Управление ролями Соглашение Enterprise Azure

Чтобы помочь управлять использованием и расходами организации, клиенты Azure с Соглашение Enterprise могут назначать следующие шесть отдельных административных ролей.

  • Администратор предприятия
  • Администратор предприятия (только для чтения)¹
  • Покупатель EA
  • Администратор отдела
  • Администратор отдела (только для чтения)
  • Владелец учетной записи²

¹ Такую роль имеет контактное лицо, которому выставляется счет по соглашению Enterprise.

² Контактное лицо, которому выставляется счет, нельзя добавить или изменить на портале Azure. Оно добавляется к регистрации EA на основе пользователя, который указан в качестве контактного лица для выставления счета на уровне соглашения. Чтобы изменить контакт, которому будет выставлен счет, необходимо выполнить запрос через партнера или консультанта по программному обеспечению в Региональный операционный центр (ROC).

Примечание.

Администраторы предприятия имеют разрешение на создание новых подписок в активных учетных записях регистрации. Дополнительную информацию о создании новых подписок см. в разделе Добавление новой подписки.

Первый администратор регистрации, который был настроен при подготовке регистрации, определяет тип аутентификации для учетной записи контакта, которому будет выставлен счет. Когда контактное лицо, которому выставляется счет, добавляется на портал Azure в качестве администратора с правами только на чтение, ему предоставляется аутентификация учетной записи Microsoft.

Например, если для типа первоначальной аутентификации задано значение "Смешанная", соглашение Enterprise будет добавлено в качестве учетной записи Microsoft, а контактное лицо, которому выставляется счет, имеет права администратора EA только для чтения. Если администратор EA не одобряет авторизацию учетной записи Microsoft для существующего контактного лица для выставления счетов, администратор EA может удалить соответствующего пользователя. Затем они могут попросить клиента снова добавить пользователя в качестве администратора с правами только на чтение с рабочей или учебной учетной записью, настроенной только на уровне регистрации на портале Azure.

Эти роли относятся именно к управлению соглашениями Azure Enterprise и являются дополнением к встроенным ролям Azure, которые используются для управления доступом к ресурсам. Дополнительные сведения см. в статье Встроенные роли Azure.

"Управление затратами и выставление счетов" на портале Azure

Иерархия портала Azure для управления затратами включает в себя следующие компоненты:

  • Портал Azure для управления затратами — онлайн-портал управления, который поможет вам управлять расходами на службы Azure EA. Вы можете выполнить следующие задачи:

    • создать иерархию Azure EA, назначив отделы, учетные записи и подписки;
    • выверять затраты на использование служб, скачивать отчеты об использовании и просматривать прайс-листы.
    • создавать ключи API для регистрации.
  • Отделы — помогают сегментировать затраты на логические группирования. Отделы позволяют задать бюджет или квоту на уровне отдела.

  • Учетные записи — это организационные единицы на портале Azure для управления затратами. Их можно использовать для управления подписками и доступа к отчетам.

  • Подписки — это наименьшая единица на портале Azure для управления затратами. Это контейнеры для служб Azure.

На схеме ниже представлены простые варианты иерархий Azure EA.

Схема, показывающая иерархическую структуру ролей Azure Соглашение Enterprise.

Роли корпоративных пользователей

Следующие роли пользователей с правами администратора входят в ваше Соглашение о регистрации Enterprise.

  • Администратор предприятия
  • Покупатель EA
  • Администратор отдела
  • Владелец учетной записи
  • Контактное лицо для уведомлений

Используйте управление затратами в портал Azure, чтобы управлять ролями Azure Соглашение Enterprise.

Клиенты с прямым соглашением EA могут выполнять все задачи администрирования на портале Azure. Вы можете использовать портал Azure для управления выставлением счетов, затратами и службами Azure.

Роли пользователей связываются с учетной записью пользователя. Для проверки подлинности каждый пользователь должен иметь действительную рабочую, учебную учетную запись или учетную запись Майкрософт. Убедитесь, что каждая учетная запись связана с адресом электронной почты, чтобы активно отслеживать ее. Уведомления о регистрации отправляются на адрес электронной почты.

Примечание.

Роль владельца учетной записи часто назначается учетной записи службы, которая не имеет активно отслеживаемой электронной почты.

При настройке пользователей вы можете назначить роль администратора предприятия нескольким учетным записям. В регистрации может быть несколько владельцев учетных записей, например по одной для каждого отдела. Кроме того, роли администратора предприятия и владельца учетной записи можно назначить одной учетной записи.

Администратор предприятия

Пользователи с этой ролью имеют самый высокий уровень доступа к регистрации. Они могут выполнять следующие действия:

  • управлять учетными записями и их владельцами;
  • управлять другими администраторами предприятия;
  • управлять администраторами подразделений;
  • управлять контактными данными для отправки уведомлений;
  • приобретать службы Azure, включая планы резервирования/экономии;
  • просматривать сведения об использовании во всех учетных записях;
  • просматривать неоплачиваемые расходы для всех учетных записей.
  • Создание новых подписок в активных учетных записях.
  • просматривать все заказы на планы резервирования/экономии, а также планы резервирования/экономии, которые применяются к Соглашению Enterprise.
    • Администратор предприятия (только для чтения) может просматривать заказы на резервирование, экономию и резервирования и планы экономии. но не управлять ими.

Корпоративное соглашение о регистрации может включать нескольких администраторов предприятия. Вы можете предоставить администраторам предприятия доступ только на чтение.

Роль администратора по соглашению Enterprise автоматически наследует все права доступа и привилегии роли администратора отдела. Поэтому нет необходимости вручную назначать администратору по соглашению Enterprise роль администратора отдела.

Роль администратора предприятия может быть назначена нескольким учетным записям.

Покупатель EA

Пользователи с этой ролью имеют разрешения на покупку служб Azure, но не могут управлять учетными записями. Они могут выполнять следующие действия:

  • приобретать службы Azure, включая планы резервирования/экономии;
  • просматривать сведения об использовании во всех учетных записях;
  • просматривать неоплачиваемые расходы для всех учетных записей.
  • просматривать все заказы на планы резервирования/экономии, а также планы резервирования/экономии, которые применяются к Соглашению Enterprise.

В настоящее время роль покупателя EA включена только для доступа на основе имени участника-службы. Сведения о назначении роли имени субъекта-службы см. в статье Назначение ролей именам субъектов-служб Соглашения Enterprise Azure.

Администратор отдела

Пользователи с этой ролью могут:

  • создавать отделы и управлять ими;
  • создавать учетные записи;
  • просматривать сведения об использовании для отделов, которыми они управляют;
  • просматривать затраты, если предоставлены необходимые разрешения.

Корпоративное соглашение о регистрации может включать нескольких администраторов отделов.

Вы можете предоставить администраторам отделов доступ только для чтения при изменении или создании администратора отдела. Для параметра "Только для чтения" выберите значение Да.

Владелец учетной записи

Пользователи с этой ролью могут:

  • создавать подписки и управлять ими;
  • Управление назначениями ролей подписки.
  • просматривать сведения об использовании для подписок.

Каждая учетная запись должна иметь уникальную учетную запись Майкрософт, рабочую или учебную учетную запись. Дополнительные сведения об административных ролях портала Azure см. в статье Сведения об административных ролях для соглашения Azure Enterprise в Azure.

Для каждой учетной записи может быть только один владелец данной учетной записи. Однако в регистрации EA может быть несколько учетных записей. Каждая учетная запись имеет уникального владельца учетной записи.

Для различных учетных записей Microsoft Entra вступление в силу настроек разрешений может занять более 30 минут.

Контактное лицо для уведомлений

Контакт для уведомлений получает уведомления об использовании, связанные с регистрацией.

В следующих разделах описаны ограничениях и возможностях каждой роли.

Лимит пользователей для ролей администраторов

В следующей таблице описаны ограничения и разрешения пользователя для каждой административной роли в Соглашение Enterprise.

Роль Предельное число пользователей
Администратор предприятия Не ограничено
Администратор предприятия (только для чтения) Не ограничено
Покупатель EA, назначенный имени субъекта-службы (SPN) Не ограничено
Администратор отдела Не ограничено
Администратор отдела (только для чтения) Не ограничено
Владелец учетной записи 1 на учетную запись

Для каждой учетной записи требуется уникальная учетная запись Майкрософт или рабочая или учебная учетная запись.

Организационная структура и разрешения для каждой роли

В следующей таблице показаны ограничения пользователей и разрешения, связанные с каждой административной ролью.

Задания Администратор предприятия Администратор предприятия (только для чтения) Покупатель EA Администратор отдела Администратор отдела (только для чтения) Владелец учетной записи Партнер
Просмотр администраторов предприятия
Добавление и удаление администраторов предприятия
Просмотр контактов уведомлений⁴
Добавление или удаление контактов уведомлений⁴
Создание отделов и управление ими
Просмотр администраторов отдела
Добавление и удаление администраторам отдела
Просмотр учетных записей в регистрации ✔⁵ ✔⁵
Добавление учетных записей в регистрацию, изменение владельца учетной записи ✔⁵
Приобретение резервирований и сберегательных планов ✘⁶
Создание подписок и разрешений для подписок, управление ими
  • ⁴ Контакты с уведомлениями отправляются по электронной почте о Соглашение Enterprise Azure.
  • Задача ⁵ ограничена учетными записями в вашем отделе.
  • ⁶ Владелец подписки, покупатель резервирования или покупатель сберегательных планов может приобрести резервирования и сберегательные планы в рамках подписки, а также только в том случае, если это разрешено флагами плана покупки резервирования или экономии. Администраторы предприятия могут приобретать резервирования и планы экономии в учетной записи выставления счетов и управлять ими. Администраторы предприятия (только для чтения) могут просматривать все приобретенные резервирования и планы экономии. Флаги плана приобретения резервирования и экономии не влияют на роли администратора EA. Владелец роли администратора предприятия (только для чтения) не может совершать покупки. Однако если пользователь с этой ролью также содержит разрешение владельца подписки, покупателя резервирования или разрешения покупателя сберегательных планов, пользователь может приобрести резервирования и (или) сберегательные планы независимо от флагов.

Добавление администратора предприятия

Администраторы предприятия имеют наибольшие права для управления Соглашением о регистрации Azure EA. Первоначальный администратор Azure EA создается при настройке Соглашения Enterprise. Но вы в любое время можете добавить новых администраторов или удалить их. Существующие администраторы создают новых администраторов. Дополнительные сведения о добавлении дополнительных администраторов предприятия см. в разделе Создание еще одного администратора предприятия на портале Azure. Дополнительные сведения о ролях и задачах для выставления счетов см. в разделе о ролях и задачах профиля выставления счетов.

Изменение состояния владельца учетной записи с "Ожидание" на "Активно"

Когда в Соглашение о регистрации Azure EA добавляются владельцы учетных записей, им присваивается состояние Ожидание. Когда новый владелец учетной записи получает сообщение электронной почты с приглашением для активации, он может войти в систему и активировать учетную запись.

Примечание.

Если владелец учетной записи является учетной записью службы и не имеет сообщения электронной почты, используйте закрытый сеанс для входа в портал Azure и перейдите к запросу "Управление затратами", чтобы принять приветственное письмо активации.

После активации учетной записи состояние учетной записи обновляется с "Ожидание " до "Активный". Владелец учетной записи должен прочитать содержимое и выбрать "Да", я хочу продолжить. Новые пользователи могут получить запрос на ввод имени своей первой и семейной учетной записи для создания коммерческой учетной записи. В этом случае учетная запись будет активирована только после ввода требуемой информации.

Примечание.

Подписка связана с одной и только одной учетной записью. Предупреждающее сообщение содержит сведения, оповещающие владельца учетной записи о том, что при принятии предложения подписки, связанные с учетной записью, будут перемещены в новую регистрацию.

Добавление администратора отдела

Когда администратор Azure EA завершит создание отдела, администратор предприятия Azure может добавить администраторов отдела и связать их с отделом. Администратор подразделения может создавать новые учетные записи. Новые учетные записи нужны для создания подписок Azure EA.

Администраторы по прямому соглашению EA могут добавлять администраторов отдела на портале Azure. Дополнительные сведения см. в статье Создание администратора отдела EA Azure.

Доступ к потреблению и затратам для каждой роли

В следующей таблице показаны доступ к использованию и затратам по административной роли.

Задания Администратор предприятия Администратор предприятия (только для чтения) Покупатель EA Администратор отдела Администратор отдела (только для чтения) Владелец учетной записи Партнер
Просмотр остатка на счете, в том числе по предоплате Azure
Просмотр квоты расходов для отдела
Настройка квоты расходов для отдела
Просмотр прайс-листа по соглашению Enterprise для организации
Просмотр сведений о потреблении и затратах ✔⁷ ✔⁷ ✔⁸
Управление ресурсами на портале Azure
  • ⁷ Требуется, чтобы администратор предприятия включил политику просмотра расходов DA на портале Azure. После этого администратор отдела сможет просматривать сведения о затратах для отдела.
  • ⁸ Требуется, чтобы администратор предприятия включил политику просмотра расходов AO на портале Azure. После этого владелец учетной записи сможет просматривать сведения о затратах для учетной записи.

См. цены для разных ролей пользователей

В портал Azure могут отображаться разные цены в зависимости от роли администрирования и того, как администратор предприятия устанавливает политики расходов на просмотр. Включение ролей администратора отдела и владельца учетной записи для просмотра расходов можно ограничить путем ограничения доступа к данным для выставления счетов.

Сведения о настройке этих политик см. в этой статье.

В следующей таблице показана связь между:

  • роли администратора Соглашение Enterprise
  • Просмотр политики расходов
  • Роль Azure в портал Azure
  • Цены, которые отображаются в портал Azure

Администратор предприятия всегда видит сведения о потреблении по ценам, установленным в соглашении Enterprise для организации. Но для администратора отдела и владельца учетной записи будут отображаться другие цены. Они зависят от настроенной политики просмотра затрат и присвоенных ролей Azure. В следующей таблице роль администратора отдела объединяет роли администратора отдела и администратора отдела (только для чтения).

Административная роль для Соглашения Enterprise Политика просмотра расходов для роли Роль Azure Представление цен
Владелец учетной записи или администратор отдела ✔ Включено Владелец Цены по Соглашению Enterprise для организации
Владелец учетной записи или администратор отдела ✘ Отключено Владелец Нет данных о ценах
Владелец учетной записи или администратор отдела ✔ Включено none Нет данных о ценах
Владелец учетной записи или администратор отдела ✘ Отключено none Нет данных о ценах
None Неприменимо Владелец Нет данных о ценах

Роль администратора предприятия и политики просмотра расходов настраиваются на портале Azure. Роль управления доступом на основе ролей (RBAC) Azure можно обновить, используя информацию в разделе Назначение ролей Azure с помощью портала Azure.