Share via

規劃 Enterprise 合約 註冊

  • 發行項

Enterprise 合約 註冊代表 Microsoft 與組織如何使用 Azure 的商業關係。 它為您的訂用帳戶提供計費基礎,以及數字資產的管理方式。 Azure 入口網站 中的 [成本管理 + 計費] 刀鋒視窗可協助您管理 Enterprise 合約 註冊。 註冊通常代表組織的階層,包括部門、帳戶和訂用帳戶。 此階層代表組織內的成本中心。

注意

自 2024 年 2 月 15 日起,Azure EA 入口網站 (https://ea.azure.com) 已淘汰,客戶現在應該使用 Azure 入口網站 中的 [成本管理 + 計費] 刀鋒視窗來管理其註冊,如以下所述:

顯示 Azure Enterprise 合約 階層的圖表。

  • 部門可協助將成本分成邏輯群組,並在部門層級設定預算或配額。 配額不會堅決強制執行;它用於報告用途。

  • 帳戶是 Azure EA 入口網站中的組織單位, 它們可用來管理訂用帳戶和存取報表。

  • 訂用帳戶是 Azure EA 入口網站中最小的單位。 它們是由服務 管理員 istrator 所管理的 Azure 服務的容器。 這是您的組織部署 Azure 服務的位置。

  • Enterprise 合約 註冊角色會將使用者與其功能角色連結。 這些角色包括:

    • 企業系統管理員
    • 部門系統管理員
    • 帳戶擁有者
    • 服務管理員
    • 通知連絡人

Enterprise 合約 註冊與 Microsoft Entra ID 和 Azure RBAC 的關聯性

當貴組織針對 Azure 訂用帳戶使用 Enterprise 合約 註冊時,請務必瞭解各種驗證和授權界限,以及這些界限之間的關聯性。

Azure 訂用帳戶與 Microsoft Entra 租用戶之間有固有的信任關係,如將 Azure 訂用帳戶關聯或新增至您的 Microsoft Entra 租使用者會進一步說明。 Enterprise 合約 註冊也可以使用 Microsoft Entra 租使用者作為識別提供者,視註冊上的驗證層級以及建立註冊帳戶擁有者時選取的選項而定。 不過,除了帳戶擁有者之外,Enterprise 合約 註冊角色不會提供該註冊內 Microsoft Entra 標識碼或 Azure 訂用帳戶的存取權。

例如,財務使用者會在 Enterprise 合約 註冊上獲得 Enterprise 管理員 istrator 角色。 他們是標準使用者,且沒有在 Microsoft Entra ID 或任何 Azure 管理群組、訂用帳戶、資源群組或資源上指派的許可權或角色。 財務使用者只能執行管理 Azure Enterprise 合約 角色中列出的角色,而且無法存取註冊上的 Azure 訂用帳戶。 唯一具有 Azure 訂用帳戶存取權的 Enterprise 合約 角色是帳戶擁有者,因為建立訂用帳戶時會授與此許可權。

此圖顯示 Azure Enterprise 合約 與 Microsoft Entra ID 和 RBAC 的關聯性。

設計考量

  • 註冊提供階層式組織結構,以控管訂用帳戶的管理方式。 如需詳細資訊,請參閱管理 Azure Enterprise 合約 角色

  • 系統管理員可以指派給單一註冊範圍。

  • 每個訂用帳戶都應該有指定的帳戶擁有者。 如需如何視需要變更這項功能的詳細資訊,請參閱 Azure EA 入口網站系統管理指南

  • 每個帳戶擁有者都是該帳戶下布建之任何訂用帳戶的訂用帳戶擁有者。

  • 訂用帳戶一次只能屬於一個帳戶。

  • 您可以使用一組特定的準則來判斷是否應暫停訂閱。

  • 部門和帳戶可以篩選註冊計費和使用量報告。

  • 如需 Enterprise 合約 訂用帳戶限制的詳細資訊,請參閱以程序設計方式建立具有最新 API 的 Azure Enterprise 合約 訂用帳戶。

設計建議

  • 只針對所有帳戶類型使用驗證類型 Work or school account 。 避免使用 Microsoft account (MSA) 帳戶類型。

  • 設定通知聯繫人電子郵件位址,以確保通知會傳送至適當的群組信箱。

  • 組織可以有各種結構,包括功能、部門、地理、矩陣或小組結構。 使用部門和帳戶將組織的結構對應至註冊階層,有助於分隔計費。

  • 使用 Azure 成本管理 + 計費 報告和檢視,其可以使用 Azure 元數據(例如標籤和位置)來探索和分析貴組織的成本。

  • 限制和最小化註冊內的帳戶擁有者數目,以限制系統管理員存取訂用帳戶和相關聯的 Azure 資源。

  • 為每個部門和帳戶指派預算,並建立與預算相關聯的警示。

  • 只有在對應的商務網域具有獨立的IT功能時,才為IT建立新的部門。

  • 如果您使用多個 Microsoft Entra 租使用者,請確認帳戶擁有者與布建帳戶訂用帳戶的相同租使用者相關聯。

  • 針對開發/測試(開發/測試)工作負載,請使用 企業開發/測試 供應專案,其中提供。 請確定您符合 使用規定。

  • 不要忽略傳送至通知帳戶電子郵件地址的通知電子郵件。 Microsoft 會將重要的 Enterprise 合約 提示傳送給此帳戶。

  • 請勿在 Microsoft Entra 識別碼中移動或重新命名 Enterprise 合約 帳戶。

  • 定期稽核 Azure EA 入口網站,以檢閱誰具有存取權,並盡可能避免使用 Microsoft 帳戶。

  • 在每個 Enterprise 合約 註冊上啟用 DA 檢視費用AO 檢視費用,以允許具有正確許可權的用戶檢視 Azure 成本管理 + 計費數據。

  • 擁有註冊許可權以建立訂用帳戶的任何使用者,如這裡所述,必須使用 Multi-Factor Authentication (MFA) 保護,因為任何其他特殊許可權帳戶都應該如這裡所述