Verwalten von Azure Enterprise Agreement-Rollen
Hinweis
Unternehmensadministratoren verfügen über Berechtigungen zum Erstellen neuer Abonnements unter aktiven Registrierungskonten. Weitere Informationen zum Erstellen neuer Abonnements finden Sie unter Hinzufügen eines neuen Abonnements.
Azure-Kunden mit einem Enterprise Agreement können als Hilfe bei der Verwaltung der Nutzung und den Ausgaben Ihrer Organisation sechs verschiedene Administratorrollen zuweisen:
- Unternehmensadministrator
- Unternehmensadministrator (nur Leseberechtigung)¹
- EA purchaser (EA-Einkäufer)
- Abteilungsadministrator
- Abteilungsadministrator (nur Leseberechtigung)
- Kontobesitzer²
¹ Der Bill-To-Kontakt des EA-Vertrags fällt unter diese Rolle.
² Der Bill-To-Kontakt kann nicht im Azure-Portal hinzugefügt oder geändert werden. Er wird der EA-Registrierung auf der Grundlage des Benutzers hinzugefügt, der als Rechnungsempfänger auf Vertragsebene eingerichtet ist. Zum Ändern des Rechnungsempfängers muss über einen Partner/Software Advisor eine Anfrage an das regionale Betriebszentrum (Regional Operations Center, ROC) gerichtet werden.
Der erste Registrierungsadministrator, der während der Registrierungsbereitstellung eingerichtet wird, bestimmt den Authentifizierungstyp des Rechnungsempfängerkontos. Wenn der Rechnungsempfänger dem Azure-Portal als schreibgeschützter Administrator hinzugefügt wird, erhält er eine Microsoft-Kontoauthentifizierung.
Wenn die anfängliche Authentifizierungsart z. B. auf „Gemischt“ festgelegt ist, wird der EA als Microsoft-Konto hinzugefügt und der Rechnungsempfänger hat EA-Administratorrechte mit Leseberechtigung. Wenn der EA-Administrator die Microsoft-Kontoautorisierung für einen vorhandenen Bill-to-Kontakt nicht genehmigt, kann der EA-Administrator den betreffenden Benutzer löschen. Anschließend können sie den Kunden bitten, den Benutzer wieder als schreibgeschützter Administrator mit einem Geschäfts-, Schul- oder Unikonto hinzuzufügen, das nur auf Registrierungsebene im Azure-Portal festgelegt ist.
Diese Rollen sind spezifisch für die Verwaltung von Azure Enterprise Agreements und ergänzend zu den integrierten Rollen in Azure zum Steuern des Zugriffs auf Ressourcen. Weitere Informationen finden Sie unter Integrierte Azure-Rollen.
Azure-Portal für Kostenverwaltung und Abrechnung
Die Hierarchie des Azure-Portals für Kostenverwaltung umfasst Folgendes:
Azure-Portal für Kostenverwaltung: Ein Onlineverwaltungsportal, das Sie bei der Verwaltung der Kosten für Ihre Azure EA-Dienste unterstützt. Sie können die folgenden Aufgaben ausführen.
- Erstellen Sie eine Azure EA-Hierarchie mit Abteilungen, Konten und Abonnements.
- Gleichen Sie die Kosten Ihrer genutzten Dienste ab, laden Sie Nutzungsberichte herunter, und sehen Sie sich Preislisten an.
- Erstellen Sie API-Schlüssel für Ihre Registrierung.
Abteilungen helfen Ihnen beim Einteilen von Kosten in logische Gruppierungen. Mit Abteilungen können Sie ein Budget oder ein Kontingent auf Abteilungsebene festlegen.
Konten sind Organisationseinheiten im Azure-Portal für Kostenverwaltung. Anhand von Konten können Sie Abonnements verwalten und auf Berichte zugreifen.
Abonnements sind die kleinste Einheit im Azure-Portal für Kostenverwaltung. Dabei handelt es sich um Container für Azure-Dienste, die von der Rolle „Kontobesitzer“ (auch als Dienstadministrator des Abonnements bezeichnet) verwaltet werden.
Das folgende Diagramm veranschaulicht einfache Azure EA-Hierarchien.
Unternehmensbenutzerrollen
Die folgenden administrativen Benutzerrollen sind Teil Ihrer Unternehmensregistrierung:
- Unternehmensadministrator
- EA purchaser (EA-Einkäufer)
- Abteilungsadministrator
- Kontobesitzer
- Dienstadministrator
- Benachrichtigungskontakt
Verwenden Sie die Kostenverwaltung im Azure-Portal, damit Sie Azure Enterprise Agreement-Rollen verwalten können.
Direkte EA-Kunden können alle administrativen Aufgaben im Azure-Portal ausführen. Sie können das Azure-Portal verwenden, um die Abrechnung, Kosten und Azure-Dienste zu verwalten.
Benutzerrollen sind einem Benutzerkonto zugeordnet. Zum Überprüfen der Authentizität des Benutzers muss jeder Benutzer über ein gültiges Geschäfts-, Schul- oder Unikonto oder über ein Microsoft-Konto verfügen. Stellen Sie sicher, dass jedes Konto mit einer E-Mail-Adresse verknüpft ist, um es aktiv zu überwachen. Registrierungsbenachrichtigungen werden an diese E-Mail-Adresse gesendet.
Hinweis
Die Rolle „Kontobesitzer“ wird häufig einem Dienstkonto zugewiesen, das nicht über eine aktiv überwachte E-Mail-Adresse verfügt.
Beim Einrichten von Benutzern können Sie der Rolle „Unternehmensadministrator“ mehrere Konten zuweisen. Eine Registrierung kann mehrere Kontobesitzer aufweisen, z. B. einen pro Abteilung. Außerdem können Sie sowohl die Rolle „Unternehmensadministrator“ als auch die Rolle „Kontobesitzer“ einem einzigen Konto zuweisen.
Unternehmensadministrator
Benutzer mit dieser Rolle verfügen über die höchste Ebene des Zugriffs auf die Registrierung. Sie können folgende Aktionen ausführen:
- Verwalten von Konten und Kontobesitzern
- Verwalten anderer Unternehmensadministratoren
- Verwalten von Abteilungsadministratoren
- Verwalten von Benachrichtigungskontakten
- Erwerben von Azure-Diensten, einschließlich Reservierungen/Sparpläne.
- Anzeigen der Nutzung für alle Konten
- Anzeigen nicht in Rechnung gestellter Gebühren für alle Konten
- Erstellen Sie neue Abonnements unter aktiven Registrierungskonten.
- Anzeigen und Verwalten aller Reservierungs-/Sparplanbestellungen und Reservierungen/Sparpläne, die für den Unternehmensvertrag gelten.
- Unternehmensadministrator (schreibgeschützt) kann Reservierungs-/Sparplanbestellungen und Reservierungen/Sparpläne anzeigen. Er kann sie nicht verwalten.
In einer Unternehmensregistrierung kann es mehrere Unternehmensadministratoren geben. Sie können Unternehmensadministratoren Lesezugriff gewähren.
Die EA-Administratorrolle erbt automatisch alle Zugriffsrechte und Berechtigungen der Rolle des Abteilungsadministrators. Daher ist es nicht erforderlich, einem EA-Administrator die Rolle des Abteilungsadministrators manuell zu erteilen.
Die Rolle „Unternehmensadministrator“ kann mehreren Konten zugewiesen werden.
EA purchaser (EA-Einkäufer)
Benutzer mit dieser Rolle haben die Berechtigung, Azure-Dienste zu erwerben, dürfen aber keine Konten verwalten. Sie können folgende Aktionen ausführen:
- Erwerben von Azure-Diensten, einschließlich Reservierungen/Sparpläne.
- Anzeigen der Nutzung für alle Konten
- Anzeigen nicht in Rechnung gestellter Gebühren für alle Konten
- Anzeigen und Verwalten aller Reservierungs-/Sparplanbestellungen und Reservierungen/Sparpläne, die für den Unternehmensvertrag gelten.
Die Rolle „EA purchaser“ (EA-Einkäufer) ist zurzeit nur für SPN-basierten Zugriff aktiviert. Informationen zum Zuweisen der Rolle zu einem Dienstprinzipalnamen finden Sie unter Zuweisen von Rollen zu Azure Enterprise Agreement-Dienstprinzipalnamen.
Abteilungsadministrator
Benutzer mit dieser Rolle können folgende Aktionen ausführen:
- Erstellen und Verwalten von Abteilungen
- Erstellen neuer Kontobesitzer
- Anzeigen von Nutzungsdetails für die von ihnen verwalteten Abteilungen
- Anzeigen von Kosten, wenn die erforderlichen Berechtigungen gewährt wurden
In einer Unternehmensregistrierung kann es mehrere Abteilungsadministratoren geben.
Sie können Abteilungsadministratoren Lesezugriff erteilen, wenn Sie einen Abteilungsadministrator bearbeiten oder erstellen. Legen Sie die Option „Schreibgeschützt“ auf Ja fest.
Kontobesitzer
Benutzer mit dieser Rolle können folgende Aktionen ausführen:
- Erstellen und Verwalten von Abonnements
- Verwalten von Dienstadministratoren
- Anzeigen der Nutzung für Abonnements
Für jedes Konto ist ein eindeutiges Microsoft-Konto oder Geschäfts-, Schul- oder Unikonto erforderlich. Weitere Informationen zu den Azure EA-Portal-Administratorrollen finden Sie unter Informationen zu Azure Enterprise Agreement-Administratorrollen in Azure.
Für jedes Konto kann es nur einen Kontobesitzer gaben. In einer EA-Registrierung können jedoch mehrere Konten vorhanden sein. Jedes Konto verfügt über einen eindeutigen Kontobesitzer.
Bei verschiedenen Microsoft Entra-Konten kann es mehr als 30 Minuten dauern, bis die Berechtigungseinstellungen wirksam werden.
Dienstadministrator
Die Rolle des Dienstadministrators verfügt über Berechtigungen zum Verwalten von Diensten im Azure-Portal und kann der Rolle „Co-Administrator“ Benutzer zuweisen.
Benachrichtigungskontakt
Der Benachrichtigungskontakt empfängt Nutzungsbenachrichtigungen zur Registrierung.
Die folgenden Abschnitte beschreiben die Einschränkungen und Funktionen der einzelnen Rollen.
Benutzerlimit für Administratorrollen
| Role | Benutzerlimit |
|---|---|
| Unternehmensadministrator | Unbegrenzt |
| Unternehmensadministrator (nur Leseberechtigung) | Unbegrenzt |
| EA-Käufer, der einem Dienstprinzipalnamen (SPN) zugewiesen ist | Unbegrenzt |
| Abteilungsadministrator | Unbegrenzt |
| Abteilungsadministrator (nur Leseberechtigung) | Unbegrenzt |
| Kontobesitzer | 1 pro Konto³ |
³ Für jedes Konto ist ein individuelles Microsoft-Konto oder Geschäfts-, Schul- oder Unikonto erforderlich.
Organisationsstruktur und Berechtigungen nach Rolle
| Aufgaben | Unternehmensadministrator | Unternehmensadministrator (nur Leseberechtigung) | EA Purchaser (EA-Einkäufer) | Abteilungsadministrator | Abteilungsadministrator (nur Leseberechtigung) | Kontobesitzer | Partner |
|---|---|---|---|---|---|---|---|
| Anzeigen von Unternehmensadministratoren | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Hinzufügen und Entfernen von Unternehmensadministratoren | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Anzeigen von Benachrichtigungskontakten⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Hinzufügen und Entfernen von Benachrichtigungskontakten⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Erstellen und Verwalten von Abteilungen | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Anzeigen von Abteilungsadministratoren | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| Hinzufügen und Entfernen von Abteilungsadministratoren | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
| Anzeigen von Konten in der Registrierung | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
| Hinzufügen von zur Registrierung und Ändern des Kontobesitzers | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
| Kaufreservierungen/Sparpläne | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
| Erstellen und Verwalten von Abonnements und Abonnementberechtigungen | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ Benachrichtigungskontakte erhalten E-Mail-Benachrichtigungen zum Azure Enterprise Agreement.
- ⁵ Die Aufgabe ist auf Konten in Ihrer Abteilung beschränkt.
- ⁶ Ein Abonnementbesitzer, Reservierungskäufer oder Sparplankäufer kann Reservierungen und Sparpläne innerhalb des Abonnements erwerben und verwalten, und nur, wenn dies durch die Reservierungs-/Sparplan-fähigen Flags erlaubt ist. Unternehmensadministratoren können Reservierungen und Sparpläne über das Abrechnungskonto erwerben und verwalten. Unternehmensadministratoren (schreibgeschützt) können alle gekauften Reservierungen und Sparpläne einsehen. Die Reservierungs-/Sparplan-Flag mit Aktivierter Kauffunktion wirken sich nicht auf die EA-Administratorrollen aus. Der Rolleninhaber des Unternehmensadministrators (schreibgeschützt) darf keine Einkäufe tätigen. Wenn ein Benutzer mit dieser Rolle jedoch auch einen Abonnementbesitzer, Reservierungskäufer oder die Berechtigung zum Kauf eines Sparplans besitzt, kann der Benutzer Reservierungen und/oder Sparpläne unabhängig von den Flags erwerben.
Hinzufügen eines neuen Unternehmensadministrators
Unternehmensadministratoren haben die meisten Berechtigungen bei der Verwaltung einer Azure EA-Registrierung. Der erste Azure EA-Administrator wurde erstellt, als die EA-Vereinbarung eingerichtet wurde. Sie können jedoch jederzeit neue Administratoren hinzufügen oder entfernen. Vorhandene Administratoren erstellen neue Administratoren. Weitere Informationen zum Hinzufügen zusätzlicher Unternehmensadministratoren finden Sie unter Erstellen eines weiteren Unternehmensadministrators im Azure-Portal. Weitere Informationen zu Rollen und Aufgaben für ein Abrechnungsprofil finden Sie unter Rollen und Aufgaben für ein Abrechnungsprofil.
Aktualisieren des Kontobesitzerstatus von „Ausstehend“ in „Aktiv“
Wenn neue Kontobesitzer (Account Owners, AO) erstmals zu einer Azure EA-Registrierung hinzugefügt werden, wird ihr Status als Ausstehend angezeigt. Wenn ein neuer Kontobesitzer die Begrüßungs-E-Mail für die Aktivierung erhält, kann er sich anmelden, um sein Konto zu aktivieren.
Hinweis
Wenn es sich beim Kontobesitzer um ein Dienstkonto handelt und dieses über keine E-Mail-Adresse verfügt, verwenden Sie eine InPrivate-Sitzung, um sich beim Azure-Portal anzumelden, und navigieren Sie zu „Cost Management“, um aufgefordert zu werden, die Begrüßungs-E-Mail für die Aktivierung zu akzeptieren.
Nach Aktivierung des Kontos wird der Kontostatus von Ausstehend in Aktiv geändert. Der Kontobesitzer muss die Warning-Warnmeldung lesen und die Option Weiter auswählen. Neue Benutzer werden möglicherweise aufgefordert, ihren Vor- und Nachnamen einzugeben, um ein Commerce-Konto zu erstellen. In dem Fall müssen die erforderlichen Informationen hinzugefügt werden, damit der Vorgang fortgesetzt und das Konto aktiviert werden kann.
Hinweis
Ein Abonnement ist nur einem einzigen Konto zugeordnet. Die Warnmeldung enthält Details, die den Kontobesitzer darauf hinweisen, dass durch die Annahme des Angebots die Abonnements, die dem Konto zugeordnet sind, in die neue Registrierung verschoben werden.
Hinzufügen eines Abteilungsadministrators
Nachdem ein Azure EA-Administrator eine Abteilung erstellt hat, kann der Azure-Unternehmensadministrator Abteilungsadministratoren hinzufügen und diese einer Abteilung zuordnen. Ein Abteilungsadministrator kann neue Konten erstellen. Neue Konten sind erforderlich, damit Azure EA-Abonnements erstellt werden können.
Direkte EA-Administratoren können Abteilungsadministratoren im Azure-Portal hinzufügen. Weitere Informationen finden Sie unter Erstellen eines Azure EA-Abteilungsadministrators.
Zugriff auf Nutzung und Kosten nach Rolle
| Aufgaben | Unternehmensadministrator | Unternehmensadministrator (nur Leseberechtigung) | EA Purchaser (EA-Einkäufer) | Abteilungsadministrator | Abteilungsadministrator (nur Leseberechtigung) | Kontobesitzer | Partner |
|---|---|---|---|---|---|---|---|
| Anzeigen des Guthabens einschließlich Azure-Vorauszahlung | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Anzeigen von Ausgabenkontingenten der Abteilungen | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Festlegen von Ausgabenkontingenten der Abteilungen | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Anzeigen der EA-Preisliste der Organisation | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Anzeigen von Nutzungs- und Kostendetails | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Verwalten von Ressourcen im Azure-Portal | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Erfordert, dass der Unternehmensadministrator die Gebührenrichtlinie für die DA-Ansicht im Azure-Portal aktiviert. Der Abteilungsadministrator kann dann Kostendetails für die Abteilung einsehen.
- ⁷ Erfordert, dass der Unternehmensadministrator die Gebührenrichtlinie für die AO-Ansicht im Azure-Portal aktiviert. Der Kontobesitzer kann dann Kostendetails für das Konto einsehen.
Anzeige von Preisen für verschiedene Benutzerrollen
Je nachdem, welche administrative Rolle Sie innehaben und wie der Enterprise Administrator die Richtlinien für die Ansichtsgebühren einstellt, sehen Sie möglicherweise unterschiedliche Preise im Azure-Portal. Das Aktivieren der Rollen „Abteilungsadministrator“ und „Kontobesitzer“ zum Anzeigen der Gebühren kann durch Einschränken des Zugriffs auf Abrechnungsinformationen eingeschränkt werden.
Informationen zum Festlegen dieser Richtlinien finden Sie unter Verwalten des Zugriffs auf Abrechnungsinformationen für Azure.
Die folgende Tabelle zeigt die Beziehung zwischen:
- Enterprise Agreement-Administratorrollen
- Richtlinie „Gebühren anzeigen“
- Azure-Rolle im Azure-Portal
- Preise, die im Azure-Portal angezeigt werden
Dem Unternehmensadministrator werden Nutzungsdetails immer basierend auf den EA-Preisen der Organisation angezeigt. Dem Abteilungsadministrator und dem Kontobesitzer werden jedoch – entsprechend der Richtlinie zum Anzeigen von Gebühren und ihrer Azure-Rolle – unterschiedliche Preise angezeigt. Die in der folgenden Tabelle aufgeführte Rolle des Abteilungsadministrators bezieht sich sowohl auf die Rolle „Abteilungsadministrator“ als auch die auf die Rolle „Abteilungsadministrator (nur Leseberechtigung)“.
| Enterprise Agreement-Administratorrolle | Richtlinie zum Anzeigen von Gebühren für die Rolle | Azure-Rolle | Preisansicht |
|---|---|---|---|
| Kontobesitzer ODER Abteilungsadministrator | ✔ Aktiviert | Besitzer | EA-Preise der Organisation |
| Kontobesitzer ODER Abteilungsadministrator | ✘ Deaktiviert | Besitzer | Keine Preise |
| Kontobesitzer ODER Abteilungsadministrator | ✔ Aktiviert | none | Keine Preise |
| Kontobesitzer ODER Abteilungsadministrator | ✘ Deaktiviert | none | Keine Preise |
| Keine | Nicht verfügbar | Besitzer | Keine Preise |
Sie legen die Rolle des Unternehmensadministrators fest und zeigen die Gebührenrichtlinien im Azure-Portal an. Die Azure-Rolle für die rollenbasierte Zugriffskontrolle (RBAC) kann mit Informationen unter Zuweisung von Azure-Rollen über das Azure-Portal aktualisiert werden.