通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

企业协议注册计划

  • 项目

企业协议注册表示 Microsoft 与组织使用 Azure 的方式之间的商业关系。 它为订阅以及如何管理数字资产提供计费基础。 Azure 门户中的“Microsoft 成本管理”边栏选项卡可帮助你管理企业协议注册。 注册通常表示组织的层次结构,其中包括部门、帐户和订阅。 此层次结构表示组织内的成本中心。

注意

截至 2024 年 2 月 15 日,Azure EA 门户 https://ea.azure.com 已停用。 现在,客户应使用Azure 门户中的“成本管理”边栏选项卡来管理其注册,如以下所述:

显示 Azure 企业协议层次结构的示意图。

  • “部门”有助于将成本细分为逻辑分组,以及在部门级别设置预算或配额。 配额不会严格执行,而是用于报告目的。

  • “帐户”是 Azure EA 门户中的组织单位。 它们用于管理订阅和访问报表。

  • 订阅是 Azure EA 门户中的最小单位。 它们是服务管理员管理的 Azure 服务的容器。 这是组织部署 Azure 服务的地方。

  • 企业协议注册角色将用户与其功能角色关联。 这些角色包括:

    • 企业管理员
    • 部门管理员
    • 帐户所有者
    • 服务管理员
    • 通知联系人

企业协议注册与 Microsoft Entra ID 和 Azure RBAC 的关系

当组织为 Azure 订阅使用企业协议注册时,必须了解各种身份验证和授权边界以及这些边界之间的关系。

Azure 订阅与 Microsoft Entra 租户之间存在固有的信任关系,该租户在 关联或向 Microsoft Entra 租户中添加 Azure 订阅中进一步介绍。 企业协议注册还可以使用 Microsoft Entra 租户作为标识提供者,具体取决于注册上设置的身份验证级别以及创建注册帐户所有者时选择的选项。 但是,除了帐户所有者之外,企业协议注册角色不提供对该注册中的 Microsoft Entra ID 或 Azure 订阅的访问权限。

例如,财务用户被授予企业协议注册的企业管理员角色。 他们是标准用户,在 Microsoft Entra ID 或任何 Azure 管理组、订阅、资源组或资源上没有提升的权限或角色。 财务用户只能执行管理 Azure 企业协议角色中列出的角色,并且无法访问注册中的 Azure 订阅。 唯一有权访问 Azure 订阅的企业协议角色是帐户所有者,因为此权限是在创建订阅时授予的。

显示 Azure 企业协议 与 Microsoft Entra ID 和 RBAC 的关系图。

设计注意事项

  • 该注册提供了一个分层组织结构,用于控制订阅的管理方式。 有关详细信息,请参阅管理 Azure 企业协议角色

  • 可以将一系列管理员分配到单个注册。

  • 每个订阅都应具有指定的帐户所有者。 如果需要,请参阅 Azure EA 门户管理指南,详细了解如何更改它。

  • 每个帐户所有者都是该帐户下预配的所有订阅的订阅所有者。

  • 一个订阅一次只能属于一个帐户。

  • 一组特定的条件可用于确定是否应挂起订阅。

  • 部门和帐户可以筛选注册计费和使用情况报告。

  • 查看使用最新 API 以企业协议方式创建 Azure 订阅,详细了解企业协议限制。

设计建议

  • 仅将身份验证类型 Work or school account 用于所有帐户类型。 避免使用 Microsoft account (MSA) 帐户类型。

  • 设置通知联系人电子邮件地址,以确保将通知发送到相应的组邮箱。

  • 组织可以具有多种结构,包括职能、部门、地理、矩阵或团队结构。 使用部门和帐户将组织的结构映射到注册层次结构有助于分离计费。

  • 使用 成本管理 报表和视图,可以使用 Azure 元数据(例如标记和位置)来浏览和分析组织的成本。

  • 限制并最大程度减少注册内的帐户所有者数量,以限制对订阅和关联 Azure 资源的管理员访问。

  • 为每个部门和帐户分配预算,并建立与预算关联的警报。

  • 仅当相应的业务域具有独立的 IT 功能时,才为 IT 创建新部门。

  • 如果使用多个 Microsoft Entra 租户,请验证帐户所有者是否与预配帐户订阅的同一租户相关联。

  • 对于开发/测试 (dev/test),请使用企业开发/测试产品(如果可用)。 确保遵守使用条款

  • 不要忽略发送到通知帐户电子邮件地址的通知电子邮件。 Microsoft 向此帐户发送重要的企业协议提示。

  • 请勿在 Microsoft Entra ID 中移动或重命名企业协议帐户。

  • 定期审核 Azure EA 门户以查看有访问权限的用户,并尽可能避免使用 Microsoft 帐户。

  • 在每个企业协议注册上启用 DA 视图费用AO 视图费用,以允许用户具有正确权限查看成本管理数据。

  • 拥有注册权限创建订阅的任何用户(如此处详述)必须受到多重身份验证(MFA)的保护,因为任何其他特权帐户都应如此处所述