Gestione dei ruoli del contratto Enterprise di Azure
Nota
Gli amministratori dell'organizzazione hanno le autorizzazioni per creare nuove sottoscrizioni con account di registrazione attivi. Per altre informazioni sulla creazione di nuove sottoscrizioni, vedere Aggiungere una nuova sottoscrizione.
Per gestire l'utilizzo e la spesa per la propria organizzazione, i clienti di Azure con un Contratto Enterprise possono assegnare sei ruoli amministrativi distinti:
- Amministratore dell'organizzazione
- Enterprise Amministrazione istrator (sola lettura)¹
- Addetto acquisti EA
- Amministratore del reparto
- Amministratore del reparto (sola lettura)
- Proprietario account²
¹ Il contatto bill-to del contratto EA è sotto questo ruolo.
² Il contatto bill-to non può essere aggiunto o modificato nella portale di Azure. Viene aggiunto alla registrazione EA in base all'utente configurato come contatto con fatturazione a livello di contratto. Per cambiare il contatto per la fatturazione, è necessario effettuare una richiesta al Centro operativo regionale tramite un partner/software advisor.
Il primo amministratore della registrazione configurato durante il provisioning della registrazione determina il tipo di autenticazione dell'account del contatto per la fatturazione. Quando il contatto con fatturazione viene aggiunto al portale di Azure come amministratore di sola lettura, viene assegnata l'autenticazione dell'account Microsoft.
Ad esempio, se il tipo di autenticazione iniziale è impostato su Misto, l'EA viene aggiunto come account Microsoft e il contatto da fattura a contatto dispone di privilegi di amministratore EA di sola lettura. Se l'amministratore EA non approva l'autorizzazione dell'account Microsoft per un contatto con fatturazione esistente, l'amministratore EA può eliminare l'utente in questione. È quindi possibile chiedere al cliente di aggiungere nuovamente l'utente come amministratore di sola lettura con un account aziendale o dell'istituto di istruzione impostato solo a livello di registrazione nel portale di Azure.
Questi ruoli sono specifici per la gestione del Contratto Enterprise di Azure e si aggiungono ai ruoli predefiniti disponibili in Azure per controllare l'accesso alle risorse. Per altre informazioni, vedere Ruoli predefiniti di Azure.
portale di Azure per Gestione costi e fatturazione
La gerarchia portale di Azure per Gestione costi è costituita da:
portale di Azure per Gestione costi: un portale di gestione online che consente di gestire i costi per i servizi EA di Azure. È possibile eseguire le attività seguenti.
- Creare una gerarchia del Contratto Enterprise di Azure con reparti, account e sottoscrizioni.
- Riconciliare i costi dei servizi utilizzati, scaricare report di utilizzo e visualizzare i listini prezzi.
- Creare chiavi API per la registrazione.
Reparti: facilita la segmentazione dei costi in raggruppamenti logici. Tramite i reparti è possibile impostare un budget o una quota a livello di reparto.
Gli account sono unità organizzative nella portale di Azure per Gestione costi. È possibile usare gli account per gestire le sottoscrizioni e accedere ai report.
Le sottoscrizioni sono l'unità più piccola nella portale di Azure per Gestione costi. Si tratta di contenitori per i servizi di Azure gestiti dal ruolo Proprietario account, noto anche come amministratore del servizio della sottoscrizione.
Il diagramma seguente illustra le semplici gerarchie di Azure EA.
Ruoli utente dell'organizzazione
L'iscrizione Enterprise include i seguenti ruoli utente amministrativi:
- Amministratore dell'organizzazione
- Addetto acquisti EA
- Amministratore del reparto
- Proprietario dell'account
- Amministratore del servizio
- Contatto per le notifiche
Usare Gestione costi nella portale di Azure in modo da poter gestire i ruoli di Azure Contratto Enterprise.
I clienti di Contratti Enterprise diretto possono completare tutte le attività amministrative nel portale di Azure. È possibile usare il portale di Azure per gestire la fatturazione, i costi e i servizi di Azure.
I ruoli utente sono associati a un account utente. Per convalidarne l'autenticità, è necessario che ogni utente abbia un account Microsoft, dell'istituto di istruzione o aziendale valido. Assicurarsi che ogni account sia associato a un indirizzo di posta elettronica per monitorarlo attivamente. Le notifiche di registrazione vengono inviate all'indirizzo di posta elettronica.
Nota
Il ruolo Proprietario account viene spesso assegnato a un account del servizio che non dispone di un messaggio di posta elettronica monitorato attivamente.
Quando si configurano gli utenti, è possibile assegnare più account al ruolo di amministratore dell'organizzazione. Una registrazione può avere più proprietari dell'account, ad esempio uno per reparto. È anche possibile assegnare sia il ruolo di amministratore dell'organizzazione sia ruoli di proprietario dell'account a un singolo account.
Amministratore dell'organizzazione
Gli utenti con questo ruolo hanno il massimo livello di accesso alla registrazione. Possono eseguire le operazioni seguenti:
- Gestire account e proprietari di account.
- Gestire altri amministratori dell'organizzazione.
- Gestire amministratori di reparto.
- Gestire i contatti per le notifiche.
- Acquistare servizi di Azure, inclusi i piani di prenotazione/risparmio.
- Visualizzare l'utilizzo in tutti gli account.
- Visualizzare gli addebiti non fatturati in tutti gli account.
- Creare nuove sottoscrizioni in account di registrazione attivi.
- Visualizzare e gestire tutti gli ordini del piano di prenotazione/risparmio e prenotazioni/piani di risparmio applicabili al Contratto Enterprise.
- L'amministratore dell'organizzazione (di sola lettura) può visualizzare gli ordini del piano di prenotazione/risparmio e prenotazioni/piani di risparmio. Non può gestirli.
In una registrazione Enterprise è possibile designare più amministratori dell'organizzazione. Agli amministratori dell'organizzazione è possibile concedere l'accesso in sola lettura.
Il ruolo di amministratore EA eredita automaticamente tutti gli accessi e i privilegi del ruolo di amministratore del reparto. Non è quindi necessario assegnare manualmente a un amministratore EA il ruolo di amministratore del reparto.
Il ruolo di amministratore aziendale può essere assegnato a più account.
Addetto acquisti EA
Gli utenti con questo ruolo hanno le autorizzazioni per acquistare i servizi di Azure, ma non sono autorizzati a gestire gli account. Possono eseguire le operazioni seguenti:
- Acquistare servizi di Azure, inclusi i piani di prenotazione/risparmio.
- Visualizzare l'utilizzo in tutti gli account.
- Visualizzare gli addebiti non fatturati in tutti gli account.
- Visualizzare e gestire tutti gli ordini del piano di prenotazione/risparmio e prenotazioni/piani di risparmio applicabili al Contratto Enterprise.
Il ruolo di acquirente EA è attualmente abilitato solo per l'accesso basato su SPN. Per informazioni su come assegnare il ruolo a un nome dell'entità servizio, vedere Assegnare ruoli a nomi dell'entità servizio di Azure Enterprise Agreement.
Amministratore del reparto
Gli utenti con questo ruolo possono:
- Creare e gestire reparti.
- Creare nuovi proprietari di account.
- Visualizzare i dettagli d'uso per i reparti che gestiscono.
- Visualizzare i costi, se dispongono delle autorizzazioni necessarie.
In ogni registrazione Enterprise è possibile designare più amministratori del reparto.
È possibile concedere agli amministratori del reparto l'accesso in sola lettura quando si modifica o si crea un nuovo amministratore del reparto. Impostare l'opzione di sola lettura su Sì.
Proprietario dell'account
Gli utenti con questo ruolo possono:
- Creare e gestire sottoscrizioni.
- Gestire gli amministratori del servizio.
- Visualizzare l'utilizzo delle sottoscrizioni.
Ogni account richiede un account Microsoft, dell'istituto di istruzione o aziendale univoco. Per altre informazioni sui ruoli amministrativi di portale di Azure, vedere Informazioni sui ruoli amministrativi di Azure Contratto Enterprise in Azure.
Può esistere un solo proprietario dell'account per ogni account. Tuttavia, è possibile avere più account in una registrazione EA. Ogni account ha un proprietario univoco dell'account.
Per diversi account Microsoft Entra, per applicare l'impostazione delle autorizzazioni sono necessari più di 30 minuti.
Amministratore del servizio
Il ruolo di amministratore del servizio ha le autorizzazioni per gestire i servizi nel portale di Azure e per assegnare utenti al ruolo di coamministratore.
Contatto per le notifiche
Il contatto per le notifiche riceve le notifiche sull'utilizzo correlate alla registrazione.
Le sezioni seguenti descrivono i limiti e le funzionalità di ogni ruolo.
Limite di utenti per i ruoli di amministratore
| Ruolo | Limite di utenti |
|---|---|
| Amministratore dell'organizzazione | Nessun limite |
| Amministratore dell'organizzazione (sola lettura) | Nessun limite |
| Acquirente EA assegnato a un nome dell'entità servizio (SPN) | Nessun limite |
| Amministratore del reparto | Nessun limite |
| Amministratore del reparto (sola lettura) | Nessun limite |
| Proprietario dell'account | 1 per conto |
² Ogni account richiede un account Microsoft univoco o un account aziendale o dell'istituto di istruzione.
Struttura dell'organizzazione e autorizzazioni in base al ruolo
| Attività | Amministratore dell'organizzazione | Amministratore dell'organizzazione (sola lettura) | Addetto acquisti EA | Amministratore del reparto | Amministratore del reparto (sola lettura) | Proprietario dell'account | Partner |
|---|---|---|---|---|---|---|---|
| Visualizzare gli amministratori dell'organizzazione | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Aggiungere o rimuovere gli amministratori dell'organizzazione | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Visualizza contatti di notifica⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Aggiungere o rimuovere contatti di notifica⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Creare e gestire i reparti | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Visualizzare gli amministratore di reparto | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| Aggiungere o rimuovere gli amministratori di reparto | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
| Visualizzare gli account nella registrazione | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
| Aggiungere gli account alla registrazione e cambiare il proprietario dell'account | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
| Acquistare prenotazioni/piani di risparmio | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
| Creare e gestire le sottoscrizioni e le relative autorizzazioni | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ I contatti di notifica vengono inviate comunicazioni tramite posta elettronica relative al Contratto Enterprise di Azure.
- ⁵ L'attività è limitata agli account del reparto.
- ⁶ Un proprietario della sottoscrizione, un acquirente di prenotazioni o un acquirente del piano di risparmio può acquistare e gestire prenotazioni e piani di risparmio all'interno della sottoscrizione e solo se consentito dai flag abilitati per l'acquisto del piano di prenotazione/risparmio. Gli amministratori aziendali possono acquistare e gestire prenotazioni e piani di risparmio nell'account di fatturazione. Gli amministratori dell'organizzazione (di sola lettura) possono visualizzare tutte le prenotazioni acquistate e i piani di risparmio. I flag abilitati per l'acquisto del piano di prenotazione/risparmio non influiscono sui ruoli di amministratore EA. Il titolare del ruolo Enterprise Amministrazione (sola lettura) non è autorizzato a effettuare acquisti. Tuttavia, se un utente con tale ruolo detiene anche un'autorizzazione di proprietario della sottoscrizione, acquirente di prenotazioni o acquirente del piano di risparmio, l'utente può acquistare prenotazioni e/o piani di risparmio, indipendentemente dai flag.
Aggiungere un nuovo amministratore dell'organizzazione
Gli amministratori dell'organizzazione hanno il maggior numero di privilegi per la gestione di una registrazione EA di Azure. Il primo amministratore EA di Azure è stato creato al momento della configurazione del contratto Enterprise Agreement. Tuttavia, è possibile aggiungere o rimuovere nuovi amministratori in qualsiasi momento. Gli amministratori esistenti creano nuovi amministratori. Per altre informazioni sull'aggiunta di altri amministratori aziendali, vedere Creare un altro amministratore dell'organizzazione in portale di Azure. Per altre informazioni sui ruoli e le attività del profilo di fatturazione, vedere Ruoli e attività del profilo di fatturazione.
Aggiornare lo stato del proprietario dell'account da in sospeso ad attivo
Quando vengono aggiunti nuovi proprietari di account a una registrazione EA di Azure per la prima volta, il relativo stato viene visualizzato come in sospeso. Quando un nuovo proprietario dell'account riceve il messaggio di posta elettronica di benvenuto per l'attivazione, può accedere per attivare il proprio account.
Nota
Se il proprietario dell'account è un account del servizio e non ha un messaggio di posta elettronica, usare una sessione privata per accedere al portale di Azure e passare a Gestione costi per richiedere di accettare il messaggio di posta elettronica di benvenuto per l'attivazione.
Una volta attivato l'account, il relativo stato viene aggiornato e passa da In sospeso ad Attivo. Il proprietario dell'account deve leggere il Warning messaggio e selezionare Continua. È possibile che ai nuovi utenti venga richiesto di immettere il nome e il cognome per creare un account commerciale. In tal caso, devono aggiungere le informazioni necessarie per continuare, quindi l'account viene attivato.
Nota
Una sottoscrizione è associata a uno e a un solo account. Il messaggio di avviso include i dettagli che segnalano al proprietario dell'account che l'accettazione dell'offerta sposterà le sottoscrizioni associate all'account alla nuova registrazione.
Aggiungere un amministratore del reparto
Dopo che un amministratore EA di Azure ha creato un reparto, l'amministratore dell'organizzazione di Azure può aggiungere amministratori di reparto e associare ognuno a un reparto. Un amministratore del reparto può creare nuovi account. I nuovi account sono necessari per la creazione di sottoscrizioni EA di Azure.
Gli amministratori diretti di EA possono aggiungere amministratori del reparto nel portale di Azure. Per altre informazioni, vedere Creare un amministratore di reparto EA di Azure.
Accesso all'utilizzo e ai costi per ruolo
| Attività | Amministratore dell'organizzazione | Amministratore dell'organizzazione (sola lettura) | Addetto acquisti EA | Amministratore del reparto | Amministratore del reparto (sola lettura) | Proprietario dell'account | Partner |
|---|---|---|---|---|---|---|---|
| Visualizzare il saldo del credito che include il pagamento anticipato di Azure | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Visualizzare le quote di spesa del reparto | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Impostare le quote di spesa del reparto | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Visualizzare l'elenco prezzi per il Contratto Enterprise dell'organizzazione | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Visualizzare i dettagli relativi a utilizzo e costi | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Gestire le risorse nel portale di Azure | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Richiede che enterprise Amministrazione istrator consenta di visualizzare i criteri degli addebiti da nel portale di Azure. L'amministratore del reparto potrà quindi visualizzare i dettagli dei costi per il reparto.
- ⁸ Richiede che enterprise Amministrazione istrator consenta di visualizzare i criteri degli addebiti AO nel portale di Azure. Il proprietario dell'account può quindi visualizzare i dettagli dei costi per l'account.
Vedere i prezzi per i diversi ruoli utente
È possibile che vengano visualizzati prezzi diversi nella portale di Azure a seconda del ruolo amministrativo e del modo in cui enterprise Amministrazione istrator imposta i criteri di visualizzazione degli addebiti. È possibile limitare l'abilitazione dei ruoli Amministratore del reparto e Proprietario dell'account per la visualizzazione degli addebiti limitando l'accesso alle informazioni di fatturazione.
Per informazioni su come impostare questi criteri, vedere Gestire l'accesso alle informazioni di fatturazione per Azure.
Nella tabella seguente viene illustrata la relazione tra:
- Contratto Enterprise ruoli di amministratore
- Visualizzare i criteri di addebito
- Ruolo di Azure nel portale di Azure
- Prezzi visualizzati nel portale di Azure
L'amministratore dell'organizzazione esamina i dettagli di utilizzo in base ai prezzi per il Contratto Enterprise dell'organizzazione. Tuttavia, l'amministratore di reparto e il proprietario dell'account vedono visualizzazioni dei prezzi diverse in base ai criteri di visualizzazione degli addebiti e al ruolo di Azure. Il ruolo di amministratore di reparto elencato nella tabella seguente si riferisce sia al ruolo Amministratore di reparto sia al ruolo Amministratore di reparto (sola lettura).
| Ruolo di amministratore per il Contratto Enterprise | Criteri per la visualizzazione degli addebiti per ruolo | Ruolo di Azure | Visualizzazione dei prezzi |
|---|---|---|---|
| Proprietario dell'account OPPURE Amministratore del reparto | ✔ Abilitato | Proprietario | Prezzi per il Contratto Enterprise dell'organizzazione |
| Proprietario dell'account OPPURE Amministratore del reparto | ✘ Disabilitato | Proprietario | Nessun prezzo |
| Proprietario dell'account OPPURE Amministratore del reparto | ✔ Abilitato | none | Nessun prezzo |
| Proprietario dell'account OPPURE Amministratore del reparto | ✘ Disabilitato | none | Nessun prezzo |
| nessuno | Non applicabile | Proprietario | Nessun prezzo |
Impostare il ruolo di amministratore dell'organizzazione e visualizzare i criteri degli addebiti nel portale di Azure. Il ruolo Controllo degli accessi in base al ruolo di Azure può essere aggiornato con informazioni in Assegnare i ruoli di Azure usando il portale di Azure.