다음을 통해 공유

기업계약 등록 계획

  • 아티클

기업계약 등록은 Microsoft 간의 상업적 관계와 조직에서 Azure를 사용하는 방식을 나타냅니다. 구독 및 디지털 자산 관리 방법에 대한 청구 기반을 제공합니다. Azure Portal의 Microsoft Cost Management 블레이드로 기업계약 등록을 쉽게 관리할 수 있습니다. 등록은 부서, 계정 및 구독을 포함하여 조직의 계층 구조를 나타내는 경우가 많습니다. 이 계층 구조는 조직 내의 비용 센터를 나타냅니다.

참고 항목

Azure EA Portal https://ea.azure.com은 2024년 2월 15일부터 사용이 중지되었습니다. 이제부터 고객은 Azure Portal의 Cost Management 블레이드를 사용하여 다음에 자세히 설명된 대로 등록을 관리해야 합니다.

Azure 기업계약 계층 구조를 보여 주는 다이어그램.

  • 부서는 비용을 논리적 그룹으로 분류하고 부서 수준에서 예산 또는 할당량을 설정하는 데 도움이 됩니다. 할당량은 엄격히 적용되지 않습니다. 보고 목적으로 사용됩니다.

  • 계정은 Azure Portal의 Cost Management 블레이드에 있는 조직 구성 단위입니다. 구독을 관리하고 보고서에 액세스하는 데 사용할 수 있습니다.

  • 구독은 Azure Portal에서 가장 작은 단위입니다. 서비스 관리자가 관리하는 Azure 서비스의 컨테이너입니다. 조직에서 Azure 서비스를 배포하는 위치입니다.

  • 기업계약 등록 역할은 사용자를 기능적인 역할과 연결합니다. 해당 역할은 다음과 같습니다.

    • 엔터프라이즈 관리자
    • 부서 관리자
    • 계정 소유자
    • 서비스 관리자
    • 알림 연락처

기업계약 등록이 Microsoft Entra ID 및 Azure RBAC와 관련되는 방식

조직에서 Azure 구독에 대한 기업계약 등록을 사용하는 경우 다양한 인증 및 권한 부여 경계와 이러한 경계 간의 관계를 이해하는 것이 중요합니다.

Azure 구독과 Microsoft Entra 테넌트 간에는 내재된 신뢰 관계가 있으며, 이는 Microsoft Entra 테넌트에 Azure 구독 연결 또는 추가에 자세히 설명되어 있습니다. 기업계약 등록은 등록에 설정된 인증 수준과 등록 계정 소유자가 만들어질 때 선택한 옵션에 따라 Microsoft Entra 테넌트를 ID 공급자로 사용할 수도 있습니다. 그러나 계정 소유자 외에도 기업계약 등록 역할은 해당 등록 내의 Microsoft Entra ID 또는 Azure 구독에 대한 액세스를 제공하지 않습니다.

예를 들어 재무 사용자에게는 기업계약 등록에 대한 엔터프라이즈 관리자 역할이 부여됩니다. 이들은 Microsoft Entra ID 또는 모든 Azure 관리 그룹, 구독, 리소스 그룹 또는 리소스에서 승격된 권한이나 역할이 할당되지 않은 표준 사용자입니다. 재무 사용자는 Azure 기업계약 역할 관리에 나열된 역할만 수행할 수 있으며 등록 시 Azure 구독에 액세스할 수 없습니다. Azure 구독에 대한 액세스 권한이 있는 기업계약 역할은 계정 소유자뿐입니다. 구독이 만들어질 때 이 권한이 부여되었기 때문입니다.

Microsoft Entra ID 및 RBAC와의 Azure 기업계약 관계를 보여 주는 다이어그램.

디자인 고려 사항

  • 등록은 구독 관리 방법을 제어하는 계층적 조직 구조를 제공합니다. 자세한 내용은 Azure 기업계약 역할 관리를 참조하세요.

  • 단일 등록에 다양한 관리자를 할당할 수 있습니다.

  • 각 구독에는 지정된 계정 소유자가 있어야 합니다. 필요한 경우 이를 변경하는 방법에 대한 자세한 내용은 Azure EA 관리 가이드를 참조하세요.

  • 각 계정 소유자는 해당 계정에서 프로비저닝된 모든 구독에 대한 구독 소유자입니다.

  • 구독은 한 번에 하나의 계정에만 속할 수 있습니다.

  • 특정 조건 집합을 사용하여 구독을 일시 중단해야 하는지 여부를 결정할 수 있습니다.

  • 부서 및 계정은 등록 청구 및 사용 현황 보고서를 필터링할 수 있습니다.

  • 기업계약 구독 제한에 대한 자세한 내용은 최신 API를 사용하여 프로그래밍 방식으로 Azure 기업계약 구독 만들기를 검토합니다.

Warning

연결된 UPN이 Microsoft Entra ID에서 삭제된 경우 새 구독을 만들거나 기존 구독을 등록 계정에서 전송할 수 없습니다.

디자인 권장 사항

  • 모든 계정 유형에 대해서만 인증 유형 Work or school account을 사용합니다. Microsoft account (MSA) 계정 유형은 사용하지 마세요.

  • 알림 연락처 이메일 주소를 설정하여 알림이 올바른 그룹 사서함으로 전송되도록 합니다.

  • 조직에는 기능, 부서, 지리적 위치, 행렬 또는 팀 구조를 비롯한 다양한 구조가 있을 수 있습니다. 부서 및 계정을 사용하여 조직의 구조를 등록 계층 구조에 매핑하면 청구를 분리하는 데 도움이 될 수 있습니다.

  • Azure 메타데이터(예: 태그와 위치)를 사용하여 조직의 비용을 탐색하고 분석할 수 있는 Cost Management 보고서 및 보기를 사용합니다.

  • 등록 내의 계정 소유자 수를 제한하고 최소화하여 구독 및 연결된 Azure 리소스에 대한 관리자 액세스를 제한합니다.

  • 부서별, 계정별로 예산을 할당하고 해당 예산과 관련된 경고를 설정합니다.

  • 해당 비즈니스 도메인에 독립된 IT 기능이 있는 경우에만 IT를 위한 새 부서를 만듭니다.

  • 여러 Microsoft Entra 테넌트를 사용하는 경우 계정 소유자가 계정에 대한 구독이 프로비저닝된 것과 동일한 테넌트와 연결되어 있는지 확인합니다.

  • 개발/테스트(dev/test) 워크로드의 경우 가능한 경우 Enterprise 개발/테스트 제안을 사용합니다. 사용 약관을 준수하는지 확인합니다.

  • 알림 계정 이메일 주소로 발송된 알림 이메일을 무시하지 마세요. Microsoft는 이 계정에 중요한 기업계약 프롬프트를 보냅니다.

  • EA 등록 계정에 연결된 Entra ID 사용자를 이동하거나, 이름을 바꾸거나, 삭제하지 마세요.

  • 액세스 권한이 있는 사람을 검토하고 가능한 경우 Microsoft 계정을 사용하지 않도록 Azure Portal의 Cost Management 블레이드를 주기적으로 감사합니다.

  • DA View ChargesAO View Charges를 모든 기업계약 등록에서 모두 사용하도록 설정하여 올바른 권한이 있는 사용자가 Cost Management 데이터를 볼 수 있도록 합니다.

  • 여기에 설명된 대로 구독을 만들 수 있는 등록 권한이 있는 사용자는 여기에 기록된 대로 권한이 있는 다른 계정처럼 다단계 인증으로 보호해야 합니다.