Considérations et recommandations supplémentaires

Les abonnements sont une unité de gestion, de facturation et de mise à l’échelle au sein d’Azure. Ils jouent un rôle essentiel quand vous concevez une adoption d’Azure à grande échelle. Cet article peut vous aider à capturer les exigences en matière d’abonnement, ainsi qu’à concevoir des abonnements cibles en fonction de facteurs critiques, qui reposent sur :

• type d’environnement
• modèle de propriété et de gouvernance
• structure organisationnelle
• portefeuille d’applications

Conseil

Ce sujet est traité dans une vidéo que nous avons récemment publiée sur YouTube : Zones d’atterrissage Azure - Combien d’abonnements dois-je utiliser dans Azure ?

Notes

Vous devez passer en revue les limites d’abonnement, comme indiqué dans Comptes de facturation et étendues dans le portail Azure. Ces conseils d’aide sont principalement destinés aux clients qui utilisent des programmes Contrat Entreprise, Contrat Client Microsoft (Entreprise) ou Contrat Partenaire Microsoft (CSP).

Considérations liées aux abonnements

Les sections suivantes contiennent des considérations pour vous aider à planifier et créer des abonnements pour Azure.

Considérations sur la conception de l’organisation et de la gouvernance

• Les abonnements servent de limites pour l’attribution de stratégies Azure.

  • Par exemple, des charges de travail sécurisées, comme des charges de travail au standard PCI (Payment Card Industry), nécessitent généralement d’autres stratégies pour être conformes. Au lieu d’utiliser un groupe de gestion pour regrouper les charges de travail qui nécessitent une conformité PCI, vous pouvez obtenir la même isolation avec un abonnement, sans avoir trop de groupes de gestion avec seulement quelques abonnements.

    • Si vous devez regrouper de nombreux abonnements du même archétype de charge de travail, créez-les sous un groupe de gestion.

• Les abonnements servent d’unité d’échelle de façon à ce que les charges de travail des composants puissent adapter leur échelle dans le respect des limites d’abonnement de la plateforme. Veillez à prendre en compte les limites de ressources de l’abonnement lors de la conception de vos charges de travail.

• Les abonnements fournissent une délimitation de la gestion pour la gouvernance et l’isolation, qui sépare clairement les problèmes.

• Créez des abonnements de plateforme distincts pour la gestion (surveillance), la connectivité et l’identité quand cela est requis.

  • Établissez un abonnement dédié à la gestion dans votre groupe d’administration de la plateforme qui permet de prendre en charge des fonctionnalités de gestion globales, comme des espaces de travail Azure Monitor Log Analytics et des runbooks Azure Automation.
    • Établir un abonnement à identité dédiée dans votre groupe d’administration de la plateforme pour héberger les contrôleurs de domaine Windows Server Active Directory, si nécessaire.
    • Établissez un abonnement de connectivité dédiée dans votre groupe d’administration de la plateforme pour héberger un hub Azure Virtual WAN, un DNS privé, un circuit ExpressRoute et d’autres ressources réseau. Un abonnement dédié garantit que toutes vos ressources réseau de base sont facturées ensemble et isolées des autres charges de travail.
    • Utilisez les abonnements comme des unités démocratisées d’administration, alignées sur les besoins et priorités de votre entreprise.

• Utilisez des processus manuels pour limiter les locataires Microsoft Entra aux abonnements d’inscription de Contrat Entreprise uniquement. Un processus manuel empêche la création d’abonnements Microsoft Developer Network dans l’étendue du groupe d’administration racine.

  • Pour le support, envoyez un ticket de support Azure.

• Consultez Hub de transfert des réservations et des abonnements Azure pour les transferts d’abonnements entre les offres de facturation Azure.

Considérations relatives à la conception de la capacité et du quota

Les régions Azure peuvent posséder un nombre limité de ressources. Par conséquent, la capacité et les références SKU disponibles doivent être suivies pour les adoptions Azure qui possèdent un grand nombre de ressources.

• Envisagez les limites et les quotas au sein de la plateforme Azure pour chaque service que vos charges de travail requièrent.

• Tenez compte de la disponibilité des références (SKU) requises au sein de vos régions Azure choisies. Par exemple, de nouvelles fonctionnalités peuvent n’être disponibles que dans certaines régions. La disponibilité de certaines références (SKU) pour des ressources données telles que des machines virtuelles peut différer d’une région à l’autre.

• Tenez compte du fait que les quotas d’abonnement ne constituent pas des garanties de capacité et sont appliqués par région.

  • Pour les réservations de capacité de machine virtuelle, consultez Réservation de capacité à la demande.

• Réutilisez les abonnements inutilisés ou désactivés conformément aux instructions fournies dans Doit-on créer un abonnement Azure chaque fois ou peut-on réutiliser les abonnements Azure ? - FAQ sur les zones d’atterrissage Azure.

Considérations relatives à la conception des restrictions de transfert de locataire

Chaque abonnement Azure est lié à un seul locataire Microsoft Entra, qui joue le rôle de fournisseur d’identité (IdP) pour votre abonnement Azure. Le locataire Microsoft Entra permet d’authentifier les utilisateurs, les services et les appareils.

Le locataire Microsoft Entra lié à votre abonnement Azure peut être changé par un utilisateur ayant les autorisations nécessaires. Ce processus est décrit dans les articles suivants :

• Associer ou ajouter un abonnement Azure à votre locataire Microsoft Entra
• Transférer un abonnement Azure vers un annuaire Microsoft Entra différent

Remarque

Le transfert vers un autre locataire Microsoft Entra n’est pas pris en charge pour les abonnements de fournisseur de solutions Cloud (CSP) Azure.

Avec les zones d’atterrissage Azure, vous pouvez définir des exigences pour empêcher les utilisateurs de transférer des abonnements au locataire Microsoft Entra de votre organisation. Passez en revue le processus dans Gérer les stratégies d’abonnement Azure.

Configurez votre stratégie d’abonnement en fournissant une liste d’utilisateurs exemptés. Les utilisateurs exemptés sont autorisés à ignorer les restrictions définies par la stratégie.

Important

Une liste d’utilisateurs exemptés n’est pas une Azure Policy.

• Déterminez si les utilisateurs avec des abonnements Azure Visual Studio/MSDN doivent être autorisés à transférer leur abonnement vers votre locataire Microsoft Entra ou en dehors de celui-ci.

• Les paramètres de transfert de locataire sont configurables uniquement par les utilisateurs qui ont le rôle Administrateur général Microsoft Entra. Ces utilisateurs doivent avoir un accès élevé pour modifier la stratégie.

  • Vous pouvez spécifier seulement des comptes d’utilisateur individuels comme utilisateurs exemptés, et non des groupes Microsoft Entra.

• Tous les utilisateurs ayant accès à Azure peuvent voir la stratégie définie pour votre locataire Microsoft Entra.

  • Les utilisateurs ne peuvent pas voir votre liste d’utilisateurs exemptés.

  • Les utilisateurs peuvent voir les administrateurs généraux au sein de votre locataire Microsoft Entra.

• Les abonnements Azure transférés vers un locataire Microsoft Entra sont placés dans le groupe d’administration par défaut de ce locataire.

• Si votre organisation l’approuve, votre équipe d’application peut définir un processus qui permet de transférer les abonnements Azure vers un locataire Microsoft Entra ou en dehors de celui-ci.

Établir les considérations relatives à la conception de la gestion des coûts

La transparence des coûts est un défi majeur en matière d’administration, auquel toute grande entreprise est confrontée. Cette section de l’article explore les aspects clés de l’obtention de la transparence des coûts dans les grands environnements Azure.

• Les modèles de rétrofacturation, tels que Azure App Service Environment et Azure Kubernetes Service, peuvent avoir besoin d’être partagés pour obtenir une densité plus élevée. Les ressources PaaS partagées peuvent être affectées par les modèles de rétrofacturation.

• Utilisez une planification d’arrêt pour les charges de travail autres que de production pour optimiser les coûts.

• Utilisez Azure Advisor pour obtenir des recommandations d’optimisation des coûts.

• Établissez un modèle de rétrofacturation pour une meilleure distribution des coûts au sein de votre organisation.

• Implémentez la stratégie pour empêcher le déploiement de ressources non autorisées à être déployées dans l’environnement de votre organisation.

• Établissez une planification et une cadence régulières pour examiner les ressources de coût et de taille appropriée pour les charges de travail.

Recommandations relatives aux abonnements

Les sections suivantes contiennent des recommandations pour vous aider à planifier et créer des abonnements pour Azure.

Recommandations en matière d’organisation et de gouvernance

• Traitez les abonnements comme une unité d’administration, alignée sur vos besoins et priorités de l’entreprise.

• Sensibilisez les propriétaires d’abonnements à leurs rôles et responsabilités.

  • Effectuez une révision d’accès trimestrielle ou annuelle dans Microsoft Entra Privileged Identity Management pour vérifier que les privilèges ne prolifèrent pas quand les utilisateurs se déplacent au sein de votre organisation.
  • Prenez pleinement en charge les dépenses budgétaires et les ressources.
  • Veillez au respect de la stratégie et prenez des mesures correctives si nécessaire.

• Reportez-vous aux principes suivants à mesure que vous identifiez les exigences pour les nouveaux abonnements :

  • Limites de mise à l’échelle : les abonnements servent d’unité d’échelle pour permettre aux charges de travail des composants d’adapter leur échelle dans le respect des limites d’abonnement de la plateforme. Les charges de travail spécialisées volumineuses telles que le calcul haute performance, l’IoT et SAP doivent utiliser des abonnements séparés pour éviter d’atteindre ces limites.
  • Limite d’administration : les abonnements définissent une limite d’administration pour la gouvernance et l’isolation, ce qui permet un cloisonnement clair entre les problèmes. Différents environnements, tels que de développement, de test et de production, sont souvent supprimés du point de vue de l’administration.
  • Limite de stratégie : les abonnements servent de limite pour les attributions d’Azure Policy. Par exemple, des charges de travail sécurisées, telles que PCI, requièrent généralement d’autres stratégies pour assurer la conformité. L’autre surcharge n’est pas prise en compte si vous utilisez un abonnement distinct. Les environnements de développement ont des exigences de stratégie plus strictes que les environnements de production.
  • Topologie de réseau cible : Les réseaux virtuels ne peuvent pas être partagés entre les abonnements, mais vous pouvez les connecter à différentes technologies, comme le peering de réseaux virtuels ou Azure ExpressRoute. Pour déterminer si un nouvel abonnement est requis, il est important de prendre en compte les charges de travail qui doivent communiquer entre elles.

• Regroupez les abonnements sous des groupes d’administration qui sont alignés sur votre structure de groupe d’administration et les exigences de stratégie. Le regroupement d’abonnements permet de s’assurer que les abonnements avec le même ensemble de stratégies et les attributions de rôles Azure proviennent d’un groupe d’administration.

• Établissez un abonnement dédié à la gestion dans votre groupe d’administration Platform qui permet de prendre en charge des fonctionnalités de gestion globales, comme des espaces de travail Azure Monitor Log Analytics et des runbooks Azure Automation.

• Établissez un abonnement d’identité dédié dans votre groupe d’administration Platform pour héberger des contrôleurs de domaine Windows Server Active Directory si nécessaire.

• Établissez un abonnement de connectivité dédié dans votre groupe d’administration Platform pour héberger un hub Azure Virtual WAN, un DNS (Domain Name System) privé, un circuit ExpressRoute et d’autres ressources réseau. Un abonnement dédié garantit que toutes vos ressources réseau de base sont facturées ensemble et isolées des autres charges de travail.

• Évitez un modèle d’abonnement rigide. Optez plutôt pour un ensemble de critères flexibles pour regrouper des abonnements dans votre organisation. Cette flexibilité garantit qu’à mesure que la structure et la composition des charges de travail de votre organisation évoluent, vous pourrez créer des groupes d’abonnements au lieu d’utiliser un ensemble fixe d’abonnements existants. Une taille unique ne convient pas pour tous les abonnements et ce qui fonctionne pour une unité commerciale peut ne pas fonctionner pour une autre. Certaines applications peuvent coexister au sein de l’abonnement de la même zone d’atterrissage, tandis que d’autres peuvent nécessiter leur propre abonnement.

  • Pour plus d’informations, consultez Comment gérer les zones d’atterrissage de charge de travail « dev/test/production » dans l’architecture des zones d’atterrissage Azure ?.

Recommandations de quota et de capacité

• Utilisez les abonnements comme des unités d’échelle, et effectuez un scale-out des ressources et des abonnements en fonction des besoins. Votre charge de travail peut ensuite utiliser les ressources requises pour la montée en puissance parallèle, sans qu’il faille toucher aux limites d’abonnement dans la plateforme Azure.

• Utilisez des réservations de capacité pour gérer la capacité dans certaines régions. Votre charge de travail peut alors avoir la capacité requise pour les ressources à forte demande dans une région spécifique.

• Établissez un tableau de bord avec des affichages personnalisés pour surveiller les niveaux de capacité utilisés et configurez des alertes si la capacité approche des niveaux critiques (de 90 % d’utilisation de l’UC).

• Élevez les demandes de support pour les augmentations de quotas sous l’approvisionnement d’abonnement, par exemple, le nombre total de cœurs de machines virtuelles disponibles dans un abonnement. Assurez-vous que vos limites de quota sont définies avant que vos charges de travail ne dépassent les limites par défaut.

• Vérifiez que les services et fonctionnalités requis sont disponibles dans vos régions de déploiement choisies.

Recommandations d’automatisation

• Créez un processus de distribution d’abonnements afin d’automatiser la création d’abonnements pour les équipes d’application via un workflow de demandes, comme décrit dans Distributeur d’abonnements.

Recommandations en matière de restriction de transfert de locataire

• Configurez les paramètres suivants pour empêcher les utilisateurs de transférer des abonnements Azure vers votre locataire Microsoft Entra ou en dehors de celui-ci :

  • Définissez Abonnement sortant d’un annuaire Microsoft Entra sur Permit no one.

  • Définissez Abonnement entrant dans un annuaire Microsoft Entra sur Permit no one.

• Configurez une liste limitée d’utilisateurs exemptés.

  • Incluez les membres d’une équipe Azure PlatformOps (Platform Operations).
  • Incluez des comptes de secours dans la liste des utilisateurs exemptés.

Étapes suivantes

Adopter des garde-fous pilotés par les stratégies