План регистрации Соглашения Enterprise

Регистрация Соглашения Enterprise (EA) представляет собой коммерческие отношения между корпорацией Microsoft и тем, как ваша организация использует Azure. Она обеспечивает основание для выставления счетов за ваши подписки и управление вашей цифровой деятельностью. Колонка "Управление затратами и выставление счетов" в портал Azure помогает управлять регистрацией Соглашение Enterprise. Регистрация зачастую представляет собой иерархию организации, которая включает в себя отделы, учетные записи и подписки. Эта иерархия показывает центры затрат в пределах организации.

Примечание.

Порталhttps://ea.azure.com Azure EA () был перенаправлен с 15 февраля 2024 г., клиенты теперь должны использовать колонку "Управление затратами и выставление счетов" в портал Azure для управления их регистрацией, как описано далее:

• Администрирование на портале Azure EA
• Начало работы с учетной записью выставления счетов Соглашение Enterprise

• Отделы помогают сегментировать затраты по логическим группам и устанавливать бюджеты и квоты на уровне отдела. Квоты не соблюдаются жестко и используются для отчетности.

• Учетные записи являются организационными подразделениями на портале Azure EA. Они используются для управления подписками и доступом к отчетам.

• Подписки на портале Azure EA являются наименьшей организационной единицей. По сути это контейнеры для служб Azure, которыми управляет администратор служб. Именно здесь ваша организация развертывает службы Azure.

• Роли регистрации Соглашения Enterprise связывают пользователей с их функциональными обязанностями. Вот эти роли:

  • Администратор предприятия
  • Администратор отдела
  • Владелец учетной записи
  • Администратор служб
  • Контактное лицо для уведомлений

Как регистрация Соглашение Enterprise связана с идентификатором Microsoft Entra и Azure RBAC

Когда ваша организация использует регистрацию Соглашения Enterprise для подписок в Azure, важно понимать различные границы аутентификации и авторизации и взаимодействие между ними.

Существует связь доверия между подписками Azure и клиентом Microsoft Entra, который описан далее в разделе "Связывание" или добавление подписки Azure в клиент Microsoft Entra. Регистрация Соглашение Enterprise также может использовать клиент Microsoft Entra в качестве поставщика удостоверений в зависимости от уровня проверки подлинности, заданного для регистрации, и какой параметр был выбран при создании владельца учетной записи регистрации. Однако, помимо владельца учетной записи, Соглашение Enterprise роли регистрации не предоставляют доступ к идентификатору Microsoft Entra или подпискам Azure в рамках этой регистрации.

Например, пользователю финансовой системы предоставляется роль администратора Enterprise при регистрации Соглашения Enterprise. Это стандартный пользователь без повышенных разрешений или ролей, назначенных им в идентификаторе Microsoft Entra или в любой группе управления Azure, подписке, группе ресурсов или ресурсе. Пользователь финансовой системы может выполнять только роли, перечисленные в статье Управление ролями Соглашения Azure Enterprise, и не имеет доступа к подпискам Azure при регистрации. Единственной ролью с доступом к подпискам Azure в рамках Соглашения Enterprise является владелец учетной записи, так как это разрешение было предоставлено при создании подписки.

Рекомендации по проектированию

• Регистрация обеспечивает иерархическую организационную структуру для регулирования процесса управления подписками. Дополнительные сведения см. в Управление ролями в Соглашении Enterprise Azure.

• В рамках одной регистрации можно назначить целый ряд администраторов.

• Для каждой подписки должен быть назначен владелец учетной записи. Дополнительные сведения об изменении этого, если это необходимо, см. в статье Руководство по администрированию портала Azure EA.

• Каждый владелец учетной записи назначается владельцем подписки для всех подписок, предусмотренных для этой учетной записи.

• Подписка может принадлежать только одной учетной записи в каждый конкретный момент времени.

• Чтобы определить, следует ли приостановить подписку, можно использовать определенный набор критериев.

• Отделы и учетные записи могут фильтровать счета за регистрацию и отчеты об использовании.

• Дополнительные сведения об ограничениях подписки в рамках Соглашения Enterprise см. в статье Программное создание подписок в рамках Соглашения Azure Enterprise с помощью новейших API.

Рекомендации по проектированию

• Используйте только тип аутентификации Work or school account для всех типов учетных записей. Избегайте использования типа учетной записи Microsoft account (MSA).

• Настройте адрес электронной почты контактного лица для уведомлений, чтобы уведомления отправлялись в соответствующий почтовый ящик группы.

• В организации могут существовать различные структуры, включая функциональные, дивизионные, географические, матричные и командные. Использование отделов и учетных записей для преобразования структуры вашей организации в иерархию регистрации может помочь в разделении счетов.

• Используйте отчеты и представления из статьи Управление затратами + выставление счетов Azure, которые могут использовать метаданные Azure (например, теги и расположение) для изучения и анализа затрат в вашей организации.

• Ограничьте и минимизируйте количество владельцев учетных записей в рамках регистрации, чтобы ограничить доступ администратора к подпискам и связанным ресурсам Azure.

• Назначьте бюджет для каждого подразделения и учетной записи и установите оповещение, связанное с бюджетом.

• Создайте новые отделы ит-отдела только в том случае, если соответствующие бизнес-домены имеют независимые ИТ-возможности.

• Если вы используете несколько клиентов Microsoft Entra, убедитесь, что владелец учетной записи связан с тем же клиентом, где подготавливаются подписки для учетной записи.

• Для разработки/тестирования рабочих нагрузок используйте предложение Enterprise — разработка и тестирование, где это возможно. Убедитесь, что вами соблюдаются условия использования.

• Не игнорируйте уведомления по электронной почте, отправленные на адрес учетной записи для уведомлений. Корпорация Microsoft отправляет в адрес этой учетной записи важные подсказки, касающиеся Соглашения Enterprise.

• Не перемещайте или не переименуйте учетную запись Соглашение Enterprise в идентификаторе Microsoft Entra.

• Периодически осуществляйте аудит на портале Azure EA, чтобы узнать, кто имеет доступ, и по возможности избегайте использования учетной записи Microsoft.

• Включите оба вида Просмотреть расходы DA и Просмотреть расходы AO для каждой регистрации Соглашения Enterprise, чтобы позволить пользователям с соответствующими разрешениями просматривать данные об управлении затратами и выставлении счетов Azure.

• Любой пользователь, имеющий разрешения на регистрацию для создания подписок, как описано здесь, должен быть защищен с помощью многофакторной проверки подлинности (MFA), так как любая другая привилегированная учетная запись должна быть описана здесь.