten Finanzbenutzer*innen die Rolle „Unternehmensadministrator“ für die Enterprise Agreement-Registrierung. Es handelt sich um Standardbenutzer*innen ohne höhere Berechtigungen oder Rollen, die ihnen in Microsoft Entra ID oder in anderen Azure-Verwaltungsgruppen, -Abonnements, -Ressourcengruppen oder -Ressourcen zugewiesen wurden. Der Finanzbenutzer kann nur die unter Verwalten von Azure Enterprise Agreement-Rollen aufgeführten Rollen bekleiden und nicht auf die Azure-Abonnements der Registrierung zugreifen. Die einzige Enterprise Agreement-Rolle mit Zugriff auf Azure-Abonnements ist der Kontobesitzer, da diese Berechtigung beim Erstellen des Abonnements erteilt wurde.

Diagram that shows Azure Enterprise Agreement relationship with Microsoft Entra ID and RBAC.

Überlegungen zum Entwurf

  • Die Registrierung bietet eine hierarchische Organisationsstruktur, mit der die Verwaltung von Abonnements gesteuert wird. Weitere Informationen finden Sie im Abschnitt Unternehmensadministrator.

  • Einer einzelnen Registrierung kann eine Reihe von Administratoren zugewiesen werden.

  • Jedes Abonnement sollte einen designierten Kontobesitzer haben. Ausführliche Informationen zum bedarfsgesteuerten Ändern dieser Einstellung finden Sie unter Ändern des Besitzes von Azure-Abonnements oder -Konten.

  • Kontobesitzer sind Abonnementbesitzer aller Abonnements, die in dem betreffenden Konto bereitgestellt werden.

  • Ein Abonnement kann jeweils nur einem Konto gehören.

  • Es können bestimmte Kriterien verwendet werden, um zu bestimmen, ob ein Abonnement gesperrt werden soll.

  • Abrechnungs- und Nutzungsberichte für die Registrierung können nach Abteilungen und Konten gefiltert werden.

  • Unter Programmgesteuertes Erstellen von Azure Enterprise Agreement-Abonnements mit den neuesten APIs finden Sie weitere Informationen zu Einschränkungen von Enterprise Agreement Abonnements.

Entwurfsempfehlungen

  • Verwenden Sie für alle Kontotypen nur den Authentifizierungstyp Work or school account. Vermeiden Sie die Verwendung des Kontotyps Microsoft account (MSA).

  • Richten Sie eine Kontakt-E-Mail-Adresse für Benachrichtigungen ein, um sicherzustellen, dass Benachrichtigungen an das richtige Gruppenpostfach gesendet werden.

  • Eine Organisation kann über eine Vielzahl von Strukturen verfügen, darunter funktionelle, geografische, Abteilungs-, Matrix- oder Teamstrukturen. Die Verwendung von Abteilungen und Konten zum Zuordnen der Struktur Ihrer Organisation zu Ihrer Registrierungshierarchie kann beim Erstellen getrennter Abrechnungen helfen.

  • Verwenden Sie Azure Cost Management + Billing-Berichte und Ansichten, die Azure-Metadaten (z. B. Tags und Speicherort) verwenden können, um die Kosten Ihrer Organisation zu untersuchen und zu analysieren.

  • Beschränken und minimieren Sie die Anzahl der Kontobesitzer innerhalb der Registrierung, um den Administratorzugriff auf Abonnements und zugehörige Azure-Ressourcen zu beschränken.

  • Weisen Sie jeder Abteilung und jedem Konto ein Budget zu, und richten Sie eine Warnung für das betreffende Budget ein.

  • Erstellen Sie neue Abteilungen für IT nur, wenn die entsprechenden Geschäftsbereiche über unabhängige IT-Funktionen verfügen.

  • Wenn Sie mehrere Microsoft Entra-Mandanten verwenden, vergewissern Sie sich, dass der Kontobesitzer demselben Mandanten zugeordnet ist, in dem auch die Abonnements für das Konto bereitgestellt werden.

  • Verwenden Sie für Entwicklungs-/Testworkloads (Dev/Test) das Enterprise Dev/Test-Angebot, sofern verfügbar. Stellen Sie sicher, dass Sie die Nutzungsbedingungen einhalten.

  • Ignorieren Sie keine E-Mails mit Benachrichtigungen, die an die E-Mail-Adresse des Benachrichtigungskontos gesendet werden. Microsoft sendet wichtige Enterprise Agreement-Aufforderungen an dieses Konto.

  • Ein Enterprise Agreement-Konto darf in Microsoft Entra ID nicht verschoben oder umbenannt werden.

  • Überprüfen Sie regelmäßig im Azure EA-Portal, wer Zugriff hat, und verwenden Sie möglichst kein Microsoft-Konto.

  • Aktivieren Sie sowohl DA-Ansichtsgebühren als auch AO-Ansichtsgebühren für jede Enterprise Agreement-Registrierung, damit Benutzer*innen mit den richtigen Berechtigungen Azure Cost Management + Billing-Daten anzeigen können.

  • Jeder Benutzer, der über Berechtigungen für eine Registrierung zum Erstellen von Abonnements verfügt, wie hier beschrieben, muss genau wie jedes andere privilegierte Konto mit Multi-Faktor-Authentifizierung (MFA) geschützt werden, wie hier dokumentiert.