Enterprise Agreement-Registrierung und Azure Active Directory-MandantenEnterprise Agreement enrollment and Azure Active Directory tenants

Plan für die UnternehmensregistrierungPlan for enterprise enrollment

Eine Enterprise Agreement-Registrierung (EA) stellt die Geschäftsbeziehung zwischen Microsoft und der Art und Weise dar, wie Ihre Organisation Azure verwendet.An Enterprise Agreement (EA) enrollment represents the commercial relationship between Microsoft and how your organization uses Azure. Sie bildet die Grundlage für die Abrechnung für alle Ihre Abonnements und wirkt sich auf die Verwaltung Ihrer digitalen Ressourcen aus.It provides the basis for billing across all your subscriptions and affects administration of your digital estate. Ihre EA-Registrierung wird über das Azure EA Portal verwaltet.Your EA enrollment is managed via the Azure EA portal. Eine Registrierung bildet häufig die Hierarchie einer Organisation ab, zu der die Abteilungen, Konten und Abonnements gehören.An enrollment often represents an organization's hierarchy, which includes departments, accounts, and subscriptions. Diese Hierarchie stellt Kostenerfassungsgruppen innerhalb einer Organisation dar.This hierarchy represents cost-enrollment groups within an organization.

Abbildung der Azure EA-Hierarchien

Abbildung 1: Eine Azure EA-Registrierungshierarchie.Figure 1: An Azure EA enrollment hierarchy.

  • Abteilungen helfen dabei, Kosten in logische Gruppen aufzuteilen und anschließend auf Abteilungsebene ein Budget oder ein Kontingent festzulegen.Departments help to segment costs into logical groupings and to set a budget or quota at the department level. Das Kontingent wird nicht fest erzwungen und wird für Berichtserstellungszwecke verwendet.The quota isn't enforced firmly and is used for reporting purposes.
  • Bei Konten handelt es sich um Organisationseinheiten des Azure EA-Portals.Accounts are organizational units in the Azure EA portal. Sie können zum Verwalten von Abonnements und das Zugreifen auf Berichte verwendet werden.They can be used to manage subscriptions and access reports.
  • Abonnements sind die kleinsten Einheiten im Azure EA-Portal.Subscriptions are the smallest unit in the Azure EA portal. Dabei handelt es sich um Container für Azure-Dienste, die vom Dienstadministrator verwaltet werden.They're containers for Azure services managed by the Service Administrator. Hier stellt Ihre Organisation Azure-Dienste bereit.They're where your organization deploys Azure services.
  • Über EA-Registrierungsrollen sind Benutzer mit ihrer funktionalen Rolle verknüpft.EA enrollment roles link users with their functional role. Die folgenden Rollen sind vorhanden:These roles are:
    • UnternehmensadministratorEnterprise Administrator
    • AbteilungsadministratorDepartment Administrator
    • KontobesitzerAccount Owner
    • DienstadministratorService Administrator
    • BenachrichtigungskontaktNotification Contact

Überlegungen zum Entwurf:Design considerations:

  • Die Registrierung stellt eine hierarchische Organisationsstruktur bereit, mit der die Verwaltung von Abonnements gesteuert wird.The enrollment provides a hierarchical organizational structure to govern the management of subscriptions.
  • Mehrere Umgebungen können auf EA-Kontoebene getrennt werden, um die ganzheitliche Abgrenzung zu unterstützen.Multiple environments can be separated at an EA-account level to support holistic isolation.
  • Einer einzelnen Registrierung können mehrere Administratoren zugewiesen werden.There can be multiple administrators appointed to a single enrollment.
  • Jedem Abonnement muss ein Kontobesitzer zugeordnet sein.Each subscription must have an associated Account Owner.
  • Jeder Kontobesitzer wird zum Abonnementbesitzer für alle Abonnements, die in dem betreffenden Konto bereitgestellt werden.Each Account Owner will be made a subscription owner for any subscriptions provisioned under that account.
  • Ein Abonnement kann jeweils nur zu einem Konto gehören.A subscription can belong to only one account at any given time.
  • Ein Abonnement kann entsprechend bestimmten Kriterien gesperrt werden.A subscription can be suspended based on a specified set of criteria.

Entwurfsempfehlungen:Design recommendations:

  • Verwenden Sie für alle Kontotypen nur den Authentifizierungstyp Work or school account.Only use the authentication type Work or school account for all account types. Vermeiden Sie die Verwendung des Kontotyps Microsoft account (MSA).Avoid using the Microsoft account (MSA) account type.
  • Richten Sie die Kontakt-E-Mail-Adresse für Benachrichtigungen ein, um sicherzustellen, dass Benachrichtigungen an das richtige Gruppenpostfach gesendet werden.Set up the Notification Contact email address to ensure notifications are sent to an appropriate group mailbox.
  • Weisen Sie jedem Konto ein Budget zu, und richten Sie eine Warnung für das betreffende Budget ein.Assign a budget for each account, and establish an alert associated with the budget.
  • Eine Organisation kann über eine Vielzahl von Strukturen verfügen (z. B. nach Funktionen, Abteilungen, geografischer Verteilung, Matrix oder Teamstruktur).An organization can have a variety of structures, such as functional, divisional, geographic, matrix, or team structure. Verwenden Sie die Organisationsstruktur, um Ihre Organisationsstruktur auf Ihre Registrierungshierarchie abzubilden.Use organizational structure to map your organization structure to your enrollment hierarchy.
  • Erstellen Sie eine neue Abteilung für IT, wenn Geschäftsbereiche über unabhängige IT-Funktionen verfügen.Create a new department for IT if business domains have independent IT capabilities.
  • Beschränken und minimieren Sie die Anzahl der Kontobesitzer innerhalb der Registrierung, um die Verbreitung von Administratorzugriff auf Abonnements und zugehörige Azure-Ressourcen zu vermeiden.Restrict and minimize the number of account owners within the enrollment to avoid the proliferation of admin access to subscriptions and associated Azure resources.
  • Wenn mehrere Azure AD-Mandanten (Azure Active Directory) verwendet werden, vergewissern Sie sich, dass der Kontobesitzer dem Mandanten zugeordnet ist, in dem auch die Abonnements für das Konto bereitgestellt werden.If multiple Azure Active Directory (Azure AD) tenants are used, verify that the Account Owner is associated with the same tenant as where subscriptions for the account are provisioned.
  • Richten Sie Enterprise Dev/Test- und Produktionsumgebungen auf EA-Kontoebene ein, um die ganzheitliche Abgrenzung zu fördern.Set up Enterprise Dev/Test and production environments at an EA account level to support holistic isolation.
  • Ignorieren Sie keine E-Mails mit Benachrichtigungen, die an die E-Mail-Adresse des Benachrichtigungskontos gesendet werden.Don't ignore notification emails sent to the notification account email address. Microsoft sendet wichtige EA-weite Mitteilungen an dieses Konto.Microsoft sends important EA-wide communications to this account.
  • Ein EA-Konto darf in Azure AD nicht verschoben oder umbenannt werden.Don't move or rename an EA account in Azure AD.
  • Besuchen Sie in regelmäßigen Abständen das EA-Portal, um zu überprüfen, welche Benutzer Zugriff haben, und vermeiden Sie nach Möglichkeit die Verwendung eines Microsoft-Kontos.Periodically audit the EA portal to review who has access and avoid using a Microsoft account where possible.

Definieren von Azure AD-MandantenDefine Azure AD tenants

Ein Azure AD-Mandant bietet Identitäts- und Zugriffsverwaltung, die ein wichtiger Bestandteil Ihres Sicherheitsstatus ist.An Azure AD tenant provides identity and access management, which is an important part of your security posture. Ein Azure AD-Mandant stellt sicher, dass authentifizierte und autorisierte Benutzer nur auf die Ressourcen zugreifen können, für die sie über Zugriffsberechtigungen verfügen.An Azure AD tenant ensures that authenticated and authorized users have access to only the resources for which they have access permissions. Azure AD bietet diese Dienste sowohl für in Azure bereitgestellte Anwendungen und Dienste als auch für Dienste und Anwendungen, die außerhalb von Azure bereitgestellt werden (z. B. lokal oder in Clouds von Drittanbietern).Azure AD provides these services to applications and services deployed in Azure and also to services and applications deployed outside of Azure (such as on-premises or third-party cloud providers).

Azure AD wird auch von SaaS-Anwendungen (Software-as-a-Service) wie Microsoft 365 und dem Azure Marketplace verwendet.Azure AD is also used by software as a service applications such as Microsoft 365 and Azure Marketplace. Organisationen, die bereits lokale Active Directory-Instanzen verwenden, können Ihre vorhandene Infrastruktur nutzen und die Authentifizierung durch die Integration mit Azure AD auf die Cloud ausweiten.Organizations already using on-premises Active Directory can use their existing infrastructure and extend authentication to the cloud by integrating with Azure AD. Jedes Azure AD-Verzeichnis verfügt über mindestens eine Domäne.Each Azure AD directory has one or more domains. Einem Verzeichnis können viele Abonnements, aber nur ein Azure AD-Mandant zugeordnet sein.A directory can have many subscriptions associated with it but only one Azure AD tenant.

Während der Azure AD-Entwurfsphase sind grundlegende Sicherheitsfragen zu beantworten, z. B. wie Ihre Organisation Anmeldeinformationen verwaltet und wie der Benutzerzugriff, Anwendungszugriff und programmgesteuerter Zugriff gesteuert werden.Ask basic security questions during the Azure AD design phase, such as how your organization manages credentials and how it controls human, application, and programmatic access.

Überlegungen zum Entwurf:Design considerations:

  • Mehrere Azure AD-Mandanten können in derselben Registrierung aktiv sein.Multiple Azure AD tenants can function in the same enrollment.

Entwurfsempfehlungen:Design recommendations:

  • Verwenden Sie das nahtlose einmalige Anmelden von Azure AD entsprechend der ausgewählten Planungstopologie.Use Azure AD seamless single sign-on based on the selected planning topology.
  • Verfügt Ihre Organisation über keine Identitätsinfrastruktur, beginnen Sie mit der Implementierung einer auf Azure AD beschränkten Identitätsbereitstellung.If your organization doesn't have an identity infrastructure, start by implementing an Azure-AD-only identity deployment. Eine solche Bereitstellung mit Azure AD Domain Services und Microsoft Enterprise Mobility + Security bietet End-to-End-Schutz für SaaS-Anwendungen, Unternehmensanwendungen und für Geräte.Such deployment with Azure AD Domain Services and Microsoft Enterprise Mobility + Security provides end-to-end protection for SaaS applications, enterprise applications, and devices.
  • Die mehrstufige Authentifizierung stellt eine weitere Sicherheitsebene und eine zweite Authentifizierungsbarriere dar.Multi-factor authentication provides another layer of security and a second barrier of authentication. Erzwingen Sie die mehrstufige Authentifizierung und Richtlinien für bedingten Zugriff für alle privilegierten Konten, um die Sicherheit zu erhöhen.Enforce multi-factor authentication and conditional access policies for all privileged accounts for greater security.
  • Planen und implementieren Sie Notfallzugriffs- oder Break-Glass-Konten, um eine mandantenweite Kontensperrung zu vermeiden.Plan and implement for emergency access or break-glass accounts to prevent tenant-wide account lockout.
  • Verwenden Sie Azure AD Privileged Identity Management für die Identitäts- und Zugriffsverwaltung.Use Azure AD Privileged Identity Management for identity and access management.
  • Wenn Dev/Test und Produktion aus Identitätssicht isolierte Umgebungen sein sollen, trennen Sie sie auf Mandantenebene über mehrere Mandanten.If dev/test and production are going to be isolated environments from an identity perspective, separate them at a tenant level via multiple tenants.
  • Erstellen Sie keinen neuen Azure AD-Mandanten, es sei denn, dies ist aufgrund der Identitäts- und Zugriffsverwaltung und wegen vorhandener Prozesse zwingend erforderlich.Avoid creating a new Azure AD tenant unless there's a strong identity and access management justification and processes are already in place.