Administration des rôles de l’Accord Entreprise Azure
Remarque
Les administrateurs d’entreprise disposent des autorisations nécessaires pour créer des abonnements sous des comptes d’inscription actifs. Pour plus d’informations sur la création d’abonnements, consultez Ajouter un nouvel abonnement.
Pour faciliter la gestion de l’utilisation et des dépenses d’une organisation, les clients Azure disposant d’un Contrat Entreprise peuvent attribuer six rôles d’administrateur distincts :
- Administrateur d’entreprise
- Administrateur d’entreprise (lecture seule)¹
- Acheteur EA
- Administrateur de service
- Administrateur de service (lecture seule)
- Propriétaire du compte²
¹ Le contact de facturation du Contrat Entreprise (Enterprise Agreement/EA) est sous ce rôle.
² Le contact de facturation ne peut pas être ajouté ou modifié dans le Portail Azure. Il est ajouté à l’inscription du Contrat Entreprise, en fonction de l’utilisateur qui est configuré en tant que contact de facturation au niveau du contrat. Pour modifier le contact de facturation, une demande doit être effectuée par l’intermédiaire d’un conseiller partenaire/logiciel auprès du centre régional des opérations (ROC).
Le premier administrateur d’inscription configuré pendant le provisionnement de l’inscription détermine le type d’authentification du compte de contact de facturation. Quand le contact de facturation est ajouté au Portail Azure en tant qu’administrateur en lecture seule, il reçoit l’authentification de compte Microsoft.
Par exemple, si le type d’authentification initiale est défini sur Mixte, le Contrat Entreprise sera ajouté en tant que compte Microsoft, et le contact de facturation aura des privilèges d’administrateur du Contrat Entreprise en lecture seule. Si l’administrateur du Contrat Entreprise n’approuve pas l’autorisation de compte Microsoft pour un contact de facturation existant, il peut supprimer l’utilisateur en question. Ensuite, il peut demander au client d’ajouter l’utilisateur à nouveau en tant qu’administrateur en lecture seule, avec un compte professionnel ou scolaire uniquement, défini au niveau de l’inscription dans le Portail Azure.
Ces rôles sont spécifiques à la gestion des Contrats Entreprise Azure et s’ajoutent aux rôles intégrés dont Azure doit contrôler l’accès aux ressources. Pour plus d’informations, voir Rôles intégrés Azure.
Portail Azure pour la gestion des coûts et la facturation
La hiérarchie Portail Azure pour la gestion des coûts se compose des éléments suivants :
Portail Azure pour la gestion des coûts - un portail de gestion en ligne qui vous permet de gérer les coût de vos services Azure EA. Vous pouvez exécuter les tâches suivantes.
- créer une hiérarchie Azure EA avec des services, des comptes et des abonnements ;
- rapprocher les coûts des services consommés, télécharger des rapports d’utilisation et consulter les tarifs ;
- créer des clés API pour votre inscription.
Les services vous aident à segmenter les coûts en regroupements logiques. Les services vous permettent de définir un budget ou un quota au niveau du service.
Les comptes sont des unités organisationnelles dans le Portail Azure pour la gestion des coûts. Vous pouvez utiliser des comptes pour gérer les abonnements et les rapports d’accès.
Les abonnements sont la plus petite unité du Portail Azure pour la gestion des coûts. Il s’agit de conteneurs pour les services Azure managés par le rôle Propriétaire du compte, également appelé administrateur de service de l’abonnement.
Le diagramme ci-dessous illustre des hiérarchies Azure EA simples.
Rôles d’utilisateur Entreprise
Les rôles d’utilisateur d’administration suivants font partie de l’inscription de votre entreprise :
- Administrateur d’entreprise
- Acheteur EA
- Administrateur de service
- Propriétaire du compte
- Administrateur de services fédérés
- Contact de notification
Utilisez Cost Management dans le Portail Azure pour gérer les rôles du Contrat Entreprise Azure.
Les clients EA directs peuvent effectuer toutes les tâches d’administration dans le portail Azure. Vous pouvez utiliser le Portail Azure pour gérer la facturation, les coûts et les services Azure.
Les rôles utilisateur sont associés à un compte d’utilisateur. Pour valider l’authenticité de l’utilisateur, chaque utilisateur doit avoir un compte professionnel, scolaire ou Microsoft valide. Assurez-vous que chaque compte est associé à une adresse e-mail pour une analyse active. Les notifications d’inscription sont envoyées à l’adresse e-mail.
Notes
Le rôle Propriétaire du compte est souvent attribué à un compte de service qui n’a pas d’e-mail activement surveillé.
Quand vous configurez des utilisateurs, vous pouvez attribuer plusieurs comptes au rôle d’administrateur d’entreprise. Une inscription peut avoir plusieurs propriétaires de compte, par exemple un par service. Vous pouvez également attribuer les rôles d’administrateur d’entreprise et de propriétaire du compte à un seul compte.
Administrateur d’entreprise
Les utilisateurs dotés de ce rôle ont le niveau d’accès le plus élevé à l’inscription. Ils peuvent effectuer les tâches suivantes :
- Gérer les comptes et les propriétaires de compte.
- Gérer d’autres administrateurs d’entreprise.
- Gérer les administrateurs de service.
- Gérer les contacts de notification.
- Acheter des services Azure, y compris des réservations/plan d'économies.
- Consulter l’utilisation pour tous les comptes.
- Consulter les frais non facturés pour tous les comptes.
- Créer des abonnements sous des comptes d’inscription actifs.
- Affichez et gérez tous les ordres de réservation/plan d'économies et les réservations/plan d'économies qui s’appliquent à l’Accord Entreprise.
- L’administrateur d’entreprise (en lecture seule) peut afficher les ordres de réservation/plan d'économies et les réservations/plan d'économies. Il ne peut pas les gérer.
Il peut y avoir plusieurs administrateurs d’entreprise dans une inscription Entreprise. Vous pouvez accorder un accès en lecture seule aux administrateurs d’entreprise.
Le rôle Administrateur EA hérite automatiquement de tous les accès et privilèges du rôle Administrateur de service. Il n’est donc pas nécessaire de donner manuellement à un administrateur EA le rôle Administrateur de service.
Le rôle Administrateur d’entreprise peut être attribué à plusieurs comptes.
Acheteur EA
Les utilisateurs disposant de ce rôle sont autorisés à acheter des services Azure, mais ne sont pas autorisés à gérer des comptes. Ils peuvent effectuer les tâches suivantes :
- Acheter des services Azure, y compris des réservations/plan d'économies.
- Consulter l’utilisation pour tous les comptes.
- Consulter les frais non facturés pour tous les comptes.
- Affichez et gérez tous les ordres de réservation/plan d'économies et les réservations/plan d'économies qui s’appliquent à l’Accord Entreprise.
Le rôle d’acheteur EA est actuellement activé seulement pour l’accès basé sur le SPN. Pour savoir comment attribuer le rôle à un nom de principal de service, consultez Attribuer des rôles à des noms de principal de service Contrat Entreprise Azure.
Administrateur de service
Les utilisateurs ayant ce rôle peuvent effectuer les tâches suivantes :
- Créer et gérer des services.
- Créer des propriétaires de compte.
- Consulter les détails de l’utilisation des services qu’ils gèrent.
- Consulter les coûts, s’ils ont les autorisations appropriées.
Il peut y avoir plusieurs administrateurs de service dans chaque inscription Entreprise.
Vous pouvez accorder un accès en lecture seule aux administrateurs de service lorsque vous modifiez ou créez un administrateur de service. Définissez l’option de lecture seule sur Yes (Oui).
Propriétaire du compte
Les utilisateurs ayant ce rôle peuvent effectuer les tâches suivantes :
- Créer et gérer des abonnements.
- Gérer les administrateurs de service.
- Consulter l’utilisation des abonnements.
Chaque compte nécessite un compte professionnel, scolaire ou Microsoft unique. Pour plus d’informations sur les rôles d’administration dans le Portail Azure, consultez Comprendre les rôles d’administrateur de Contrat Entreprise Azure dans Azure.
Il ne peut y avoir qu’un seul propriétaire du compte par compte. Toutefois, il peut y avoir plusieurs comptes pour une inscription EA. Il n’y a qu’un seul propriétaire du compte par compte.
Pour différents comptes Microsoft Entra, l’application des paramètres d’autorisation peut prendre plus de 30 minutes.
Administrateur de services fédérés
Le rôle d’administrateur de service est autorisé à gérer les services dans le portail Azure et à attribuer le rôle de coadministrateur à des utilisateurs.
Contact de notification
Le contact de notification reçoit des notifications d’utilisation liées à l’inscription.
Les sections suivantes décrivent les limitations et les capacités de chaque rôle.
Limite utilisateur pour les rôles d’administrateur
| Role | Limite utilisateur |
|---|---|
| Administrateur d’entreprise | Illimité |
| Administrateur d’entreprise (lecture seule) | Illimité |
| Acheteur EA affecté à un nom de principal de service (SPN) | Illimité |
| Administrateur de service | Illimité |
| Administrateur de service (lecture seule) | Illimité |
| Propriétaire du compte | 1 par compte³ |
³ Chaque compte nécessite un compte Microsoft unique ou un compte professionnel ou scolaire.
Structure de l’organisation et autorisations par rôle
| Tâches | Administrateur d’entreprise | Administrateur d’entreprise (lecture seule) | Acheteur EA | Administrateur de service | Administrateur de service (lecture seule) | Propriétaire du compte | Partenaire |
|---|---|---|---|---|---|---|---|
| Voir les administrateurs d’entreprise | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Ajouter ou supprimer des administrateurs d’entreprise | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Voir les contacts de notification⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Ajouter ou supprimer des contacts de notification⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Créer et gérer des services | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Voir les administrateurs de service | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| Ajouter ou supprimer des administrateurs de service | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
| Voir les comptes de l’inscription | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
| Ajouter des comptes à l’inscription et changer le propriétaire du compte | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
| Acheter les réservations/plans d’économies | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
| Créer et gérer des abonnements et des autorisations d’abonnement | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ Les contacts de notification reçoivent des communications par e-mail à propos du Contrat Entreprise Azure.
- ⁵ La tâche est limitée aux comptes de votre service.
- ⁶ Un propriétaire d’abonnement, un acheteur de réservation ou un acheteur de plan d'économies peut acheter et gérer des réservations et des plans d’économies dans l’abonnement, et uniquement si autorisé par les indicateurs d’achat de réservation/plan d'économies activé. Les administrateurs d’entreprise peuvent acheter et gérer des réservations et des plans d’économies dans le compte de facturation. Les administrateurs d’entreprise (en lecture seule) peuvent visualiser toutes les réservations et plans d’économies achetés. Les indicateurs d’achat de réservation/plan d'économies activé n’affectent pas les rôles d’administrateur de Contrat Entreprise. Le titulaire du rôle Administrateur d’entreprise (en lecture seule) n’est pas autorisé à effectuer des achats. Toutefois, si un utilisateur disposant de ce rôle dispose également d’une autorisation propriétaire d’abonnement, acheteur de réservation ou acheteur de plan d'économies, il peut acheter des réservations et des plans d’économies, quel que soit l’indicateur.
Ajouter un nouvel administrateur d’entreprise
Les administrateurs d’entreprise disposent de la majorité des privilèges lors de la gestion d’une inscription Azure EA. L’administrateur Azure EA initial a été créé lors de la configuration du Contrat Entreprise. Toutefois, vous pouvez ajouter ou supprimer de nouveaux administrateurs à tout moment. Les administrateurs existants créent de nouveaux administrateurs. Pour plus d’informations sur l’ajout d’administrateurs d'entreprise supplémentaires, consultez Créer un autre administrateur d’entreprise dans le Portail Azure. Pour plus d’informations sur les rôles et les tâches d’un profil de facturation, consultez Tâches et rôles du profil de facturation.
Mettre à jour l’état propriétaire du compte de En attente à Actif
Lorsque de nouveaux propriétaires de compte sont ajoutés pour la première fois à une inscription Azure EA, leur état est En attente. Quand un nouveau propriétaire de compte reçoit l’e-mail de bienvenue et d’activation, il peut se connecter pour activer son compte.
Notes
Si le propriétaire du compte est un compte de service sans e-mail, utilisez une session de In-Private pour vous connecter au Portail Azure et accédez à Cost Management pour être invité à accepter l’e-mail de bienvenue de l’activation.
Une fois qu’il active son compte, l’état du compte est mis à jour de En attente à Actif. Le propriétaire du compte doit lire le message Warning et sélectionner Continuer. Un nouvel utilisateur peut être invité à entrer son prénom et son nom pour créer un compte de commerce. Dans ce cas, il doit ajouter les informations nécessaires pour continuer. Le compte est alors activé.
Notes
Un abonnement est associé à un seul compte. Le message d’avertissement inclut des détails qui avertissent le propriétaire du compte que l’acceptation de l’offre déplacera les abonnements associés au compte vers la nouvelle inscription.
Ajouter un administrateur de service
Une fois qu’un administrateur Azure EA a créé un service, l’administrateur d’entreprise Azure peut ajouter des administrateurs de service et associer chacun d’eux à un service. Un administrateur de service peut créer des comptes. Ces comptes sont nécessaires pour créer des abonnements Azure EA.
Les administrateurs EA directs peuvent ajouter des administrateurs de service dans le portail Azure. Pour plus d’informations, consultez Créer un administrateur de service EA Azure.
Accès à l’utilisation et aux coûts par rôle
| Tâches | Administrateur d’entreprise | Administrateur d’entreprise (lecture seule) | Acheteur EA | Administrateur de service | Administrateur de service (lecture seule) | Propriétaire du compte | Partenaire |
|---|---|---|---|---|---|---|---|
| Afficher le solde du crédit, y compris Paiement anticipé Azure | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Voir les quotas de dépenses des services | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Définir les quotas de dépenses des services | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Voir la grille tarifaire du Contrat Entreprise de l’organisation | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Voir les détails relatifs à l’utilisation et aux coûts | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Gérer les ressources dans le portail Azure | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Nécessite que l’administrateur d’entreprise active la stratégie Affichage des frais pour le DA dans le Portail Azure. L’administrateur de service peut ensuite consulter le détail des coûts pour le service.
- ⁸ Nécessite que l’administrateur d’entreprise active la stratégie Affichage des frais pour le AO dans le Portail Azure. Le propriétaire du compte peut ensuite consulter le détail des coûts pour le compte.
Voir les tarifs des différents rôles d’utilisateur
Vous pouvez voir différentes tarifications dans le Portail Azure, en fonction de votre rôle administratif et de la manière dont l’administrateur d’entreprise définit les stratégies d’affichage des frais. L’activation des rôles d’administrateur de service et de propriétaire de compte pour voir les frais peut être limitée en limitant l’accès aux informations de facturation.
Pour découvrir comment définir ces stratégies, consultez Gérer l’accès aux informations de facturation pour Azure.
Le tableau suivant montre la relation entre :
- Les rôles d’administrateur de Contrat Entreprise
- Stratégie d’affichage des frais
- Rôle Azure dans le Portail Azure
- Tarification que vous voyez dans le Portail Azure
L’administrateur d’entreprise voit toujours les détails relatifs à l’utilisation en fonction des tarifs Contrat Entreprise de l’organisation. Toutefois, l’administrateur de service et le propriétaire du compte voient différents tarifs en fonction de la stratégie d’affichage des frais et de leur rôle Azure. Le rôle Administrateur de service listé dans le tableau suivant fait référence aux rôles Administrateur de service et Administrateur de service (lecture seule).
| Rôle d’administrateur Contrat Entreprise | Stratégie d’affichage des frais pour le rôle | Rôle Azure | Affichage des tarifs |
|---|---|---|---|
| Propriétaire du compte OU Administrateur de service | ✔ Activée | Propriétaire | Tarifs Contrat Entreprise de l’organisation |
| Propriétaire du compte OU Administrateur de service | ✘ Désactivée | Propriétaire | Aucun tarif |
| Propriétaire du compte OU Administrateur de service | ✔ Activée | Aucun | Aucun tarif |
| Propriétaire du compte OU Administrateur de service | ✘ Désactivée | Aucun | Aucun tarif |
| None | Non applicable | Propriétaire | Aucun tarif |
Vous définissez le rôle d’administrateur d’entreprise et visualisez les stratégies d’affichage des frais dans le Portail Azure. Le rôle de contrôle d’accès en fonction du rôle (RBAC) Azure peut être mis à jour avec des informations sur Attribuer des rôles Azure en utilisant le Portail Azure.