Plano para registro do Contrato Enterprise

  • Artigo

O registro do Contrato Enterprise representa a relação comercial entre a Microsoft e a forma de utilização do Azure pela sua organização. Ele fornece a base de cobrança para suas assinaturas e como seu estado digital é administrado. A folha Gerenciamento de Custos + Cobrança no portal do Azure ajuda você a gerenciar seu registro do Enterprise Agreement. Um registro geralmente representa a hierarquia de uma organização, incluindo departamentos, contas e assinaturas. Essa hierarquia representa os centros de custo em uma organização.

Observação

O portal EA do Azure (https://ea.azure.com) foi desativado em 15 de fevereiro de 2024, os clientes agora devem usar a folha Gerenciamento de Custos + Cobrança no portal do Azure para gerenciar suas inscrições, conforme documentado mais adiante em:

Diagram that shows Azure Enterprise Agreement hierarchies.

  • Os departamentos ajudam a segmentar os custos em agrupamentos lógicos e a definir um orçamento ou uma cota no nível do departamento. A cota não é imposta de maneira rígida; ela é usada para fins de relatório.

  • As contas são unidades organizacionais no portal do Azure EA. Elas são usadas para gerenciar assinaturas e acessar relatórios.

  • As assinaturas são as menores unidades do portal do Azure EA. Elas são contêineres para os serviços do Azure que são gerenciados por um administrador de serviços. É aí que a sua organização implanta os serviços do Azure.

  • As funções de registro no Contrato Enterprise vinculam os usuários à respectiva função. Essas funções são:

    • Administrador corporativo
    • Administrador de departamento
    • Proprietário da conta
    • Administrador de serviços
    • Contato para notificação

Como um registro do Enterprise Agreement se relaciona com a ID do Microsoft Entra e o RBAC do Azure

Quando sua organização usa um registro de Contrato Enterprise para assinaturas do Azure, é importante saber sobre os vários limites de autenticação e autorização e a relação entre esses limites.

Há uma relação de confiança inerente entre as assinaturas do Azure e um locatário do Microsoft Entra, que é descrita mais adiante em Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra. Um registro do Enterprise Agreement também pode usar um locatário do Microsoft Entra como um provedor de identidade, dependendo do nível de autenticação definido no registro e qual opção foi selecionada quando o proprietário da conta de registro foi criado. No entanto, além do proprietário da conta, as funções de registro do Enterprise Agreement não fornecem acesso à ID do Microsoft Entra ou às assinaturas do Azure nesse registro.

Por exemplo, um usuário financeiro é concedido a uma função de administrador corporativo no registro do Contrato Enterprise. Eles são um usuário padrão sem permissões elevadas ou funções atribuídas a eles na ID do Microsoft Entra ou em qualquer grupo de gerenciamento, assinatura, grupo de recursos ou recurso do Azure. O usuário financeiro só pode executar as funções listadas em gerenciando funções de Contrato Enterprise do Azure e não pode acessar as assinaturas do Azure no registro. A única função de Contrato Enterprise com acesso a assinaturas do Azure é o proprietário da conta porque essa permissão foi concedida quando a assinatura foi criada.

Diagram that shows Azure Enterprise Agreement relationship with Microsoft Entra ID and RBAC.

Considerações sobre o design

  • O registro fornece uma estrutura organizacional hierárquica para controlar como as assinaturas são gerenciadas. Para mais informações, confira Como gerenciar funções do Contrato Enterprise.

  • Um intervalo de administradores pode ser atribuído a um único registro.

  • Cada assinatura deve ter um proprietário da conta atribuído a ela. Consulte o Guia de administração do portal do Azure EA para obter detalhes sobre como alterar isso, se necessário.

  • Cada proprietário da conta é um proprietário da assinatura para todas as assinaturas provisionadas nessa conta.

  • Uma assinatura pode pertencer a apenas uma conta por vez.

  • Pode ser usado um conjunto específico de critérios para determinar se uma assinatura deve ser suspensa.

  • Departamentos e contas podem filtrar os relatórios de cobrança e uso de registro.

  • Revise Programaticamente criar assinaturas Contrato Enterprise do Azure com as APIs mais recentes para obter mais informações sobre as limitações de assinatura do Contrato Enterprise.

Recomendações sobre design

  • Use apenas o tipo de autenticação Work or school account para todos os tipos de conta. Evite usar o tipo de conta Microsoft account (MSA).

  • Configure um endereço de email do Contato de Notificação para garantir que as notificações sejam enviadas para uma caixa de correio de grupo apropriada.

  • (Uma organização pode ter várias estruturas, incluindo estruturas funcionais, divisionais, geográficas, matriciais ou de equipe). Usar departamentos e contas para mapear a estrutura da sua organização para sua hierarquia de registro pode ajudar a separar a cobrança.

  • Use os relatórios e as exibições do Gerenciamento de Custos e Cobrança do Azure, que podem usar metadados do Azure, como marcas e localização, para explorar e analisar os custos da sua organização.

  • Restrinja e minimize o número de proprietários da conta no registro para limitar o acesso de administrador a assinaturas e recursos associados do Azure.

  • Atribua um orçamento a cada conta departamento e conta e estabeleça um alerta associado ao orçamento.

  • Crie novos departamentos para TI somente se os domínios de negócios correspondentes tiverem recursos de TI independentes.

  • Se você usar vários locatários do Microsoft Entra, verifique se o proprietário da conta está associado ao mesmo locatário em que as assinaturas da conta são provisionadas.

  • Para cargas de trabalho de desenvolvimento e teste (desenvolvimento/teste), use a oferta Desenvolvimento/Teste Enterprise, quando disponível. Verifique se você está em conformidade com os termos de uso.

  • Não ignore os emails de notificação enviados ao endereço de email da conta de notificação. A Microsoft envia solicitações de Contrato Enterprise importantes para essa conta.

  • Não mova ou renomeie uma conta do Enterprise Agreement no Microsoft Entra ID.

  • Faça auditorias periodicamente no portal do Azure EA para examinar quem tem acesso e, quando possível, evite o uso de uma conta da Microsoft.

  • Habilite os Encargos de Exibição do DA e os Encargos de Exibição do AO em cada registro do Contrato Enterprise para permitir que os usuários com as permissões corretas vejam os dados do Gerenciamento de Custos e Cobrança do Azure.

  • Qualquer usuário que tenha permissões em um registro para criar assinaturas, conforme detalhado aqui, deve ser protegido com MFA (Multi-Factor Authentication), pois qualquer outra conta privilegiada deve ser conforme documentado aqui