Поделиться через

План регистрации Соглашения Enterprise

  • Статья

Регистрация Соглашения Enterprise (EA) представляет собой коммерческие отношения между корпорацией Microsoft и тем, как ваша организация использует Azure. Она обеспечивает основание для выставления счетов за ваши подписки и управление вашей цифровой деятельностью. Колонка "Управление затратами Майкрософт" в портал Azure помогает управлять регистрацией Соглашение Enterprise. Регистрация зачастую представляет собой иерархию организации, которая включает в себя отделы, учетные записи и подписки. Эта иерархия показывает центры затрат в пределах организации.

Примечание.

Портал https://ea.azure.com Azure EA был прекращен с 15 февраля 2024 г. Теперь клиенты должны использовать колонку "Управление затратами" в портал Azure для управления своими регистрациями, как описано далее:

Схема: иерархии Соглашения Enterprise Azure.

  • Отделы помогают сегментировать затраты по логическим группам и устанавливать бюджеты и квоты на уровне отдела. Квоты не соблюдаются жестко и используются для отчетности.

  • Учетные записи — это подразделения в колонке "Управление затратами" портал Azure. Они используются для управления подписками и доступом к отчетам.

  • Подписки — это наименьшие единицы в портал Azure. По сути это контейнеры для служб Azure, которыми управляет администратор служб. Именно здесь ваша организация развертывает службы Azure.

  • Роли регистрации Соглашения Enterprise связывают пользователей с их функциональными обязанностями. Вот эти роли:

    • Администратор предприятия
    • Администратор отдела
    • Владелец учетной записи
    • Администратор служб
    • Контактное лицо для уведомлений

Как регистрация Соглашение Enterprise связана с идентификатором Microsoft Entra и Azure RBAC

Когда ваша организация использует регистрацию Соглашения Enterprise для подписок в Azure, важно понимать различные границы аутентификации и авторизации и взаимодействие между ними.

Существует связь доверия между подписками Azure и клиентом Microsoft Entra, который описан далее в разделе "Связывание" или добавление подписки Azure в клиент Microsoft Entra. Регистрация Соглашение Enterprise также может использовать клиент Microsoft Entra в качестве поставщика удостоверений в зависимости от уровня проверки подлинности, заданного для регистрации, и какой параметр был выбран при создании владельца учетной записи регистрации. Однако, помимо владельца учетной записи, Соглашение Enterprise роли регистрации не предоставляют доступ к идентификатору Microsoft Entra или подпискам Azure в рамках этой регистрации.

Например, пользователю финансовой системы предоставляется роль администратора Enterprise при регистрации Соглашения Enterprise. Это стандартный пользователь без повышенных разрешений или ролей, назначенных им в идентификаторе Microsoft Entra или в любой группе управления Azure, подписке, группе ресурсов или ресурсе. Пользователь финансовой системы может выполнять только роли, перечисленные в статье Управление ролями Соглашения Azure Enterprise, и не имеет доступа к подпискам Azure при регистрации. Единственной ролью с доступом к подпискам Azure в рамках Соглашения Enterprise является владелец учетной записи, так как это разрешение было предоставлено при создании подписки.

Схема, показывающая связь Azure Соглашение Enterprise с идентификатором Microsoft Entra и RBAC.

Рекомендации по проектированию

  • Регистрация обеспечивает иерархическую организационную структуру для регулирования процесса управления подписками. Дополнительные сведения см. в Управление ролями в Соглашении Enterprise Azure.

  • В рамках одной регистрации можно назначить целый ряд администраторов.

  • Для каждой подписки должен быть назначен владелец учетной записи. Дополнительные сведения об изменении этого изменения см. в руководстве по администрированию Azure EA.

  • Каждый владелец учетной записи назначается владельцем подписки для всех подписок, предусмотренных для этой учетной записи.

  • Подписка может принадлежать только одной учетной записи в каждый конкретный момент времени.

  • Чтобы определить, следует ли приостановить подписку, можно использовать определенный набор критериев.

  • Отделы и учетные записи могут фильтровать счета за регистрацию и отчеты об использовании.

  • Дополнительные сведения об ограничениях подписки в рамках Соглашения Enterprise см. в статье Программное создание подписок в рамках Соглашения Azure Enterprise с помощью новейших API.

Рекомендации по проектированию

  • Используйте только тип аутентификации Work or school account для всех типов учетных записей. Избегайте использования типа учетной записи Microsoft account (MSA).

  • Настройте адрес электронной почты контактного лица для уведомлений, чтобы уведомления отправлялись в соответствующий почтовый ящик группы.

  • В организации могут существовать различные структуры, включая функциональные, дивизионные, географические, матричные и командные. Использование отделов и учетных записей для преобразования структуры вашей организации в иерархию регистрации может помочь в разделении счетов.

  • Используйте отчеты и представления управления затратами, которые могут использовать метаданные Azure (например, теги и расположение) для изучения и анализа затрат вашей организации.

  • Ограничьте и минимизируйте количество владельцев учетных записей в рамках регистрации, чтобы ограничить доступ администратора к подпискам и связанным ресурсам Azure.

  • Назначьте бюджет для каждого подразделения и учетной записи и установите оповещение, связанное с бюджетом.

  • Создайте новые отделы ит-отдела только в том случае, если соответствующие бизнес-домены имеют независимые ИТ-возможности.

  • Если вы используете несколько клиентов Microsoft Entra, убедитесь, что владелец учетной записи связан с тем же клиентом, где подготавливаются подписки для учетной записи.

  • Для разработки/тестирования рабочих нагрузок используйте предложение Enterprise — разработка и тестирование, где это возможно. Убедитесь, что вами соблюдаются условия использования.

  • Не игнорируйте уведомления по электронной почте, отправленные на адрес учетной записи для уведомлений. Корпорация Microsoft отправляет в адрес этой учетной записи важные подсказки, касающиеся Соглашения Enterprise.

  • Не перемещайте или не переименуйте учетную запись Соглашение Enterprise в идентификаторе Microsoft Entra.

  • Периодически проверяйте колонку "Управление затратами" в портал Azure, чтобы проверить, кто имеет доступ, и по возможности избежать использования учетной записи Майкрософт.

  • Включите как расходы на представление DA View, так и AO View В каждой Соглашение Enterprise регистрации, чтобы разрешить пользователям с правильными разрешениями для просмотра данных управления затратами.

  • Любой пользователь, имеющий разрешения на регистрацию для создания подписок, как описано здесь, должен быть защищен с помощью многофакторной проверки подлинности, так как любая другая привилегированная учетная запись должна быть описана здесь.