Plan de inscripción en el Contrato Enterprise

  • Artículo

Una inscripción en el Contrato Enterprise representa la relación comercial entre Microsoft y el modo en que su organización usa Azure. Proporciona la base de facturación para las suscripciones y cómo se administra su patrimonio digital. La hoja Cost Management + facturación de Azure Portal le ayudará a administrar la inscripción de Enterprise Agreement. Una inscripción suele representar la jerarquía de una organización: departamentos, cuentas y suscripciones. Esta jerarquía representa los grupos de costos de inscripción dentro de una organización.

Nota:

El portal Azure EA (https://ea.azure.com) dejó de funcionar el 15 de febrero de 2024. A partir de ahora, los clientes deberán gestionar su suscripción como se describe a continuación en el portal Azure a través de la hoja Cost Management + Billing:

Diagram that shows Azure Enterprise Agreement hierarchies.

  • Los departamentos ayudan a dividir los costos en agrupaciones lógicas y a establecer un presupuesto o una cuota en el nivel de departamento. La cuota no se aplica firmemente y se utiliza en la elaboración de informes.

  • Las cuentas son unidades organizativas en el portal de Azure EA. Se pueden usar para administrar las suscripciones y acceder a los informes.

  • Las suscripciones son la unidad más pequeña del portal EA de Azure. Son contenedores para los servicios de Azure que administra el administrador de servicios. Es donde la organización implementa los servicios de Azure.

  • Los roles de la inscripción en el Contrato Enterprise vinculan a los usuarios con su rol funcional. Estos roles son:

    • Administrador de empresa
    • Administrador de departamentos
    • Propietario de cuenta
    • Administrador de servicios
    • Contacto para notificaciones

Relación de la inscripción en el Contrato Enterprise con Microsoft Entra ID y RBAC de Azure

Cuando su organización usa una inscripción en el Contrato Enterprise para suscripciones de Azure, es importante comprender los distintos límites de autenticación y autorización, así como la relación entre estos límites.

Hay una relación de confianza inherente entre las suscripciones de Azure y un inquilino de Microsoft Entra, que se describe más adelante en Asociación o incorporación de una suscripción de Azure al inquilino de Microsoft Entra. Una inscripción en el Contrato Enterprise también puede usar un inquilino de Microsoft Entra como proveedor de identidades, según el nivel de autenticación establecido en la inscripción y la opción que se seleccionó cuando se creó el propietario de la cuenta de inscripción. Sin embargo, aparte del propietario de la cuenta, la inscripción en el Contrato Enterprise no proporciona acceso a Microsoft Entra ID ni a las suscripciones de Azure de esa inscripción.

Por ejemplo, a un usuario financiero se le concede un rol de administrador de empresa en la inscripción en el Contrato Enterprise. Es un usuario estándar sin permisos o roles elevados asignados en Microsoft Entra ID o en cualquier grupo de administración, suscripción, grupo de recursos o recurso de Azure. El usuario financiero solo puede realizar los roles enumerados en Administración de roles de la inscripción en el Contrato Enterprise y no puede acceder a las suscripciones de Azure en la inscripción. El único rol de Contrato Enterprise con acceso a las suscripciones de Azure es el propietario de la cuenta porque este permiso se concedió cuando se creó la suscripción.

Diagram that shows Azure Enterprise Agreement relationship with Microsoft Entra ID and RBAC.

Consideraciones de diseño

  • La inscripción proporciona una estructura organizativa jerárquica para controlar la administración de las suscripciones. Para más información, consulte Administración de roles de Contrato Enterprise de Azure.

  • Se puede asignar un intervalo de administradores a una sola inscripción.

  • Cada suscripción debe tener un propietario de cuenta designado. Consulte guía de administración del portal EA de Azure para más información sobre cómo cambiar esto, en caso de ser necesario.

  • Cada propietario de la cuenta se convertirá en un propietario de suscripción para todas las suscripciones aprovisionadas en esa cuenta.

  • Una suscripción solo puede pertenecer a una cuenta en un momento dado.

  • Se puede usar un conjunto específico de criterios para determinar si se debe suspender una suscripción.

  • Los departamentos y las cuentas pueden filtrar los informes de facturación y uso de la inscripción.

  • Consulte Creación de suscripciones de Contrato Enterprise de Azure mediante programación con las API más recientes para obtener más información sobre las limitaciones de la suscripción Contrato Enterprise.

Recomendaciones de diseño

  • Use solo el tipo de autenticación Work or school account en todos los tipos de cuenta. Evite el uso del tipo de cuenta Microsoft account (MSA).

  • Configure la dirección de correo electrónico de contacto para recibir notificaciones y así asegurarse de que estas se envían a un buzón de grupo adecuado.

  • Una organización puede tener varias estructuras, como una estructura funcional, de división, geográfica, de matriz o de equipo. El uso de departamentos y cuentas para asignar la estructura de la organización a la jerarquía de inscripción puede ayudar a separar la facturación.

  • Use las vistas y los informes de Azure Cost Management + Billing, que pueden usar metadatos de Azure (por ejemplo, etiquetas y ubicación) para explorar y analizar los costos de la organización.

  • Restrinja y minimice el número de propietarios de cuentas dentro de la inscripción para los accesos de administrador a las suscripciones y los recursos de Azure asociados.

  • Asigne un presupuesto para cada departamento y cuenta y establezca una alerta asociada con ese presupuesto.

  • Cree un nuevo departamento de TI solo si los dominios empresariales correspondientes tienen capacidades de TI independientes.

  • Si se usan varios inquilinos de Microsoft Entra, compruebe que el propietario de la cuenta esté asociado al mismo inquilino en el que se aprovisionan las suscripciones de la cuenta.

  • Para cargas de trabajo de desarrollo y pruebas (desarrollo/pruebas), use la oferta Desarrollo/pruebas - Enterprise, donde esté disponible. Asegúrese de cumplir las condiciones de uso.

  • No ignore los correos electrónicos de notificación que se envían a la dirección de correo electrónico que recibe las notificaciones. Microsoft envía mensajes importantes de Contrato Enterprise a esta cuenta.

  • No mueva ni cambie el nombre de una cuenta de Contrato Enterprise en Microsoft Entra ID.

  • Audite periódicamente el portal EA de Azure para revisar quién tiene acceso y evite usar una cuenta Microsoft siempre que sea posible.

  • Habilite DA View Charges (El administrador del departamento ve los cargos) y AO View Charges (El propietario de la cuenta ve los cargos) en cada inscripción en el Contrato Enterprise para permitir que los usuarios con los permisos correctos puedan ver los datos de Azure Cost Management + Billing.

  • Cualquier usuario que tenga permisos en una inscripción para crear suscripciones, como se detalla aquí, debe estar protegido con Multi-Factor Authentication (MFA), ya que cualquier otra cuenta con privilegios debe ser como se documenta aquí.