共用方式為


訂用帳戶考慮和建議

訂用帳戶是 Azure 中管理、計費、縮放的單位。 當您設計大規模 Azure 採用時,它們會扮演重要角色。 本文可協助您根據視下列情況而有所不同的重要因素來擷取訂用帳戶需求和設計目標訂用帳戶:

  • 環境類型
  • 擁有權和治理模型
  • 組織結構
  • 應用程式組合
  • 地區

提示

如需訂用帳戶的詳細資訊,請參閱 YouTube 影片: Azure 登陸區域 - 我應該在 Azure 中使用多少個訂用帳戶?

注意

如果您使用 Enterprise 合約、Microsoft 客戶合約 或 Microsoft 合作夥伴合約 (CSP),請檢閱 Azure 入口網站 中計費帳戶和範圍中的訂用帳戶限制。

訂用帳戶考慮

下列各節包含可協助您規劃和建立 Azure 訂用帳戶的考慮。

組織和治理設計考量

  • 訂用帳戶可作為 Azure 原則指派的界限。

    例如,安全的工作負載 (例如支付卡產業 (PCI) 工作負載) 通常需仰賴其他原則以達到合規性。 與其使用管理群組來整理需要 PCI 合規性的工作負載,您只需一個訂用帳戶即可達到相同的隔離效果,而無須使用太多管理群組搭配數個訂用帳戶。

    如果您需要將屬於相同工作負載原型的許多訂用帳戶群組在一起,請將其建立在管理群組下。

  • 訂用帳戶可作為縮放單位,讓元件工作負載可以在平臺 訂用帳戶限制內進行調整。 設計工作負載時請務必考量訂用帳戶資源限制。

  • 訂用帳戶提供了治理和隔離的管理界限,可明確區隔關注點。

  • 在必要時,為管理 (監視)、連線和身分識別等用途建立個別的平台訂用帳戶。

    • 在您的平臺管理群組中建立專用的管理訂用帳戶,以支援 Azure 監視器記錄工作區和 Azure 自動化 Runbook 等全域管理功能。

    • 必要時,在您的平台管理群組中建立專用的身分識別訂用帳戶,以裝載 Windows Server Active Directory 網域控制站。

    • 在您的平臺管理群組中建立專用的連線訂用帳戶,以裝載 Azure 虛擬 WAN 中樞、私人功能變數名稱系統(DNS)、Azure ExpressRoute 線路和其他網路資源。 專用的訂用帳戶可確保您所有的基礎網路資源會一起計費,並且與其他工作負載隔離。

    • 使用訂用帳戶作為符合業務需求和優先順序的民主化管理單位。

  • 使用手動程序將 Microsoft Entra 租用戶限制為僅限 Enterprise 合約註冊訂用帳戶。 當您使用手動程式時,您無法在根管理群組範圍建立Microsoft開發人員網路 (MSDN) 訂用帳戶。

    如需支援,請提交 Azure 支援 票證

    如需 Azure 計費供應項目之間訂用帳戶轉移的相關信息,請參閱 Azure 訂用帳戶和保留轉移中樞

多個區域考慮

重要

訂用帳戶不會系結至特定區域,而且您可以將這些訂用帳戶視為全局訂用帳戶。 它們是邏輯建構,可為內含的 Azure 資源提供計費、治理、安全性和身分識別控制。 因此,您不需要每個區域的個別訂用帳戶。

  • 您可以在單一工作負載層級採用多重區域方法,以調整或異地災害復原或全域層級(不同區域中的不同工作負載)。

  • 根據需求和架構,單一訂用帳戶可以包含來自不同區域的資源。

  • 在異地災害復原內容中,您可以使用相同的訂用帳戶來包含來自主要和次要區域的資源,因為它們在邏輯上是相同工作負載的一部分。

  • 您可以針對不同區域中的相同工作負載部署不同的環境,以將成本和資源可用性優化。

  • 在包含來自多個區域的資源的訂用帳戶中,您可以使用資源群組依區域組織及包含資源。

配額和容量設計考量

Azure 區域可能有資源數目的限制。 因此,您應該使用數個資源來追蹤 Azure 採用的可用容量和 SKU。

  • 針對工作負載所需的每個服務,請考慮 Azure 平臺內的限制和配額

  • 考量您選擇的 Azure 區域內所需 SKU 的可用性。 例如,新功能只能在特定區域中使用。 虛擬機(VM) 等指定資源的特定 SKU 可用性可能會因某個區域而異。

  • 請留意,訂用帳戶配額不是容量保證,且會依個別區域套用。

    如需虛擬機容量保留,請參閱 隨選容量保留

  • 請考慮重複使用未使用或已解除委任的訂用帳戶。 如需詳細資訊,請參閱 建立或重複使用 Azure 訂用帳戶

租用戶轉移限制設計考量

每個 Azure 訂用帳戶都會連結至單一 Entra 租用戶,作為您 Azure 訂用帳戶的識別提供者 (IdP)。 使用 Microsoft Entra 租用戶來驗證用戶、服務和裝置。

當任何使用者具有必要許可權時,他們可以變更連結至 Azure 訂用帳戶的 Microsoft Entra 租使用者。 如需詳細資訊,請參閱

注意

您無法轉移至 Azure 雲端解決方案提供者 (CSP) 訂用帳戶的不同Microsoft Entra 租使用者。

針對 Azure 登陸區域,您可以設定需求,以防止使用者將訂用帳戶轉移至組織的 Microsoft Entra 租使用者。 如需詳細資訊,請參閱管理 Azure 訂用帳戶原則

提供豁免的使用者清單 ,以設定您的訂用帳戶原則。 豁免的使用者可以略過原則中設定的限制。

重要

豁免的使用者清單不是 Azure 原則

重要

Microsoft建議您使用具有最少許可權的角色。 這有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該受限於緊急案例。

  • 具有 Azure 存取權的所有使用者都可以檢視為 Microsoft Entra 租使用者定義的原則。

    • 使用者無法檢視豁免 的用戶 清單。

    • 使用者可以檢視您的 Microsoft Entra 租用戶內的全域管理員。

  • 您傳輸到 Microsoft Entra 租使用者的 Azure 訂用帳戶會放入 該租用戶的預設管理群組 中。

  • 如果您的組織核准,您的應用程式小組可以定義一個程式,以允許將 Azure 訂用帳戶傳輸至Microsoft Entra 租使用者。

成本管理設計考慮

每個大型企業組織都有管理成本透明度的挑戰。 本節探討在大型 Azure 環境中實現成本透明度的重要層面。

  • 您可能需要共用計費模型,例如 App Service 環境 和 Azure Kubernetes Service (AKS),才能達到更高的密度。 退款模型可能會影響共享平臺即服務 (PaaS) 資源。

  • 對非商業執行的工作負載使用「關閉排程」,將成本最佳化。

  • 使用 Azure Advisor 來取得優化成本的建議。

  • 建立退款模型,以更妥善地散發整個組織的成本。

  • 實作原則,讓用戶無法在貴組織的環境中部署未經授權的資源。

  • 建立定期排程和頻率,以檢閱工作負載的成本和許可權資源。

訂用帳戶建議

下列各節包含可協助您規劃和建立 Azure 訂用帳戶的建議。

組織和治理建議

  • 將訂用帳戶視為符合業務需求和優先順序的管理單位。

  • 通知訂用帳戶擁有者其角色和責任。

    • 針對 Microsoft Entra Privileged Identity Management (PIM) 進行每季或每年的存取權檢閱,以確保當使用者在組織內移動時,許可權不會激增。

    • 取得預算支出和資源的完整擁有權。

    • 確保原則合規性,並在必要時進行補救。

  • 當您識別新訂用帳戶的需求時,請參考下列原則:

    • 規模限制:訂用帳戶會做為元件工作負載的縮放單位,在平台訂用帳戶限制內進行調整。 大型特製化工作負載,例如高效能運算、IoT 和 SAP,應該使用不同的訂用帳戶,以避免針對這些限制執行。

    • 管理界限:訂用帳戶提供治理和隔離的管理界限,可讓您清楚區分考慮。 開發、測試和生產環境等各種環境通常會從管理觀點中移除。

    • 原則界限:訂用帳戶可作為 Azure 原則指派的界限。 例如,PCI 工作負載等安全工作負載通常需要其他原則才能達到合規性。 如果您使用個別的訂用帳戶,則不會考量其他額外負荷。 開發環境的原則需求比實際執行環境寬鬆。

    • 目標網路拓撲:您無法跨訂用帳戶共用虛擬網路,但您可以使用虛擬網路對等互連或 ExpressRoute 等不同技術加以連線。 當您決定是否需要新的訂用帳戶時,請考慮哪些工作負載需要彼此通訊。

  • 依據您的管理群組結構和原則需求,將訂用帳戶分組到管理群組下。 群組訂用帳戶,以確保具有相同原則集的訂用帳戶和 Azure 角色指派來自相同的管理群組。

  • 在您的 Platform 管理群組中建立專用的管理訂用帳戶,以支援全域管理功能,例如 Azure 監視器記錄工作區和自動化 Runbook。

  • Platform 管理群組中建立專用的身分識別訂用帳戶,以在必要時裝載 Windows Server Active Directory 域控制器。

  • 在您的 Platform 管理群組中建立專用的連線訂用帳戶,以裝載虛擬WAN 中樞、私人 DNS、ExpressRoute 線路和其他網路資源。 專用的訂用帳戶可確保您所有的基礎網路資源會一起計費,並且與其他工作負載隔離。

  • 避免使用固定的訂用帳戶模型。 請使用一組彈性準則,以將組織內的訂用帳戶分組。 這種彈性可確保當您的組織結構和工作負載組成變更時,您可以建立新的訂用帳戶群組,而不是使用一組固定的現有訂閱。 訂用帳戶無法一體適用,而某個業務單位適用的,在另一個業務單位不一定可行。 有些應用程式能在相同的登陸區域訂用帳戶中並存,有些則需要自己的訂用帳戶。

    如需詳細資訊,請參閱 處理開發/測試/生產工作負載登陸區域

多個區域建議

  • 只有在您有區域特定的治理和管理需求時,才為每個區域建立其他訂用帳戶,例如數據主權或超出配額限制。

  • 如果調整對於跨越多個區域的異地災害復原環境並不相關,請針對主要和次要區域資源使用相同的訂用帳戶。 根據您採用的商務持續性和災害復原(BCDR)策略和工具,某些 Azure 服務可能需要使用相同的訂用帳戶。 在主動-主動案例中,部署是獨立管理或有不同的生命週期,建議您使用不同的訂用帳戶。

  • 您建立資源群組的區域和自主資源的區域應該相符,因此不會影響復原和可靠性。

  • 單一資源群組不應包含來自不同區域的資源。 這種方法可能會導致資源管理和可用性的問題。

配額和容量建議

  • 使用訂用帳戶作為縮放單位,並視需要擴增資源與訂用帳戶。 接著,您的工作負載可以使用所需的資源相應放大,而不需要達到 Azure 平臺中的訂用帳戶限制。

  • 使用容量保留來管理某些區域中的容量。 您的工作負載後續將可在特定區域獲得高需求資源所需的容量。

  • 建立具有自定義檢視的儀錶板,以監視使用的容量層級,並在容量接近關鍵層級時設定警示,例如 90% 的 CPU 使用量。

  • 在訂用帳戶佈建期間提出增加配額的支援要求,例如,訂用帳戶內可用的 VM 核心總數。 確定您的配額限制是在工作負載超過預設限制之前設定的。

  • 確定任何必要的服務和功能在您選擇的部署區域中均適用。

自動化建議

  • 建置 訂閱自動販賣 程式,以透過要求工作流程自動建立應用程式小組的訂用帳戶。 如需詳細資訊,請參閱 訂閱自動售貨。

租用戶轉移限制建議

  • 設定下列設定,以防止使用者將 Azure 訂用帳戶轉移至您的 Microsoft Entra 租用戶,或從 Microsoft Entra 租用戶轉移:

    • 將 [訂用帳戶] 將 [保留Microsoft Entra 目錄] 設定Permit no one

    • 將輸入 Microsoft Entra 目錄的訂用帳戶設定Permit no one

  • 設定受限的 豁免用戶清單。

    • 包含來自 Azure 平台作業小組的成員。

    • 在免套用使用者清單中加入分鏡帳戶。

後續步驟

採用原則驅動的護欄