Plano para registro do Contrato Enterprise

O registro do Contrato Enterprise representa a relação comercial entre a Microsoft e a forma de utilização do Azure pela sua organização. Ele fornece a base de cobrança para suas assinaturas e como seu estado digital é administrado. A folha de Gerenciamento de Custos da Microsoft no portal do Azure ajuda você a gerenciar seu registro do Contrato Enterprise. Um registro geralmente representa a hierarquia de uma organização, incluindo departamentos, contas e assinaturas. Essa hierarquia representa os centros de custo em uma organização.

Observação

O portal do Azure EA https://ea.azure.com foi desativado a partir de 15 de fevereiro de 2024. Os clientes agora devem usar a folha Gerenciamento de Custos no portal do Azure para gerenciar seus registros, conforme documentado mais adiante:

Diagrama que mostra as hierarquias Contrato Enterprise do Azure.

  • Os departamentos ajudam a segmentar os custos em agrupamentos lógicos e a definir um orçamento ou uma cota no nível do departamento. A cota não é imposta de maneira rígida; ela é usada para fins de relatório.

  • As contas são unidades organizacionais na folha de Gerenciamento de Custos do portal do Azure. Elas são usadas para gerenciar assinaturas e acessar relatórios.

  • As assinaturas são as menores unidades do portal do Azure. Elas são contêineres para os serviços do Azure que são gerenciados por um administrador de serviços. É aí que a sua organização implanta os serviços do Azure.

  • As funções de registro no Contrato Enterprise vinculam os usuários à respectiva função. Estas funções são:

    • Administrador corporativo
    • Administrador de departamento
    • Proprietário da conta
    • Administrador de serviços
    • Contato para notificação

Como o registo de um Contrato Enterprise se relaciona com o Microsoft Entra ID e o Azure RBAC

Quando sua organização usa um registro de Contrato Enterprise para assinaturas do Azure, é importante saber sobre os vários limites de autenticação e autorização e a relação entre esses limites.

Há uma relação de confiança inerente entre assinaturas do Azure e um locatário do Microsoft Entra, descrita com mais detalhes em Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra. Um registro de Contrato Enterprise também pode usar um locatário do Microsoft Entra como um provedor de identidade, dependendo do nível de autenticação definido no registro e qual opção foi selecionada quando o proprietário da conta de registro foi criado. No entanto, além do proprietário da conta, as funções de registro do Contrato Enterprise não fornecem acesso ao Microsoft Entra ID ou às assinaturas do Azure dentro desse registro.

Por exemplo, um usuário financeiro é concedido a uma função de administrador corporativo no registro do Contrato Enterprise. Eles são um usuário padrão sem permissões elevadas ou funções atribuídas a eles no Microsoft Entra ID ou em qualquer grupo de gerenciamento, assinatura, grupo de recursos ou recurso do Azure. O usuário financeiro só pode executar as funções listadas em gerenciando funções de Contrato Enterprise do Azure e não pode acessar as assinaturas do Azure no registro. A única função de Contrato Enterprise com acesso a assinaturas do Azure é o proprietário da conta porque essa permissão foi concedida quando a assinatura foi criada.

Diagrama que mostra a relação de Contrato Enterprise do Azure com o Microsoft Entra ID e o RBAC.

Considerações sobre o design

  • O registro fornece uma estrutura organizacional hierárquica para controlar como as assinaturas são gerenciadas. Para mais informações, confira Como gerenciar funções do Contrato Enterprise.

  • Um intervalo de administradores pode ser atribuído a um único registro.

  • Cada assinatura deve ter um proprietário da conta atribuído a ela. Consulte o Guia de administração do Azure EA para obter detalhes sobre como alterar isso, se necessário.

  • Cada proprietário da conta é um proprietário da assinatura para todas as assinaturas provisionadas nessa conta.

  • Uma assinatura pode pertencer a apenas uma conta por vez.

  • Pode ser usado um conjunto específico de critérios para determinar se uma assinatura deve ser suspensa.

  • Departamentos e contas podem filtrar os relatórios de cobrança e uso de registro.

  • Revise Programaticamente criar assinaturas Contrato Enterprise do Azure com as APIs mais recentes para obter mais informações sobre as limitações de assinatura do Contrato Enterprise.

Aviso

Você não poderá criar novas assinaturas ou transferir assinaturas existentes de uma conta de registro se o UPN associado for excluído do Microsoft Entra ID.

Recomendações de design

  • Use apenas o tipo de autenticação Work or school account para todos os tipos de conta. Evite usar o tipo de conta Microsoft account (MSA).

  • Configure um endereço de email do Contato de Notificação para garantir que as notificações sejam enviadas para uma caixa de correio de grupo apropriada.

  • (Uma organização pode ter várias estruturas, incluindo estruturas funcionais, divisionais, geográficas, matriciais ou de equipe). Usar departamentos e contas para mapear a estrutura da sua organização para sua hierarquia de registro pode ajudar a separar a cobrança.

  • Use os relatórios e as exibições do Gerenciamento de Custos, que podem usar metadados do Azure (por exemplo, marcas e localização) para explorar e analisar os custos da sua organização.

  • Restrinja e minimize o número de proprietários da conta no registro para limitar o acesso de administrador a assinaturas e recursos associados do Azure.

  • Atribua um orçamento a cada conta departamento e conta e estabeleça um alerta associado ao orçamento.

  • Crie novos departamentos para TI somente se os domínios de negócios correspondentes tiverem recursos de TI independentes.

  • Se usar vários locatários do Microsoft Entra, confirme se o proprietário da conta está associado ao mesmo locatário em que as assinaturas da conta são provisionadas.

  • Para cargas de trabalho de desenvolvimento e teste (desenvolvimento/teste), use a oferta Desenvolvimento/Teste Enterprise, quando disponível. Verifique se você está em conformidade com os termos de uso.

  • Não ignore os emails de notificação enviados ao endereço de email da conta de notificação. A Microsoft envia solicitações de Contrato Enterprise importantes para essa conta.

  • Não mova, renomeie ou exclua o usuário do Entra ID associado à conta de inscrição do EA.

  • Audite periodicamente a folha de Gerenciamento de Custos no portal do Azure para examinar quem tem acesso e, quando possível, evite o uso de uma conta da Microsoft.

  • Habilita os Encargos de Exibição do DA e os Encargos de Exibição do AO em cada registro do Contrato Enterprise para permitir que os usuários com as permissões corretas vejam os dados de Gerenciamento de Custos.

  • Qualquer usuário que tenha permissões em um registro para criar assinaturas, conforme detalhado aqui, deve ser protegido com autenticação multifator, como qualquer outra conta privilegiada deve ser, conforme documentado aqui