Azure におけるマイクロソフト エンタープライズ契約のロールの管理
Note
エンタープライズ管理者は、アクティブな登録アカウントで新しいサブスクリプションを作成するためのアクセス許可を持っています。 新しいサブスクリプションの作成の詳細については、新しいサブスクリプションの追加に関するページを参照してください。
組織の使用量や支出を管理しやすくなるように、Enterprise Agreement をお持ちの Azure カスタマーは 6 つの異なる管理者ロールを割り当てることができます。
- エンタープライズ管理者
- エンタープライズ管理者 (読み取り専用)¹
- EA 購入者
- 部門管理者
- 部門管理者 (読み取り専用)
- アカウント所有者²
¹ EA 契約の請求先は、このロールの連絡先になります。
² 請求先連絡先を Azure portal で追加または変更することはできません。 契約レベルで請求先連絡先として設定されているユーザーに基づいて、EA 登録に追加されます。 請求先担当者を変更するには、パートナーまたはソフトウェア アドバイザーを通じて地域オペレーション センター (ROC) に要請する必要があります。
請求先担当者アカウントの認証の種類は、加入契約のプロビジョニング時に設定された最初の加入契約管理者によって決まります。 請求先担当者が読み取り専用管理者として Azure portal に追加されるときは、請求先担当者に Microsoft アカウント認証が適用されます。
たとえば、最初の認証の種類が [混在] に設定されている場合、EA は Microsoft アカウントとして追加され、請求先担当者には読み取り専用の EA 管理特権が与えられます。 EA 管理者が既存の請求先連絡先に対する Microsoft アカウント承認を承認しない場合、EA 管理者は該当するユーザーを削除できます。 その後、Azure portal の登録レベルでのみ設定された職場または学校アカウントを持つ読み取り専用管理者としてユーザーを追加し直すように顧客に依頼できます。
以上のロールは Azure Enterprise Agreement 管理に固有のものであり、リソース アクセスを制御する目的で Azure に与えられる組み込みロールに追加されるものです。 詳細については、Azure の組み込みロールに関するページを参照してください。
Cost Management と課金の Azure portal
Cost Management の Azure portal 階層は、次で構成されます。
Cost Management の Azure portal - Azure EA サービスのコストを管理するときに役立つオンライン管理ポータルです。 以下のタスクを実行できます。
- 部署、アカウント、サブスクリプションを使用して Azure EA 階層を作成します。
- 使用しているサービスのコストを調整し、使用状況レポートをダウンロードし、価格表を表示します。
- 加入契約用の API キーを作成します。
部署は、コストを論理的なグループに分割するのに役立ちます。 部署では、部署レベルで予算またはクォータを設定できます。
アカウントは、Cost Management の Azure portal の組織単位です。 アカウントを使用して、サブスクリプションを管理し、レポートにアクセスできます。
サブスクリプションは、Cost Management の Azure portal の最小単位です。 これらは、アカウント所有者ロールによって管理される Azure サービスのコンテナーであり、サブスクリプションのサービス管理者とも呼ばれます。
次の図は、シンプルな Azure EA 階層を示しています。
エンタープライズ ユーザー ロール
次の管理ユーザー ロールは、エンタープライズ加入契約の一部です。
- エンタープライズ管理者
- EA 購入者
- 部門管理者
- アカウント所有者
- サービス管理者
- 通知の連絡先
Azure Enterprise Agreement ロールを管理できるように、Azure portal で Cost Management を使用します。
直接 EA を使用しているお客様は、Azure portal ですべての管理タスクを完了できます。 Azure portal を使用して、課金、コスト、Azure サービスを管理できます。
ユーザー ロールは、ユーザー アカウントに関連付けられています。 ユーザーの信頼性を確認するには、各ユーザーが有効な職場、学校、または Microsoft アカウントを持っている必要があります。 各アカウントが、アクティブに監視されているメール アドレスに関連付けられていることを確認します。 登録通知は、メール アドレスに送信されます。
Note
アカウント所有者ロールは、多くの場合、アクティブに監視されているメールを持たないサービス アカウントに割り当てられます。
ユーザーを設定するときに、複数のアカウントをエンタープライズ管理者ロールに割り当てることができます。 登録には、部門ごとに 1 人など、複数のアカウント所有者を持つことができます。 また、エンタープライズ管理者ロールとアカウント所有者ロールの両方を、1 つのアカウントに割り当てることができます。
エンタープライズ管理者
このロールを持つユーザーは、登録への最高レベルのアクセス権を持ちます。 次のことができます。
- アカウントとアカウント所有者を管理する。
- 他のエンタープライズ管理者を管理する。
- 部署管理者を管理する。
- 通知の連絡先を管理する。
- Azure サービス (予約/節約プランを含む) を購入する。
- すべてのアカウントの使用状況を表示する。
- すべてのアカウントの未請求料金を表示する。
- アクティブな登録アカウントで新しいサブスクリプションを作成する。
- Enterprise Agreement に適用されるすべての予約/節約プランの注文と予約/節約プランを表示および管理する。
- エンタープライズ管理者 (読み取り専用) は、予約/節約プランの注文と予約/節約プランを表示できます。 管理することはできません。
エンタープライズ加入契約に複数のエンタープライズ管理者を含めることができます。 エンタープライズ管理者に読み取り専用アクセス権を付与することができます。
EA 管理者の役割は、部署管理者の役割のすべてのアクセス権と特権を自動的に継承します。 そのため、EA 管理者に部署管理者の役割を手動で付与する必要はありません。
エンタープライズ管理者ロールは、複数のアカウントに割り当てることができます。
EA 購入者
このロールが割り当てられたユーザーは、Azure サービスを購入するアクセス許可は持ちますが、アカウントを管理することはできません。 次のことができます。
- Azure サービス (予約/節約プランを含む) を購入する。
- すべてのアカウントの使用状況を表示する。
- すべてのアカウントの未請求料金を表示する。
- Enterprise Agreement に適用されるすべての予約/節約プランの注文と予約/節約プランを表示および管理する。
EA 購入者ロールは現在、SPN ベースのアクセスでのみ有効となります。 サービス プリンシパル名にロールを割り当てる方法については、「Azure Enterprise Agreement サービス プリンシパル名にロールを割り当てる」を参照してください。
部門管理者
このロールのユーザーは、次のことができます。
- 部署を作成して管理する。
- 新しいアカウント所有者を作成する。
- 管理している部署の使用状況の詳細を表示する。
- 必要なアクセス許可がある場合は、そのコストを表示する。
エンタープライズ加入契約ごとに複数の部門管理者を含めることができます。
新しい部署管理者を編集または作成するときに、部署管理者に読み取り専用アクセス権を付与することができます。 読み取り専用オプションを [はい] に設定します。
アカウント所有者
このロールのユーザーは、次のことができます。
- サブスクリプションを作成して管理する。
- サービス管理者を管理する。
- サブスクリプションの使用状況を表示する。
各アカウントには、一意の職場、学校、または Microsoft アカウントが必要です。 Azure portal の管理者ロールの詳細については、「Azure の Azure Enterprise Agreement 管理者ロールを理解する」を参照してください。
アカウント所有者は、アカウントごとに 1 名のみです。 ただし、EA の登録には複数のアカウントを含めることができます。 各アカウントには、一意のアカウント所有者が存在します。
異なる Microsoft Entra アカウントの場合、権限設定が有効になるまで 30 分以上かかることがあります。
サービス管理者
サービス管理者ロールには、Azure portal でサービスを管理し、ユーザーを共同管理者ロールに割り当てる権限があります。
通知の連絡先
通知の連絡先は、加入契約に関連する使用状況の通知を受け取ります。
次のセクションでは、各ロールの制限事項と機能について説明します。
管理ロールのユーザー数制限
| Role | ユーザー数制限 |
|---|---|
| エンタープライズ管理者 | 無制限 |
| エンタープライズ管理者 (読み取り専用) | 無制限 |
| サービス プリンシパル名 (SPN) に割り当てられた EA 購入者 | 無制限 |
| 部門管理者 | 無制限 |
| 部門管理者 (読み取り専用) | 無制限 |
| アカウント所有者 | アカウントごとに 1 つ³ |
³ アカウントごとに、重複のない Microsoft アカウントか、職場または学校アカウントを 1 つ必要とします。
組織の構造とロール別のアクセス許可
| タスク | エンタープライズ管理者 | エンタープライズ管理者 (読み取り専用) | EA 購入者 | 部門管理者 | 部門管理者 (読み取り専用) | アカウント所有者 | Partner |
|---|---|---|---|---|---|---|---|
| エンタープライズ管理者を表示する | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| エンタープライズ管理者を追加または削除する | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| 通知の連絡窓口を表示する⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| 通知の連絡窓口を追加または削除する⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| 部門を作成し、管理する | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| 部門管理者を表示する | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| 部門管理者を追加または削除する | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
| 登録済みのアカウントを表示する | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
| 登録にアカウントを追加する/アカウント所有者を変更する | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
| 予約または節約プランを購入する | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
| サブスクリプションとサブスクリプション アクセス許可を作成し、管理する | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ 通知の連絡窓口には Azure Enterprise Agreement に関する電子メール通信が送信されます。
- ⁵ タスクは部門内のアカウントに制限されます。
- ⁶ サブスクリプション所有者、予約購入者または節約プラン購入者は、予約/節約プラン購入有効フラグによって許可されている場合にのみ、サブスクリプション内で予約と節約プランを購入および管理できます。 エンタープライズ管理者は、課金アカウント全体で予約と節約プランを購入および管理できます。 エンタープライズ管理者 (読み取り専用) では、購入したすべての予約と節約プランを表示できます。 予約/節約プラン購入有効フラグは、EA 管理者ロールには影響しません。 エンタープライズ管理者 (読み取り専用) ロール所有者は、購入を許可されていません。 ただし、そのロールを持つユーザーがサブスクリプション所有者、予約購入者または節約プラン購入者のアクセス許可も保持している場合、フラグに関係なく、ユーザーは予約と節約プランの両方またはいずれかを購入できます。
新しいエンタープライズ管理者を追加する
エンタープライズ管理者は、Azure EA 登録を管理する際に、最も多くの特権を持っています。 EA 契約を設定したときに、最初の Azure EA 管理者が作成されています。 ただし、いつでも新しい管理者を追加したり、管理者を削除したりできます。 既存の管理者は、新しい管理者を作成します。 エンタープライズ管理者の追加の詳細については、「Azure portal で別のエンタープライズ管理者を作成する」を参照してください。 課金プロファイルのロールとタスクの詳細については、「課金プロファイルのロールとタスク」を参照してください。
アカウント所有者状態を保留中からアクティブに更新する
新しいアカウント所有者 (AO) が初めて Azure EA 登録に追加されると、状態は "保留中" と表示されます。 アクティブ化のウェルカム メールを受け取った新しいアカウント所有者は、サインインしてアカウントをアクティブにすることができます。
Note
アカウント所有者がサービス アカウントであり、メールアドレスがない場合は、In-Private セッションを使用して Azure portal にサインインし、Cost Management に移動すると、アクティブ化のウェルカム メールを受け入れるように求められます。
アカウントをアクティブにすると、アカウントの状態が "保留中" から "アクティブ" に更新されます。 アカウント オーナーは Warning メッセージを読み、[続行] を選択する必要があります。 新しいユーザーは、姓と名を入力してコマース アカウントを作成するよう求められる場合があります。 その場合、続行するためには必須情報を追加する必要があります。これによって、アカウントがアクティブになります。
Note
サブスクリプションは、1 つのアカウントに 1 つだけ関連付けられます。 この警告メッセージには、オファーを受け入れると、アカウントに関連付けられているサブスクリプションが新しい登録に移動されることをアカウント所有者に警告する詳細が含まれます。
部署管理者を追加する
Azure EA 管理者は、部署を作成した後、部署管理者を追加し、それぞれを部署に関連付けることができます。 部署管理者は、新しいアカウントを作成できます。 Azure EA サブスクリプションを作成するには、新しいアカウントが必要です。
直接 EA を使用している管理者は、Azure portal で部署管理者を追加できます。 詳細については、Azure EA 部門管理者の作成に関するページを参照してください。
ロール別の使用量/コスト アクセス
| タスク | エンタープライズ管理者 | エンタープライズ管理者 (読み取り専用) | EA 購入者 | 部門管理者 | 部門管理者 (読み取り専用) | アカウント所有者 | Partner |
|---|---|---|---|---|---|---|---|
| Azure 前払いを含む、与信残高を表示する | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| 部門の支出クォータを表示する | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| 部門の支出クォータを設定する | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| 組織の EA 価格シートを表示する | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| 使用量とコストの詳細を表示する | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Azure portal でリソースを管理する | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ エンタープライズ管理者が Azure portal で DA ビューの請求額ポリシーを有効にする必要があります。 有効にすると、部門管理者は部門のコスト詳細を表示できます。
- ⁸ エンタープライズ管理者が Azure portal で AO ビューの請求額ポリシーを有効にする必要があります。 有効にすると、アカウント所有者はアカウントのコスト詳細を表示できます。
さまざまなユーザー ロールの価格を確認する
管理者ロールとエンタープライズ管理者がビューの料金ポリシーを設定する方法に応じて、Azure portal で異なる価格が表示される場合があります。 課金情報へのアクセスを制限することで、部門管理者とアカウント所有者ロールに料金の閲覧を許可することを制限することができます。
これらのポリシーを設定する方法については、「Manage access to billing information for Azure」(Azure の課金情報へのアクセスの管理) を参照してください。
次の表は、次の間の関係を示しています。
- Enterprise Agreement 管理者ロール
- 請求金額の表示ポリシー
- Azure portal での Azure ロール
- Azure portal に表示される価格
エンタープライズ管理者には、組織の EA 価格に基づいて使用料詳細が常に表示されます。 ただし、部門管理者とアカウント所有者では、料金の表示ポリシーとその Azure ロールに基づいて、表示される価格ビューが異なります。 次の表に記載されている部門管理者ロールは、部門管理者ロールと部門管理者 (読み取り専用) ロールの両方を指します。
| Enterprise Agreement 管理者ロール | ロールの請求金額の表示ポリシー | Azure ロール | 価格ビュー |
|---|---|---|---|
| アカウント所有者または部門管理者 | ✔ 有効 | 所有者 | 組織の EA 価格 |
| アカウント所有者または部門管理者 | ✘ 無効 | 所有者 | 価格設定なし |
| アカウント所有者または部門管理者 | ✔ 有効 | なし | 価格設定なし |
| アカウント所有者または部門管理者 | ✘ 無効 | なし | 価格設定なし |
| なし | 適用なし | 所有者 | 価格設定なし |
Azure portal でエンタープライズ管理者ロールと請求金額の表示ポリシーを設定します。 Azure ロールベースのアクセス制御 (RBAC) ロールは、「Azure portal を使用して Azure ロールを割り当てる」の情報で更新できます。