Управление ролями для Соглашений Enterprise в Azure

Чтобы лучше контролировать потребление ресурсов и расходы в организации, клиенты Azure с Соглашением Enterprise могут назначить шесть разных административных ролей.

  • Администратор предприятия
  • Администратор предприятия (только для чтения)¹
  • Покупатель EA
  • Администратор отдела
  • Администратор отдела (только для чтения)
  • Владелец учетной записи²

¹ Bill-To контакт контракта EA будет находиться под этой ролью.

² Контакт Bill-To нельзя добавить или изменить на портале Azure EA. Он будет добавлен в регистрацию EA в зависимости от пользователя, настроенного в качестве контакта Bill-To на уровне соглашения. Чтобы изменить контакт, которому будет выставлен счет, необходимо выполнить запрос через партнера или консультанта по программному обеспечению в Региональный операционный центр (ROC).

Первый администратор регистрации, который был настроен при подготовке регистрации, определяет тип аутентификации для учетной записи контакта, которому будет выставлен счет. Если контакт, которому будет выставлен счет, добавляется на EA Portal в качестве администратора с правами только для чтения, такому контакту назначается аутентификация учетной записи Майкрософт.

Например, если для типа первоначальной аутентификации задано значение "Смешанная", соглашение Enterprise будет добавлено в качестве учетной записи Майкрософт, а контакт, которому будет выставлен счет, получит права администратора по соглашению Enterprise только для чтения. Если администратор по соглашению Enterprise не утвердит авторизацию учетной записи Майкрософт для существующего контакта, которому будет выставлен счет, такой администратор может удалить соответствующего пользователя и попросить клиента снова добавить пользователя в качестве администратора с правами только для чтения с рабочей или учебной учетной записью, заданной только на уровне регистрации на EA Portal.

Эти роли относятся именно к управлению соглашениями Azure Enterprise и являются дополнением к встроенным ролям Azure, которые используются для управления доступом к ресурсам. Дополнительные сведения см. в статье Встроенные роли Azure.

Примечание

Для управления регистрацией и выставлением счетов клиентам Azure с прямым и косвенным соглашением EA рекомендуется использовать управление затратами и выставление счетов в портал Azure вместо использования портала EA. Дополнительные сведения об управлении регистрацией в портал Azure см. в статье Начало работы с выставлением счетов EA в портал Azure.

С 20 февраля 2023 г. непрямые клиенты EA не смогут управлять своей учетной записью выставления счетов на портале EA. Вместо этого они должны использовать портал Azure.

Это изменение не влияет на Azure для государственных организаций регистрации EA. Они продолжают использовать портал EA для управления своей регистрацией.

Иерархия EA Portal

Иерархия EA Portal включает в себя следующие компоненты:

  • EA Portal — предназначен для управления расходами на службы Azure EA. Вы можете:

    • создать иерархию Azure EA, назначив отделы, учетные записи и подписки;
    • выверять затраты на использование служб, скачивать отчеты об использовании и просматривать прайс-листы.
    • создавать ключи API для регистрации.
  • Отделы — помогают сегментировать затраты на логические группирования. Отделы позволяют задать бюджет или квоту на уровне отдела.

  • Учетные записи — организационные единицы на EA Portal. Их можно использовать для управления подписками и доступа к отчетам.

  • Подписки — наименьшие единицы на EA Portal. По сути это контейнеры для служб Azure, которыми управляет администратор служб.

На схеме ниже представлены простые варианты иерархий Azure EA.

Схема простых иерархий Azure EA

Роли корпоративных пользователей

Следующие роли пользователей с правами администратора входят в ваше Соглашение о регистрации Enterprise.

  • Администратор предприятия
  • Покупатель EA
  • Администратор отдела
  • Владелец учетной записи
  • Администратор службы
  • Контактное лицо для уведомлений

Роли работают на двух разных порталах для выполнения задач. EA Portal используется для управления выставлением счетов и расходами, а портал Azure — для управления службами Azure.

Клиенты с прямым соглашением EA могут выполнять все задачи администрирования на портале Azure. Портал Azure можно использовать для управления выставлением счетов, затратами и службами Azure.

Роли пользователей связываются с учетной записью пользователя. Для проверки подлинности каждый пользователь должен иметь действительную рабочую, учебную учетную запись или учетную запись Майкрософт. Следите за тем, чтобы каждая учетная запись была связана с активно отслеживаемым адресом электронной почты. На эти адреса электронной почты отправляются уведомления об учетной записи.

При настройке пользователей вы можете назначить роль администратора предприятия нескольким учетным записям. Но роль владельца учетной записи может быть только у одной учетной записи. Кроме того, роли администратора предприятия и владельца учетной записи можно назначить одной учетной записи.

Администратор предприятия

У пользователей с этой ролью самый высокий уровень доступа. Они могут выполнять следующие действия:

  • управлять учетными записями и их владельцами;
  • управлять другими администраторами предприятия;
  • управлять администраторами подразделений;
  • управлять контактными данными для отправки уведомлений;
  • приобретать службы Azure, включая резервирования;
  • просматривать сведения об использовании во всех учетных записях;
  • просматривать неоплачиваемые расходы для всех учетных записей.
  • просматривать все заказы на резервирование и резервирования, относящиеся к Соглашению Enterprise, и управлять ими.
    • Пользователь с ролью "Администратор предприятия (только чтение)" может просматривать заказы на резервирование и резервирования, но не управлять ими.

Корпоративное соглашение о регистрации может включать нескольких администраторов предприятия. Вы можете предоставить администраторам предприятия доступ только на чтение.

Роль администратора по соглашению Enterprise автоматически наследует все права доступа и привилегии роли администратора отдела. Поэтому нет необходимости вручную назначать администратору по соглашению Enterprise роль администратора отдела. Не нужно предоставлять администратору по соглашению Enterprise роль администратора отдела, так как с этой ролью администратор по соглашению Enterprise:

  • не будет иметь доступ к вкладке "Регистрация" на портале EA;
  • не будет иметь доступ к странице сводки по использованию на вкладке "Отчеты".

Роль администратора предприятия может быть назначена нескольким учетным записям.

Покупатель EA

Пользователи с этой ролью имеют разрешения на приобретение служб Azure, но не могут управлять учетными записями. Они могут выполнять следующие действия:

  • приобретать службы Azure, включая резервирования;
  • просматривать сведения об использовании во всех учетных записях;
  • просматривать неоплачиваемые расходы для всех учетных записей.
  • просматривать все заказы на резервирование и резервирования, относящиеся к Соглашению Enterprise, и управлять ими.

В настоящее время роль покупателя EA включена только для доступа на основе имени участника-службы. Сведения о назначении роли имени субъекта-службы см. в статье Назначение ролей именам субъектов-служб Соглашения Enterprise Azure.

Администратор отдела

Пользователи с этой ролью могут:

  • создавать отделы и управлять ими;
  • создавать учетные записи;
  • просматривать сведения об использовании для отделов, которыми они управляют;
  • просматривать затраты, если предоставлены необходимые разрешения.

Корпоративное соглашение о регистрации может включать нескольких администраторов отделов.

Вы можете предоставить администраторам отделов доступ только для чтения при изменении или создании администратора отдела. Для параметра "Только для чтения" выберите значение Да.

Владелец учетной записи

Пользователи с этой ролью могут:

  • создавать подписки и управлять ими;
  • управлять администраторами служб;
  • просматривать сведения об использовании для подписок.

Каждая учетная запись должна иметь уникальную учетную запись Майкрософт, рабочую или учебную учетную запись. Дополнительные сведения см. в статье Сведения об административных ролях для соглашения Azure Enterprise в Azure.

Для каждой учетной записи может быть только один владелец данной учетной записи. Однако в регистрации EA может быть несколько учетных записей. Каждая учетная запись имеет уникального владельца учетной записи.

Администратор службы

Администратор службы получает разрешения управлять службами на портале Azure и назначать роль соадминистратора другим пользователям.

Контактное лицо для уведомлений

Контакт для уведомлений получает уведомления об использовании, связанные с регистрацией.

В следующих разделах описаны ограничениях и возможностях каждой роли.

Лимит пользователей для ролей администраторов

Роль Предельное число пользователей
Администратор предприятия Неограниченно
Администратор предприятия (только для чтения) Неограниченно
Покупатель EA, назначенный имени участника-службы Неограниченно
Администратор отдела Неограниченно
Администратор отдела (только для чтения) Неограниченно
Владелец учетной записи 1 на учетную запись

Для каждой учетной записи требуется уникальная учетная запись Майкрософт, рабочая или учебная учетная запись.

Организационная структура и разрешения для каждой роли

Задания Администратор предприятия Администратор предприятия (только для чтения) Покупатель EA Администратор отдела Администратор отдела (только для чтения) Владелец учетной записи Партнер
Просмотр администраторов предприятия
Добавление и удаление администраторов предприятия
Просмотр контактов уведомлений⁴
Добавление и удаление контактов для уведомлений⁴
Создание отделов и управление ими
Просмотр администраторов отдела
Добавление и удаление администраторам отдела
Просмотр учетных записей в регистрации ✔⁵ ✔⁵
Добавление учетных записей в регистрацию, изменение владельца учетной записи ✔⁵
Приобретение резервирований
Создание подписок и разрешений для подписок, управление ими
  • ⁴ Контакты уведомлений — это сообщения электронной почты о Соглашение Enterprise Azure.
  • ⁵ Задача ограничена учетными записями в вашем отделе.

Добавление администратора предприятия

Администраторы предприятия имеют наибольшие права для управления Соглашением о регистрации Azure EA. Первоначальный администратор Azure EA создается при настройке Соглашения Enterprise. Но вы в любое время можете добавить новых администраторов или удалить их. Только существующие администраторы могут добавлять новых администраторов. Дополнительные сведения о добавлении дополнительных администраторов предприятия см. в разделе Создание другого администратора предприятия. Клиенты прямого соглашения EA могут использовать портал Azure для добавления администраторов EA (см. раздел Создание другого администратора предприятия на портале Azure). Дополнительные сведения о ролях и задачах для выставления счетов см. в разделе о ролях и задачах профиля выставления счетов.

Изменение состояния владельца учетной записи с "Ожидание" на "Активно"

Когда в Соглашение о регистрации Azure EA добавляются владельцы учетных записей, им присваивается состояние Ожидание. Когда новый владелец учетной записи получает сообщение электронной почты с приглашением для активации, он может войти в систему и активировать учетную запись. При активации учетной записи ее состояние изменяется с В ожидании на Активно. Владельцу учетной записи необходимо прочитать предупреждение и щелкнуть Продолжить. Новые пользователи могут получить запрос на ввод имени и фамилии для создания коммерческой учетной записи. В этом случае учетная запись будет активирована только после ввода требуемой информации.

Добавление администратора отдела

Когда администратор Azure EA завершит создание отдела, администратор предприятия Azure может добавить администраторов отдела и связать их с отделом. Администратор подразделения может создавать новые учетные записи. Новые учетные записи нужны для создания подписок Azure EA.

Администраторы по прямому соглашению EA могут добавлять администраторов отдела на портале Azure. Дополнительные сведения см. в статье Создание администратора отдела EA Azure.

Доступ к потреблению и затратам для каждой роли

Задания Администратор предприятия Администратор предприятия (только для чтения) Покупатель EA Администратор отдела Администратор отдела (только для чтения) Владелец учетной записи Партнер
Просмотр остатка на счете, в том числе по предоплате Azure
Просмотр квоты расходов для отдела
Настройка квоты расходов для отдела
Просмотр прайс-листа по соглашению Enterprise для организации
Просмотр сведений о потреблении и затратах ✔⁶ ✔⁶ ✔⁷
Управление ресурсами на портале Azure
  • ⁶ Требует, чтобы администратор предприятия включил политику просмотра сборов da на корпоративном портале. После этого администратор отдела сможет просматривать сведения о затратах для отдела.
  • ⁷ Требует, чтобы администратор предприятия включил политику просмотра расходов на корпоративном портале. После этого владелец учетной записи сможет просматривать сведения о затратах для учетной записи.

См. цены для разных ролей пользователей

На портале Azure могут отображаться разные сведения о ценообразовании в зависимости от административной роли и политик просмотра затрат, настроенных администратором предприятия. Ниже приведены две политики Enterprise Portal, которые влияют на отображение цен на портале Azure.

  • Возможность просмотра затрат для администратора отдела включена
  • Возможность просмотра затрат для владельца учетной записи включена

Сведения о настройке этих политик см. в этой статье.

В следующей таблице показана связь между административными ролями для соглашения Enterprise, политикой просмотра затрат, настроенной на портале Azure ролью Azure и сведениях о ценах, которые отображаются на портале Azure. Администратор предприятия всегда видит сведения о потреблении по ценам, установленным в соглашении Enterprise для организации. Но для администратора отдела и владельца учетной записи будут отображаться другие цены. Они зависят от настроенной политики просмотра затрат и присвоенных ролей Azure. В следующей таблице роль администратора отдела объединяет роли администратора отдела и администратора отдела (только для чтения).

Административная роль для Соглашения Enterprise Политика просмотра расходов для роли Роль Azure Представление цен
Владелец учетной записи или администратор отдела ✔ Включено Владелец Цены по Соглашению Enterprise для организации
Владелец учетной записи или администратор отдела ✘ Отключено Владелец Нет данных о ценах
Владелец учетной записи или администратор отдела ✔ Включено none Нет данных о ценах
Владелец учетной записи или администратор отдела ✘ Отключено none Нет данных о ценах
None Неприменимо Владелец Нет данных о ценах

Роль администратора предприятия и политики просмотра расходов настраиваются на Enterprise Portal. Роль Azure можно изменить на портале Azure. Дополнительные сведения см. в статье Назначение ролей Azure с помощью портала Azure.

Дальнейшие действия