Administración de los roles del Contrato Enterprise de Azure
Nota:
Los administradores de empresa tienen permisos para crear suscripciones en cuentas de inscripción activas. Para más información sobre la creación de suscripciones, vea Adición de una nueva suscripción.
Para ayudar a administrar el uso y gasto de su organización, los clientes de Azure con un Contrato Enterprise pueden asignar seis roles de administrador diferentes:
- Administrador de empresa
- Administrador de empresa (solo lectura)¹
- Comprador de EA
- Administrador de departamentos
- Administrador de departamento (solo lectura)
- Propietario de la cuenta²
¹ El contacto destinatario de la facturación del Contrato Enterprise tiene este rol.
² El contacto destinatario de la facturación no se puede agregar ni cambiar en Azure Portal. Se agrega a la inscripción de EA en función del usuario que esté configurado como contacto destinatario de la facturación en el nivel de contrato. Para cambiar el contacto de destinatario de la factura, es necesario realizar una solicitud a través de un asesor de software o asociado al centro de operaciones regional (ROC).
El primer administrador de inscripciones que se configure durante el aprovisionamiento de la inscripción determina el tipo de autenticación de la cuenta de contacto de facturación. Cuando el contacto destinatario de la facturación se agrega a Azure Portal como administrador de solo lectura, se le proporciona la autenticación de la cuenta Microsoft.
Por ejemplo, si el tipo de autenticación inicial se establece en Mixto, EA se agrega como un cuenta Microsoft y el contacto destinatario de la facturación tendrá privilegios de administrador de EA de solo lectura. Si el administrador de EA no aprueba la autorización de la cuenta Microsoft para un contacto destinatario de la facturación existente, puede eliminar el usuario en cuestión. Luego, puede pedir al cliente que vuelva a agregar el usuario como administrador de solo lectura con una cuenta profesional o educativa establecida solo en el nivel de inscripción en Azure Portal.
Estos roles son específicos de la administración de Contratos Enterprise de Azure y son adicionales a los roles integrados que tiene Azure para controlar el acceso a los recursos. Para más información, consulte Roles integrados en Azure.
Azure Portal para Cost Management y facturación
La jerarquía de Azure Portal para Cost Management consta de:
Azure Portal para Cost Management: portal de administración en línea que ayuda a administrar los costes de los servicios de Azure EA. Puede realizar las siguientes tareas:
- Crear una jerarquía de Azure EA con departamentos, cuentas y suscripciones.
- Conciliar los costos de los servicios consumidos, descargar informes de uso y ver listas de precios.
- Crear claves de API para la inscripción.
Los departamentos ayudan a segmentar los costos en agrupaciones lógicas. Los departamentos le permiten establecer un presupuesto o una cuota a nivel de departamento.
Las cuentas son unidades organizativas de Azure Portal para Cost Management. Puede usar las cuentas para administrar las suscripciones y obtener acceso a los informes.
Las suscripciones son la unidad más pequeña de Azure Portal para Cost Management. Son contenedores para servicios administrados de Azure por el rol Propietario de la cuenta, también conocido como administrador de servicios de la suscripción.
En el siguiente diagrama se ilustran las jerarquías simples de Azure EA.
Roles de los usuarios de empresa
Los siguientes roles de usuario administrativo forman parte de la inscripción empresarial:
- Administrador de empresa
- Comprador de EA
- Administrador de departamentos
- Propietario de cuenta
- Administrador de servicios
- Contacto para notificaciones
Use Cost Management en Azure Portal para poder administrar los roles de Contrato Enterprise de Azure.
Los clientes directos de EA pueden completar todas las tareas administrativas en Azure Portal. Puede usar Azure Portal para administrar la facturación, los costos y los servicios de Azure.
Los roles de usuario están asociados a una cuenta de usuario. Para validar la autenticidad de los usuarios, todos ellos deben tener una cuenta profesional, educativa o de Microsoft válida. Asegúrese de que cada cuenta está asociada a una dirección de correo electrónico, con el fin de que se pueda supervisa activamente. Las notificaciones de inscripción se envían a la dirección de correo electrónico.
Nota
El rol Propietario de la cuenta se asigna a menudo a una cuenta de servicio que no tiene un correo electrónico supervisado activamente.
Al configurar usuarios, puede asignar varias cuentas al rol Administrador de empresa. Una inscripción puede tener varios propietarios de la cuenta, por ejemplo, uno por departamento. Además, puede asignar tanto el rol Administrador de empresa como el rol Propietario de cuenta a una sola cuenta.
Administrador de empresa
Los usuarios con este rol tienen el nivel de acceso más alto a la inscripción. Pueden realizar las acciones siguientes:
- Administrar cuentas y propietarios de cuentas.
- Administrar otros administradores de empresa.
- Administrar administradores de departamento.
- Administrar contactos de notificación.
- Comprar servicios de Azure, incluidos planes de ahorro y reservas.
- Ver el uso en todas las cuentas.
- Ver los cargos no facturados en todas las cuentas.
- Cree suscripciones en cuentas de inscripción activas.
- Vea y administre todos los pedidos de planes de ahorro y reservas y los planes de ahorro y reservas que se aplican al Contrato Enterprise.
- El administrador de empresa (solo lectura) puede ver tanto los pedidos de planes de ahorro y reservas como los propios planes de ahorro y reservas. pero no pueden administrarlos.
Puede tener varios administradores de empresa en una inscripción empresarial. Puede conceder acceso de solo lectura a los administradores de empresa.
El rol de administrador de Contrato Enterprise hereda automáticamente todo el acceso y los privilegios del rol de administrador del departamento. Por consiguiente, a los administradores de Contrato Enterprise no es necesario asignarles manualmente el rol de administrador del departamento.
El rol de administrador de empresa se puede asignar a varias cuentas.
Comprador de EA
Los usuarios con este rol tienen permisos para comprar servicios de Azure, pero no para administrar cuentas. Pueden realizar las acciones siguientes:
- Comprar servicios de Azure, incluidos planes de ahorro y reservas.
- Ver el uso en todas las cuentas.
- Ver los cargos no facturados en todas las cuentas.
- Vea y administre todos los pedidos de planes de ahorro y reservas y los planes de ahorro y reservas que se aplican al Contrato Enterprise.
Actualmente, el rol de comprador de EA solo está habilitado para el acceso basado en SPN. Para aprender a asignar el rol a un nombre de entidad de seguridad de servicio, consulte Asignación de roles a los nombres de entidad de seguridad de servicio del Contrato Enterprise de Azure.
Administrador de departamentos
Los usuarios con este rol pueden:
- Crear y administrar departamentos.
- Crear nuevos propietarios de cuentas.
- Ver detalles de uso de los departamentos que administran.
- Ver los costos, si tienen los permisos necesarios.
Puede tener varios administradores de departamento en cada inscripción empresarial.
Puede conceder a los administradores de departamento acceso de solo lectura al editar o crear un nuevo administrador de departamento. Establezca la opción de solo lectura en Sí.
Propietario de cuenta
Los usuarios con este rol pueden:
- Crear y administrar suscripciones.
- Administrar administradores de servicios.
- Ver el uso de las suscripciones.
Todas las cuentas requieren una cuenta profesional, educativa o de Microsoft única. Para más información acerca de los roles administrativos de Azure Portal, consulte Administración de los roles del Contrato Enterprise de Azure.
Solo puede haber un propietario de la cuenta por cuenta. Sin embargo, puede haber varias cuentas en una inscripción de EA. Cada cuenta tiene un propietario de la cuenta único.
Para diferentes cuentas de Microsoft Entra, la configuración de permisos podría tardar más de 30 minutos en surtir efecto.
Administrador de servicios
El rol Administrador de servicios tiene permisos para administrar servicios en Azure Portal y asignar a los usuarios el rol de coadministrador.
Contacto para notificaciones
El contacto para notificaciones recibe las notificaciones de uso relacionadas con la inscripción.
En las secciones siguientes se describen las limitaciones y funcionalidades de cada rol.
Límite de usuarios para roles de administrador
| Role | Límite de usuarios |
|---|---|
| Administrador de empresa | Sin límite |
| Administrador de empresa (solo lectura) | Sin límite |
| Comprador de EA asignado a un nombre de entidad de seguridad de servicio (SPN) | Sin límite |
| Administrador de departamentos | Sin límite |
| Administrador de departamento (solo lectura) | Sin límite |
| Propietario de cuenta | 1 por cuenta³ |
³ Cada cuenta requiere una única cuenta de Microsoft o una cuenta profesional o educativa.
Estructura de organización y permisos por rol
| Tareas | Administrador de empresa | Administrador de empresa (solo lectura) | Comprador de EA | Administrador de departamentos | Administrador de departamento (solo lectura) | Propietario de cuenta | Asociado |
|---|---|---|---|---|---|---|---|
| Ver administradores de empresa | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Agregar o quitar administradores de empresa | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Ver contactos de notificación⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Agregar o quitar contactos de notificación⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Crear y administrar departamentos | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Ver administradores de departamento | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| Agregar o quitar administradores de departamento | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
| Ver cuentas en la inscripción | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
| Agregar cuentas a la inscripción y cambiar el propietario de la cuenta | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
| Comprar planes de ahorro y reservas de Azure | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
| Crear y administrar suscripciones y permisos de suscripción | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ A los contactos de notificación se les envían comunicaciones por correo electrónico sobre el Contrato Enterprise de Azure.
- ⁵ La tarea se limita a las cuentas de su departamento.
- ⁶ El propietario de una suscripción, el comprador de una reserva o el comprador de un plan de ahorro puede adquirir y administrar los planes de ahorro y las reservas dentro de la suscripción, siempre y cuando esté permitido por las marcas que indican que la compra de planes de ahorro o reservas está habilitada. Los administradores de empresa pueden comprar y administrar reservas y planes de ahorro en la cuenta de facturación. Los administradores de empresa (solo lectura) pueden ver todas las reservas y los planes de ahorro comprados. Las marcas que indican que la compra de planes de ahorro o reservas está habilitada no afectan a los roles de administrador de EA. El titular del rol Administrador de empresa (solo lectura) no tiene permiso para realizar compras. Sin embargo, si un usuario con ese rol también tiene un permiso de propietario de la suscripción, de comprador de reservas o de comprador de planes de ahorro, podrá comprar reservas y planes de ahorro, independientemente de las marcas.
Adición de un nuevo administrador de empresa
Los administradores de empresa tienen los máximos privilegios al administrar una inscripción del Contrato Enterprise de Azure. Se creó el administrador del Contrato Enterprise de Azure inicial cuando se configuró el acuerdo del Contrato Enterprise. Sin embargo, puede agregar o quitar nuevos administradores en cualquier momento. Los administradores existentes son los que crean nuevos administradores. Para más información sobre cómo agregar administradores de empresa, consulte Adición de otro administrador de empresa. Para más información acerca de los roles del perfil de facturación, consulte Tareas y roles del perfil de facturación.
Actualización del estado del propietario de la cuenta, de pendiente a activo
Cuando se agregan nuevos propietarios de la cuenta a una inscripción del Contrato Enterprise de Azure por primera vez, su estado aparece como pendiente. Cuando un nuevo propietario de la cuenta recibe el correo electrónico de bienvenida de activación, puede iniciar sesión para activar su cuenta.
Nota
Si el propietario de la cuenta es una cuenta de servicio y no tuviera un correo electrónico, use una sesión de In-Private para iniciar sesión en Azure Portal y vaya a Cost Management para que se le pida que acepte el correo electrónico de bienvenida de activación.
Al activar su cuenta, el estado de la cuenta se actualiza de pendiente a activa. El propietario de la cuenta tiene que leer el mensaje Warning y seleccionar Continuar. Es posible que se pida a los nuevos usuarios que escriban su nombre y apellidos para crear una cuenta comercial. En ese caso, deben agregar la información necesaria para continuar y, acto seguido, se activará la cuenta.
Nota
Una suscripción está asociada a una cuenta y solo una. El mensaje de advertencia incluye información que advierte al propietario de la cuenta de que al aceptar la oferta se moverán las suscripciones asociadas a la cuenta a la nueva inscripción.
Adición de un administrador de departamento
Cuando un administrador de Contrato Enterprise de Azure crea un departamento, el administrador puede agregar administradores de departamento y asociar cada uno de ellos a un departamento. Un administrador de departamento puede crear nuevas cuentas. Se necesitan nuevas cuentas para que se creen las suscripciones del Contrato Enterprise de Azure.
Los administradores directos de EA pueden agregar administradores de departamento en Azure Portal. Para más información, consulte Creación de un administrador de departamento de Azure EA.
Acceso de uso y costos por rol
| Tareas | Administrador de empresa | Administrador de empresa (solo lectura) | Comprador de EA | Administrador de departamentos | Administrador de departamento (solo lectura) | Propietario de cuenta | Asociado |
|---|---|---|---|---|---|---|---|
| Ver saldo de crédito, incluido el prepago de Azure | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Ver cuotas de gastos de departamento | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Establecer cuotas de gasto de departamento | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Ver la hoja de precios de EA de la organización | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Ver los detalles de uso y costo | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Administrar recursos en Azure Portal | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Requiere que el administrador de empresa habilite la directiva El administrador de departamento ve los cargos en Azure Portal. El administrador de departamento puede entonces ver los detalles de costo del departamento.
- ⁸ Requiere que el administrador de empresa habilite la directiva El propietario de la cuenta ve los cargos en Azure Portal. El propietario de la cuenta puede ver entonces los detalles del costo de la cuenta.
Consulte los precios de los diferentes roles de usuario
Es posible que vea un precio diferente en Azure Portal en función de su rol administrativo y de la forma en que el administrador de empresa haya establecido las directivas de visualización de cargos. La habilitación de roles de Administrador de departamento y Propietario de la cuenta para ver los cargos se puede restringir mediante la restricción del acceso a la información de facturación.
Para saber cómo establecer estas directivas, consulte Administración del acceso a la información de facturación en Azure.
En la tabla siguiente se muestra la relación entre:
- Roles de administrador de Contrato Enterprise
- Directiva de visualización de cargos
- Rol de Azure en Azure Portal
- Precios que ve en Azure Portal
El administrador de empresa siempre ve los detalles de uso según los precios de EA de la organización. Sin embargo, el administrador de departamento y el propietario de la cuenta tienen vistas de precios diferentes según la directiva de visualización de cargos y su rol de Azure. El rol de administrador de departamento que se muestra en la tabla siguiente hace referencia a los roles de administrador de departamento y administrador de departamento (solo lectura).
| Rol de administrador de Contrato Enterprise | Directiva de visualización de cargos por rol | Rol de Azure | Vista de precios |
|---|---|---|---|
| Propietario de la cuenta o administrador de departamento | ✔ Habilitado | Propietario | Precios de EA de la organización |
| Propietario de la cuenta o administrador de departamento | ✘ Deshabilitado | Propietario | No hay precios |
| Propietario de la cuenta o administrador de departamento | ✔ Habilitado | None | No hay precios |
| Propietario de la cuenta o administrador de departamento | ✘ Deshabilitado | None | No hay precios |
| None | No aplicable | Propietario | No hay precios |
El rol de administrador de empresa y las directivas de visualización de cargos se establecen en Azure Portal. El rol de control de acceso basado en rol (RBAC) de Azure se puede actualizar con información en Asignación de roles de Azure mediante Azure Portal.