Plannen voor Enterprise Overeenkomst inschrijving

  • Artikel

Enterprise Overeenkomst inschrijving vertegenwoordigt de commerciële relatie tussen Microsoft en hoe uw organisatie Gebruikmaakt van Azure. Het biedt factureringsbasis voor uw abonnementen en hoe uw digitale activa worden beheerd. Met de blade Kostenbeheer en facturering in Azure Portal kunt u uw Enterprise Overeenkomst-inschrijving beheren. Een inschrijving vertegenwoordigt vaak de hiërarchie van een organisatie, waaronder afdelingen, accounts en abonnementen. Deze hiërarchie vertegenwoordigt kostenplaatsen binnen een organisatie.

Notitie

De Azure EA-portal (https://ea.azure.com) is vanaf 15 februari 2024 buiten gebruik gesteld. Klanten moeten nu de blade Kostenbeheer en facturering in Azure Portal gebruiken om hun inschrijvingen te beheren, zoals verder wordt beschreven in:

Diagram that shows Azure Enterprise Agreement hierarchies.

  • Afdelingen helpen bij het segmenteren van kosten in logische groeperingen en het instellen van een budget of quotum op afdelingsniveau. Het quotum wordt niet stevig afgedwongen; het wordt gebruikt voor rapportagedoeleinden.

  • Accounts zijn organisatie-eenheden in de Azure EA-portal. Ze kunnen worden gebruikt om abonnementen te beheren en rapporten te openen.

  • Abonnementen zijn de kleinste eenheden in Azure EA Portal. Ze zijn containers voor Azure-services die worden beheerd door een service-Beheer istrator. Hier implementeert uw organisatie Azure-services.

  • Enterprise Overeenkomst inschrijvingsrollen koppelen gebruikers aan hun functionele rol. Deze rollen zijn:

    • Zakelijke beheerder
    • Afdelingsbeheerder
    • Accounteigenaar
    • Servicebeheerder
    • Contactpersoon voor meldingen

Hoe een Enterprise Overeenkomst-inschrijving zich verhoudt tot Microsoft Entra ID en Azure RBAC

Wanneer uw organisatie gebruikmaakt van een Enterprise Overeenkomst-inschrijving voor Azure-abonnementen, is het belangrijk om inzicht te hebben in de verschillende verificatie- en autorisatiegrenzen en de relatie tussen deze grenzen.

Er is een inherente vertrouwensrelatie tussen Azure-abonnementen en een Microsoft Entra-tenant, die verder wordt beschreven in Koppelen of een Azure-abonnement toevoegen aan uw Microsoft Entra-tenant. Een Enterprise Overeenkomst-inschrijving kan ook een Microsoft Entra-tenant als id-provider gebruiken, afhankelijk van het verificatieniveau dat is ingesteld op de inschrijving en welke optie is geselecteerd toen de eigenaar van het inschrijvingsaccount werd gemaakt. Behalve de accounteigenaar bieden Enterprise Overeenkomst inschrijvingsrollen geen toegang tot Microsoft Entra-id of de Azure-abonnementen binnen die inschrijving.

Een financiële gebruiker krijgt bijvoorbeeld de rol Enterprise Beheer istrator voor de Enterprise Overeenkomst-inschrijving. Ze zijn een standaardgebruiker zonder verhoogde machtigingen of rollen die aan hen zijn toegewezen in Microsoft Entra-id of in een Azure-beheergroep, abonnement, resourcegroep of resource. De financiële gebruiker kan alleen de rollen uitvoeren die worden vermeld bij Het beheren van Azure Enterprise Overeenkomst-rollen en heeft geen toegang tot de Azure-abonnementen voor de inschrijving. De enige Enterprise Overeenkomst rol met toegang tot Azure-abonnementen is de accounteigenaar, omdat deze machtiging is verleend toen het abonnement werd gemaakt.

Diagram that shows Azure Enterprise Agreement relationship with Microsoft Entra ID and RBAC.

Ontwerpoverwegingen

  • De inschrijving biedt een hiërarchische organisatiestructuur om te bepalen hoe abonnementen worden beheerd. Zie Azure Enterprise Overeenkomst-rollen beheren voor meer informatie.

  • Een bereik van beheerders kan worden toegewezen aan één inschrijving.

  • Elk abonnement moet een aangewezen accounteigenaar hebben. Raadpleeg de beheerhandleiding voor Azure EA Portal voor meer informatie over hoe u dit kunt wijzigen, indien nodig.

  • Elke accounteigenaar is een abonnementseigenaar voor alle abonnementen die zijn ingericht onder dat account.

  • Een abonnement kan slechts tot één account tegelijk behoren.

  • Er kan een specifieke set criteria worden gebruikt om te bepalen of een abonnement moet worden opgeschort.

  • Afdelingen en accounts kunnen facturerings- en gebruiksrapporten voor inschrijving filteren.

  • Raadpleeg programmatisch Azure Enterprise Overeenkomst-abonnementen maken met de nieuwste API's voor meer informatie over Enterprise Overeenkomst abonnementsbeperkingen.

Ontwerpaanaanvelingen

  • Gebruik alleen het verificatietype Work or school account voor alle accounttypen. Vermijd het gebruik van het Microsoft account (MSA) accounttype.

  • Stel een e-mailadres voor de contactpersoon voor meldingen in om ervoor te zorgen dat meldingen naar een geschikt groepspostvak worden verzonden.

  • Een organisatie kan verschillende structuren hebben, waaronder functionele, divisie, geografische, matrix- of teamstructuren. Het gebruik van afdelingen en accounts om de structuur van uw organisatie toe te wijzen aan uw inschrijvingshiërarchie kan helpen bij het scheiden van facturering.

  • Gebruik Azure Cost Management + Factureringsrapporten en - weergaven, die azure-metagegevens (bijvoorbeeld tags en locatie) kunnen gebruiken om de kosten van uw organisatie te verkennen en te analyseren.

  • Beperk en minimaliseer het aantal accounteigenaren binnen de inschrijving om beheerderstoegang tot abonnementen en gekoppelde Azure-resources te beperken.

  • Wijs een budget toe voor elke afdeling en elk account en stel een waarschuwing in die is gekoppeld aan het budget.

  • Maak alleen nieuwe afdelingen voor IT als de bijbehorende bedrijfsdomeinen onafhankelijke IT-mogelijkheden hebben.

  • Als u meerdere Microsoft Entra-tenants gebruikt, controleert u of de accounteigenaar is gekoppeld aan dezelfde tenant als waar abonnementen voor het account zijn ingericht.

  • Voor ontwikkel-/testworkloads (dev/test) gebruikt u de Enterprise Dev/Test-aanbieding , indien beschikbaar. Zorg ervoor dat u voldoet aan de gebruiksvoorwaarden.

  • Negeer geen e-mails die worden verzonden naar het e-mailadres van het account voor meldingen. Microsoft verzendt belangrijke Enterprise Overeenkomst prompts naar dit account.

  • Verplaats of wijzig de naam van een Enterprise Overeenkomst account niet in Microsoft Entra-id.

  • Controleer regelmatig de Azure EA-portal om te controleren wie er toegang heeft en, indien mogelijk, om te voorkomen dat u een Microsoft-account gebruikt.

  • Schakel zowel DA-kosten weergeven als AO-kosten voor elke Enterprise Overeenkomst-inschrijving in, zodat gebruikers met de juiste machtigingen Azure Cost Management + Factureringsgegevens kunnen bekijken.

  • Elke gebruiker met machtigingen voor een inschrijving voor het maken van abonnementen, zoals hier wordt beschreven, moet worden beveiligd met Multi-Factor Authentication (MFA) omdat elk ander bevoegd account moet worden beschreven zoals hier wordt beschreven