Enterprise Agreement 加入契約のプラン

  • [アーティクル]

Enterprise Agreement 加入契約は、Microsoft と、お客様の組織が Azure を使用する方法との取引関係を表しています。 ここでは、サブスクリプションの課金基盤と、デジタル資産の管理方法が提供されます。 Azure portal のコスト管理と請求ブレードは、Enterprise Agreement 登録を管理するのに役立ちます。 多くの場合、加入契約は、部門、アカウント、サブスクリプションなど、組織の階層を表しています。 この階層は、組織内のコスト センターを表します。

Note

Azure EA portal (https://ea.azure.com) は、2024 年 2 月 15 日に廃止されており、お客様は、以下で詳しくに記載されているように Azure portal の [Cost Management + Billing] ブレードを使用して、登録を管理する必要があります。

Diagram that shows Azure Enterprise Agreement hierarchies.

  • 部門は、コストを論理グループに分割してから、部門レベルで予算またはクォータを設定するのに役立ちます。 クォータは強制的には適用されず、レポート目的で使用されます。

  • アカウントは、Azure EA ポータルにおける組織単位です。 それらは、サブスクリプションを管理し、レポートにアクセスするために使用できます。

  • サブスクリプションは、Azure EA ポータルの最小単位です。 これらは、サービス管理者によって管理される Azure サービスのコンテナーです。 これは、組織が Azure サービスをデプロイする場所です。

  • Enterprise Agreement 加入契約ロールによって、ユーザーは職務的なロールにリンクされます。 これらのロールは次のとおりです。

    • エンタープライズ管理者
    • 部門管理者
    • アカウント所有者
    • サービス管理者
    • 通知の連絡窓口

Enterprise Agreement 加入契約と Microsoft Entra ID および Azure RBAC の関係

組織で Azure サブスクリプションに Enterprise Agreement 加入契約を使用する場合は、さまざまな認証と許可の境界、そしてこれらの境界の関係を理解することが重要です。

Azure サブスクリプションと Microsoft Entra テナントの間には固有の信頼関係があります。詳しくは、「Microsoft Entra テナントに Azure サブスクリプションを関連付ける、または追加する」をご覧ください。 Enterprise Agreement 加入契約では、加入契約に設定された認証レベルと、加入契約アカウント オーナーの作成時に選択されたオプションに応じて、ID プロバイダーとして Microsoft Entra テナントを使用することもできます。 ただし、アカウント オーナーとは別に、Enterprise Agreement 加入契約ロールでは、その加入契約内の Microsoft Entra ID または Azure サブスクリプションへのアクセスは提供されません。

たとえば、財務ユーザーには、Enterprise Agreement 加入契約にエンタープライズ管理者ロールが付与されます。 これは、Microsoft Entra ID または任意の Azure 管理グループ、サブスクリプション、リソース グループ、またはリソースに対して、管理者特権のアクセス許可またはロールが割り当てられていない標準ユーザーです。 財務ユーザーは、Azure Enterprise Agreement ロールの管理の一覧に記載されているロールのみを実行でき、加入契約時に Azure サブスクリプションにアクセスすることはできません。 Azure サブスクリプションへのアクセス権を持つ Enterprise Agreement ロールのみがアカウント オーナーになります。このアクセス許可はサブスクリプションの作成時に付与されているためです。

Diagram that shows Azure Enterprise Agreement relationship with Microsoft Entra ID and RBAC.

設計上の考慮事項

  • 加入契約には、サブスクリプションの管理方法を統制する階層型の組織構造があります。 詳細については、Azure Enterprise Agreement ロールの管理を参照してください。

  • 1 つの登録に、さまざまな管理者を割り当てることができます。

  • 各サブスクリプションには、指定されたアカウント オーナーが必要です。 必要に応じてこれを変更する方法の詳細については、Azure EA portal 管理ガイドを参照してください。

  • 各アカウント オーナーは、そのアカウントでプロビジョニングされたサブスクリプションのサブスクリプション所有者です。

  • サブスクリプションは、一度に 1 つのアカウントにのみ属することができます。

  • 特定の条件セットを使用して、サブスクリプションを中断する必要があるかどうかを判断できます。

  • 部門とアカウントで、加入契約の請求先と使用レポートをフィルター処理できます。

  • 最新の API を使用して Azure Enterprise Agreement サブスクリプションをプログラムで作成する」で、Enterprise Agreement サブスクリプションの制限の詳細を確認してください。

設計の推奨事項

  • すべてのアカウントの種類に認証の種類 Work or school account のみを使用します。 Microsoft account (MSA) のアカウントの種類は使用しないでください。

  • 通知が適切なグループ メールボックスに送信されるように、通知の連絡先メール アドレスを設定します。

  • 組織は、職務、部門、地理、マトリックス、チーム構造など、さまざまな構造を持つことがあります。 部門とアカウントを使用して組織の構造を加入契約階層にマップすると、請求先を分離するのに役立ちます。

  • Azure Cost Management + Billing のレポートとビューを使用すると、Azure メタデータ (タグや場所など) を使用して、組織のコストを探索および分析できます。

  • サブスクリプションおよび関連する Azure リソースに対する管理者アクセスを制限するために、加入契約内のアカウント オーナー数を制限し、最小限に抑えます。

  • 各部門とアカウントに予算を割り当て、予算に関連するアラートを設定します。

  • 対応する事業領域に独立した IT 機能がある場合にのみ、IT の新しい部門を作成します。

  • 複数の Microsoft Entra テナントが使用されている場合は、アカウント オーナーが、アカウントのサブスクリプションがプロビジョニングされているものと同じテナントに関連付けられていることを確認します。

  • 開発/テストのワークロードの場合は、Enterprise Dev/Test プランを使用します (使用可能な場合)。 使用条件には必ず準拠してください。

  • 通知アカウントのメール アドレスに送信された通知メールは無視しないでください。 Microsoft からこのアカウントに、重要な Enterprise Agreement のプロンプトが送信されます。

  • Microsoft Entra ID で Enterprise Agreement アカウントの移動または名前変更を行わないでください。

  • Azure EA ポータルを定期的に監査して、アクセス権を持つユーザーを確認し、可能な場合は Microsoft アカウントを使用しないようにします。

  • すべての Enterprise Agreement 加入契約で [DA ビューの請求額][AO ビューの請求額] の両方を有効にし、適切なアクセス許可を持つユーザーが Azure Cost Management + Billing のデータを表示できるようにします。

  • 登録時にサブスクリプションを作成する権限を持つユーザー (詳細はこちらをご覧ください) は、他の特権アカウントと同じように (詳細はこちらをご覧ください)、多要素認証 (MFA) で保護する必要があります。