Planera för företagsavtal registrering

företagsavtal registrering representerar den kommersiella relationen mellan Microsoft och hur din organisation använder Azure. Det ger faktureringsgrund för dina prenumerationer och hur din digitala egendom administreras. Bladet Microsoft Cost Management i Azure Portal hjälper dig att hantera din företagsavtal registrering. En registrering representerar ofta en organisations hierarki, inklusive avdelningar, konton och prenumerationer. Den här hierarkin representerar kostnadsställen i en organisation.

Kommentar

Azure EA-portalen https://ea.azure.com har dragits tillbaka den 15 februari 2024. Kunder bör nu använda Cost Management-bladet i Azure Portal för att hantera sina registreringar enligt beskrivningen i:

• Administration i Azure EA-portalen
• Kom igång med ditt företagsavtal faktureringskonto

• Avdelningar hjälper till att segmentera kostnader i logiska grupper och ange en budget eller kvot på avdelningsnivå. Kvoten tillämpas inte ordentligt. den används i rapporteringssyfte.

• Konton är organisationsenheter på bladet Cost Management i Azure Portal. De kan användas för att hantera prenumerationer och åtkomstrapporter.

• Prenumerationer är de minsta enheterna i Azure Portal. Det är containrar för Azure-tjänster som hanteras av en tjänstadministratör. Det är här din organisation distribuerar Azure-tjänster.

• företagsavtal registreringsroller länkar användare till deras funktionsroll. Dessa roller är:

  • Företagsadministratör
  • Avdelningsadministratör
  • Kontoägare
  • Tjänstadministratör
  • Meddelandekontakt

Så här relaterar en företagsavtal-registrering till Microsoft Entra ID och Azure RBAC

När din organisation använder en företagsavtal registrering för Azure-prenumerationer är det viktigt att förstå de olika autentiserings- och auktoriseringsgränserna och relationen mellan dessa gränser.

Det finns en inbyggd förtroenderelation mellan Azure-prenumerationer och en Microsoft Entra-klientorganisation, som beskrivs ytterligare i Associera eller lägg till en Azure-prenumeration i din Microsoft Entra-klientorganisation. En företagsavtal registrering kan också använda en Microsoft Entra-klientorganisation som identitetsprovider, beroende på vilken autentiseringsnivå som angetts för registreringen och vilket alternativ som valdes när ägaren till registreringskontot skapades. Men förutom kontoägaren ger företagsavtal registreringsroller inte åtkomst till Microsoft Entra-ID eller Azure-prenumerationerna i den registreringen.

Till exempel beviljas en ekonomianvändare en företagsadministratörsroll i företagsavtal registrering. De är en standardanvändare utan utökade behörigheter eller roller som tilldelats dem i Microsoft Entra-ID eller på någon Azure-hanteringsgrupp, prenumeration, resursgrupp eller resurs. Ekonomianvändaren kan bara utföra de roller som anges i Hantera Azure-företagsavtal roller och kan inte komma åt Azure-prenumerationerna i registreringen. Den enda företagsavtal rollen med åtkomst till Azure-prenumerationer är kontoägaren eftersom den här behörigheten beviljades när prenumerationen skapades.

Utformningsbeaktanden

• Registreringen ger en hierarkisk organisationsstruktur som styr hur prenumerationer hanteras. Mer information finns i Hantera Azure företagsavtal-roller.

• En rad administratörer kan tilldelas till en enskild registrering.

• Varje prenumeration ska ha en utsedd kontoägare. Mer information om hur du ändrar detta finns i administrationsguiden för Azure EA om det behövs.

• Varje kontoägare är prenumerationsägare för alla prenumerationer som etablerats under det kontot.

• En prenumeration kan bara tillhöra ett konto i taget.

• En specifik uppsättning kriterier kan användas för att avgöra om en prenumeration ska pausas.

• Avdelningar och konton kan filtrera fakturerings- och användningsrapporter för registrering.

• Granska Programmatiskt skapa Azure företagsavtal-prenumerationer med de senaste API:erna för mer information om företagsavtal prenumerationsbegränsningar.

Varning

Du kommer inte att kunna skapa nya prenumerationer eller överföra befintliga prenumerationer från ett registreringskonto om det associerade UPN tas bort från Microsoft Entra-ID.

Designrekommendationer

• Använd endast autentiseringstypen Work or school account för alla kontotyper. Undvik att använda Microsoft account (MSA) kontotypen.

• Konfigurera en e-postadress för meddelandekontakt för att säkerställa att meddelanden skickas till en lämplig grupppostlåda.

• En organisation kan ha olika strukturer, inklusive funktionella, divisionella, geografiska strukturer, matriser eller teamstrukturer. Att använda avdelningar och konton för att mappa organisationens struktur till din registreringshierarki kan hjälpa dig att separera faktureringen.

• Använd Cost Management-rapporter och vyer, som kan använda Azure-metadata (till exempel taggar och plats) för att utforska och analysera organisationens kostnader.

• Begränsa och minimera antalet kontoägare i registreringen för att begränsa administratörsåtkomsten till prenumerationer och associerade Azure-resurser.

• Tilldela en budget för varje avdelning och konto och upprätta en avisering som är associerad med budgeten.

• Skapa bara nya avdelningar för IT om motsvarande affärsdomäner har oberoende IT-funktioner.

• Om du använder flera Microsoft Entra-klienter kontrollerar du att kontoägaren är associerad med samma klientorganisation som där prenumerationer för kontot etableras.

• För utvecklings-/testningsarbetsbelastningar (dev/test) använder du Enterprise Dev/Test-erbjudandet , där det är tillgängligt. Se till att du följer användningsvillkoren.

• Ignorera inte e-postmeddelanden som skickas till meddelandekontots e-postadress. Microsoft skickar viktiga företagsavtal till det här kontot.

• Flytta, byt inte namn på eller ta bort entra-ID-användaren som är associerad med EA-registreringskontot.

• Granska regelbundet Cost Management-bladet i Azure Portal för att granska vem som har åtkomst och när det är möjligt undvika att använda ett Microsoft-konto.

• Aktivera både DA View-avgifter och AO Visa avgifter för varje företagsavtal registrering så att användare med rätt behörighet kan visa Cost Management-data.

• Alla användare som har behörighet till en registrering för att skapa prenumerationer, enligt beskrivningen här, måste skyddas med multifaktorautentisering eftersom alla andra privilegierade konton ska vara som de dokumenteras här