Administración de los roles del Contrato Enterprise de Azure
Para ayudar a administrar el uso y gasto de su organización, los clientes de Azure con un Contrato Enterprise pueden asignar seis roles de administrador diferentes:
- Administrador de empresa
- Administrador de empresa (solo lectura)¹
- Comprador de EA
- Administrador de departamentos
- Administrador de departamento (solo lectura)
- Propietario de la cuenta²
¹ El contacto de facturación del Contrato Enterprise estará bajo este rol.
² No se puede agregar ni cambiar el contacto de destinatario de la factura en EA Portal de Azure y se agregará a la inscripción de EA según el usuario que esté configurado como tal en el nivel de contrato. Para cambiar el contacto de destinatario de la factura, es necesario realizar una solicitud a través de un asesor de software o asociado al centro de operaciones regional (ROC).
El primer administrador de inscripciones que se configure durante el aprovisionamiento de la inscripción determina el tipo de autenticación de la cuenta de contacto de facturación. Cuando el contacto de facturación se agrega a Enterprise Portal como administrador de solo lectura, se le proporciona la autenticación de la cuenta Microsoft.
Por ejemplo, si el tipo de autenticación inicial se establece en Mixto, EA se agregará como un cuenta Microsoft y el contacto de facturación tendrá privilegios de administrador de EA de solo lectura. Si el administrador de EA no aprueba la autorización de un cuenta Microsoft para un contacto de facturación existente, puede eliminar el usuario en cuestión y pedir al cliente que vuelva a agregarlo como administrador de solo lectura con una cuenta profesional o educativa establecida únicamente en el nivel de inscripción en el portal de EA.
Estos roles son específicos de la administración de Contratos Enterprise de Azure y son adicionales a los roles integrados que tiene Azure para controlar el acceso a los recursos. Para más información, consulte Roles integrados en Azure.
Nota:
Se recomienda que los clientes directos e indirectos de EA en Azure usen Cost Management + facturación en Azure Portal para administrar su inscripción y facturación en lugar de usar el portal de EA. Para más información sobre la administración de inscripciones en Azure Portal, consulte Introducción a la facturación de EA en Azure Portal.
A partir del 20 de febrero de 2023, los clientes indirectos de EA no podrán administrar su cuenta de facturación en el portal de EA. En su lugar, deben usar Azure Portal.
Este cambio no afecta a las inscripciones de EA de Azure Government. Estas continúan usando el portal de EA para administrar su inscripción.
Azure Portal para Cost Management y facturación
La jerarquía de Azure Portal para Cost Management consta de:
Azure Portal para Cost Management: portal de administración en línea que ayuda a administrar los costes de los servicios de Azure EA. Puede:
- Crear una jerarquía de Azure EA con departamentos, cuentas y suscripciones.
- Conciliar los costos de los servicios consumidos, descargar informes de uso y ver listas de precios.
- Crear claves de API para la inscripción.
Los departamentos ayudan a segmentar los costos en agrupaciones lógicas. Los departamentos le permiten establecer un presupuesto o una cuota a nivel de departamento.
Las cuentas son unidades organizativas de Azure Portal para Cost Management. Puede usar las cuentas para administrar las suscripciones y obtener acceso a los informes.
Las suscripciones son la unidad más pequeña de Azure Portal para Cost Management. Son contenedores para servicios administrados de Azure por el rol Propietario de la cuenta, también conocido como administrador de servicios de la suscripción.
En el siguiente diagrama se ilustran las jerarquías simples de Azure EA.
Roles de los usuarios de empresa
Los siguientes roles de usuario administrativo forman parte de la inscripción empresarial:
- Administrador de empresa
- Comprador de EA
- Administrador de departamentos
- Propietario de cuenta
- Administrador de servicios
- Contacto para notificaciones
Use la hoja Cost Management de Azure Portal en Azure Portal para administrar roles de Contrato Enterprise de Azure.
Los clientes directos de EA pueden completar todas las tareas administrativas en Azure Portal. Puede usar Azure Portal para administrar la facturación, los costos y los servicios de Azure.
Los roles de usuario están asociados a una cuenta de usuario. Para validar la autenticidad de los usuarios, todos ellos deben tener una cuenta profesional, educativa o de Microsoft válida. Asegúrese de que cada cuenta está asociada a una dirección de correo electrónico que se supervisa activamente. Las notificaciones de inscripción se envían a la dirección de correo electrónico.
Nota
El rol Propietario de la cuenta se asigna a menudo a una cuenta de servicio que no tiene un correo electrónico supervisado activamente.
Al configurar usuarios, puede asignar varias cuentas al rol Administrador de empresa. Una inscripción puede tener varios propietarios de la cuenta, por ejemplo, uno por departamento. Además, puede asignar tanto el rol Administrador de empresa como el rol Propietario de cuenta a una sola cuenta.
Administrador de empresa
Los usuarios con este rol tienen el nivel de acceso más alto a la inscripción. Pueden realizar las acciones siguientes:
- Administrar cuentas y propietarios de cuentas.
- Administrar otros administradores de empresa.
- Administrar administradores de departamento.
- Administrar contactos de notificación.
- Comprar servicios de Azure, incluidas reservas.
- Ver el uso en todas las cuentas.
- Ver los cargos no facturados en todas las cuentas.
- Ver y administrar no solo todos los pedidos de reserva, sino también las propias reservas que se aplican al Contrato Enterprise.
- El administrador de empresa (solo lectura) puede ver tanto los pedidos de reserva como las propias reservas, pero no pueden administrarlos.
Puede tener varios administradores de empresa en una inscripción empresarial. Puede conceder acceso de solo lectura a los administradores de empresa.
El rol de administrador de Contrato Enterprise hereda automáticamente todo el acceso y los privilegios del rol de administrador del departamento. Por consiguiente, a los administradores de Contrato Enterprise no es necesario asignarles manualmente el rol de administrador del departamento.
El rol de administrador de empresa se puede asignar a varias cuentas.
Comprador de EA
Los usuarios con este rol tienen permisos para comprar servicios de Azure, pero no se les permite administrar cuentas. Pueden realizar las acciones siguientes:
- Comprar servicios de Azure, incluidas reservas.
- Ver el uso en todas las cuentas.
- Ver los cargos no facturados en todas las cuentas.
- Ver y administrar no solo todos los pedidos de reserva, sino también las propias reservas que se aplican al Contrato Enterprise.
Actualmente, el rol de comprador de EA solo está habilitado para el acceso basado en SPN. Para aprender a asignar el rol a un nombre de entidad de seguridad de servicio, consulte Asignación de roles a los nombres de entidad de seguridad de servicio del Contrato Enterprise de Azure.
Administrador de departamentos
Los usuarios con este rol pueden:
- Crear y administrar departamentos.
- Crear nuevos propietarios de cuentas.
- Ver detalles de uso de los departamentos que administran.
- Ver los costos, si tienen los permisos necesarios.
Puede tener varios administradores de departamento en cada inscripción empresarial.
Puede conceder a los administradores de departamento acceso de solo lectura al editar o crear un nuevo administrador de departamento. Establezca la opción de solo lectura en Sí.
Propietario de cuenta
Los usuarios con este rol pueden:
- Crear y administrar suscripciones.
- Administrar administradores de servicios.
- Ver el uso de las suscripciones.
Todas las cuentas requieren una cuenta profesional, educativa o de Microsoft única. Para obtener más información sobre los roles administrativos de Azure Enterprise Portal, consulte Roles administrativos del Contrato Enterprise de Azure en Azure.
Solo puede haber un propietario de la cuenta por cuenta. Sin embargo, puede haber varias cuentas en una inscripción de EA. Cada cuenta tiene un propietario de la cuenta único.
Para diferentes cuentas de Microsoft Entra, la configuración de permisos podría tardar más de 30 minutos en surtir efecto.
Administrador de servicios
El rol Administrador de servicios tiene permisos para administrar servicios en Azure Portal y asignar a los usuarios el rol de coadministrador.
Contacto para notificaciones
El contacto para notificaciones recibe las notificaciones de uso relacionadas con la inscripción.
En las secciones siguientes se describen las limitaciones y funcionalidades de cada rol.
Límite de usuarios para roles de administrador
| Role | Límite de usuarios |
|---|---|
| Administrador de empresa | Sin límite |
| Administrador de empresa (solo lectura) | Sin límite |
| Comprador de EA asignado a un nombre de entidad de seguridad de servicio | Sin límite |
| Administrador de departamentos | Sin límite |
| Administrador de departamento (solo lectura) | Sin límite |
| Propietario de cuenta | 1 por cuenta³ |
³ Cada cuenta requiere una única cuenta de Microsoft o una cuenta profesional o educativa.
Estructura de organización y permisos por rol
| Tareas | Administrador de empresa | Administrador de empresa (solo lectura) | Comprador de EA | Administrador de departamentos | Administrador de departamento (solo lectura) | Propietario de cuenta | Asociado |
|---|---|---|---|---|---|---|---|
| Ver administradores de empresa | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Agregar o quitar administradores de empresa | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Ver contactos de notificación⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Agregar o quitar contactos de notificación⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Crear y administrar departamentos | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Ver administradores de departamento | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| Agregar o quitar administradores de departamento | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
| Ver cuentas en la inscripción | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
| Agregar cuentas a la inscripción y cambiar el propietario de la cuenta | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
| Compra de reservas | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
| Crear y administrar suscripciones y permisos de suscripción | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ A los contactos de notificación se les envían comunicaciones por correo electrónico sobre el Contrato Enterprise de Azure.
- ⁵ La tarea se limita a las cuentas de su departamento.
- ⁶ El propietario de una suscripción o el comprador de una reserva puede comprar y administrar reservas y planes de ahorro dentro de la suscripción, y solo si lo permite el indicador de compra de reserva habilitada. Los administradores de Enterprise pueden comprar y administrar reservas y planes de ahorro en la cuenta de facturación. Los administradores de Enterprise (solo lectura) pueden ver todas las reservas y planes de ahorro comprados. Ninguna función de administrador de EA se rige por el indicador de compra de reserva habilitada. Si bien el titular de la función de administrador Enterprise (solo lectura) no puede realizar compras, ya que no se rige por la compra de reserva habilitada, si un usuario con esa función también tiene un permiso de propietario de suscripción o comprador de reserva, ese usuario puede comprar reservas. y planes de ahorro incluso si el indicador de compra de reserva habilitada está establecido en falso
Adición de un nuevo administrador de empresa
Los administradores de empresa tienen los máximos privilegios al administrar una inscripción del Contrato Enterprise de Azure. Se creó el administrador del Contrato Enterprise de Azure inicial cuando se configuró el acuerdo del Contrato Enterprise. Sin embargo, puede agregar o quitar nuevos administradores en cualquier momento. Solo los administradores existentes agregan nuevos administradores. Para más información sobre cómo agregar administradores de empresa adicionales, consulte Creación de otro administrador de empresa. Los clientes directos de EA pueden usar Azure Portal para agregar administradores de EA. Consulte Creación de otro administrador de empresa en Azure Portal. Para más información acerca de los roles del perfil de facturación, consulte Tareas y roles del perfil de facturación.
Actualización del estado del propietario de la cuenta, de pendiente a activo
Cuando se agregan nuevos propietarios de la cuenta a una inscripción del Contrato Enterprise de Azure por primera vez, su estado aparece como pendiente. Cuando un nuevo propietario de la cuenta recibe el correo electrónico de bienvenida de activación, puede iniciar sesión para activar su cuenta.
Nota
Si el propietario de la cuenta es una cuenta de servicio y no tuviera un correo electrónico, use una sesión de In-Private para iniciar sesión en Azure Portal y vaya a Cost Management para que se le pida que acepte el correo electrónico de bienvenida de activación.
Al activar su cuenta, el estado de la cuenta se actualiza de pendiente a activa. El propietario de la cuenta tiene que leer el mensaje de advertencia y seleccionar Continuar. Es posible que se pida a los nuevos usuarios que escriban su nombre y apellidos para crear una cuenta comercial. En ese caso, deben agregar la información necesaria para continuar y, acto seguido, se activará la cuenta.
Nota
Una suscripción está asociada a una cuenta y solo una. El mensaje de advertencia incluye información que advierte al propietario de la cuenta de que al aceptar la oferta se moverán las suscripciones asociadas a la cuenta a la nueva inscripción.
Adición de un administrador de departamento
Cuando un administrador de Contrato Enterprise de Azure crea un departamento, el administrador puede agregar administradores de departamento y asociar cada uno de ellos a un departamento. Un administrador de departamento puede crear nuevas cuentas. Se necesitan nuevas cuentas para que se creen las suscripciones del Contrato Enterprise de Azure.
Los administradores directos de EA pueden agregar administradores de departamento en Azure Portal. Para más información, consulte Creación de un administrador de departamento de Azure EA.
Acceso de uso y costos por rol
| Tareas | Administrador de empresa | Administrador de empresa (solo lectura) | Comprador de EA | Administrador de departamentos | Administrador de departamento (solo lectura) | Propietario de cuenta | Asociado |
|---|---|---|---|---|---|---|---|
| Ver saldo de crédito, incluido el prepago de Azure | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Ver cuotas de gastos de departamento | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Establecer cuotas de gasto de departamento | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Ver la hoja de precios de EA de la organización | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Ver los detalles de uso y costo | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Administrar recursos en Azure Portal | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Requiere que el administrador de Enterprise habilite la directiva de cargos de visualización de DA en el portal de Enterprise. El administrador de departamento puede entonces ver los detalles de costo del departamento.
- ⁸ Requiere que el administrador de Enterprise habilite la directiva de cargos de visualización de AO en el portal de Enterprise. El propietario de la cuenta puede ver entonces los detalles del costo de la cuenta.
Consulte los precios de los diferentes roles de usuario
Es posible que vea un precio diferente en Azure Portal según su rol administrativo y cómo el administrador de empresa haya establecido las directivas de visualización de los cargos. La habilitación de roles de Administrador de departamento y Propietario de la cuenta para ver los cargos se puede restringir mediante la restricción del acceso a la información de facturación.
Para saber cómo establecer estas directivas, consulte Administración del acceso a la información de facturación en Azure.
En la tabla siguiente se muestra la relación entre los roles de administrador del Contrato Enterprise, la directiva de visualización de cargos, el rol de Azure en Azure Portal y los precios que ve en Azure Portal. El administrador de empresa siempre ve los detalles de uso según los precios de EA de la organización. Sin embargo, el administrador de departamento y el propietario de la cuenta tienen vistas de precios diferentes según la directiva de visualización de cargos y su rol de Azure. El rol de administrador de departamento que se muestra en la tabla siguiente hace referencia a los roles de administrador de departamento y administrador de departamento (solo lectura).
| Rol de administrador de Contrato Enterprise | Directiva de visualización de cargos por rol | Rol de Azure | Vista de precios |
|---|---|---|---|
| Propietario de la cuenta o administrador de departamento | ✔ Habilitado | Propietario | Precios de EA de la organización |
| Propietario de la cuenta o administrador de departamento | ✘ Deshabilitado | Propietario | No hay precios |
| Propietario de la cuenta o administrador de departamento | ✔ Habilitado | None | No hay precios |
| Propietario de la cuenta o administrador de departamento | ✘ Deshabilitado | None | No hay precios |
| None | No aplicable | Propietario | No hay precios |
El rol de administrador de Enterprise y las directivas de visualización de cargos se establecen en Enterprise Portal. El rol de Azure puede actualizarse en Azure Portal. Para más información, consulte Asignación de roles de Azure mediante Azure Portal.