Merencanakan pendaftaran Perjanjian Enterprise

Pendaftaran Perjanjian Enterprise mewakili hubungan komersial antara Microsoft dan cara organisasi Anda menggunakan Azure. Ini menyediakan dasar penagihan untuk langganan Anda dan bagaimana properti digital Anda dikelola. Bilah Cost Management + Billing di portal Azure membantu Anda mengelola pendaftaran Perjanjian Enterprise Anda. Pendaftaran sering kali mewakili hierarki organisasi, meliputi departemen, akun, dan langganan. Hierarki ini mewakili pusat biaya dalam suatu organisasi.

Catatan

Portal Azure EA (https://ea.azure.com) telah dihentikan per 15 Februari 2024, pelanggan sekarang harus menggunakan bilah Cost Management + Billing di portal Azure untuk mengelola pendaftaran mereka seperti yang didokumentasikan lebih lanjut dalam:

• Administrasi portal Azure EA
• Mulai menggunakan akun penagihan Perjanjian Enterprise Anda

• Departemen membantu membagi biaya menjadi pengelompokan yang logis dan untuk menetapkan anggaran atau kuota di tingkat departemen. Kuota tidak diberlakukan dengan tegas dan digunakan untuk tujuan pelaporan.

• Akun adalah unit organisasi di portal Azure EA. Anda dapat menggunakannya untuk mengelola langganan dan mengakses laporan.

• Langganan adalah unit terkecil di portal Azure EA. Langganan adalah kontainer untuk layanan Azure yang dikelola oleh Administrator Layanan. Di sinilah organisasi Anda menyebarkan layanan Azure.

• Peran pendaftaran Perjanjian Enterprise menghubungkan pengguna dengan peran fungsionalnya. Peran tersebut adalah:

  • Enterprise Administrator
  • Administrator Departemen
  • Pemilik akun
  • Administrator Layanan
  • Kontak Pemberitahuan

Bagaimana pendaftaran Perjanjian Enterprise berkaitan dengan ID Microsoft Entra dan Azure RBAC

Saat organisasi Anda menggunakan pendaftaran Perjanjian Enterprise untuk langganan Azure, penting untuk memahami berbagai batas autentikasi dan otorisasi serta hubungan antara batas-batas ini.

Ada hubungan kepercayaan yang melekat antara langganan Azure dan penyewa Microsoft Entra, yang dijelaskan lebih lanjut di Mengaitkan atau menambahkan langganan Azure ke penyewa Microsoft Entra Anda. Pendaftaran Perjanjian Enterprise juga dapat menggunakan penyewa Microsoft Entra sebagai penyedia identitas, tergantung pada tingkat autentikasi yang ditetapkan pada pendaftaran dan opsi mana yang dipilih saat pemilik akun pendaftaran dibuat. Namun, selain pemilik akun, peran pendaftaran Perjanjian Enterprise tidak menyediakan akses ke ID Microsoft Entra atau langganan Azure dalam pendaftaran tersebut.

Misalnya, pengguna keuangan diberikan peran administrator Enterprise pada pendaftaran Perjanjian Enterprise. Mereka adalah pengguna standar tanpa izin atau peran yang ditingkatkan yang ditetapkan kepada mereka di ID Microsoft Entra atau di grup manajemen Azure, langganan, grup sumber daya, atau sumber daya apa pun. Pengguna keuangan hanya dapat melakukan peran yang tercantum di Mengelola peran Perjanjian Enterprise Azure dan tidak dapat mengakses langganan Azure saat pendaftaran. Satu-satunya peran Perjanjian Enterprise dengan akses ke langganan Azure adalah pemilik akun karena izin ini diberikan saat langganan dibuat.

Pertimbangan Desain

• Pendaftaran menyediakan struktur organisasi hierarkis untuk mengatur bagaimana langganan dikelola. Untuk informasi lebih lanjut, lihat Mengelola peran Perjanjian Enterprise Azure.

• Berbagai administrator dapat ditugaskan untuk satu pendaftaran.

• Setiap langganan harus memiliki pemilik akun yang ditunjuk. Lihat Panduan administrasi portal Azure EA untuk detail tentang cara mengubah ini, jika diperlukan.

• Setiap pemilik akun adalah pemilik langganan untuk setiap langganan yang disediakan di bawah akun tersebut.

• Langganan hanya dapat dimiliki oleh satu akun pada satu waktu.

• Serangkaian kriteria tertentu dapat digunakan untuk menentukan apakah langganan harus ditangguhkan.

• Departemen dan akun dapat memfilter penagihan pendaftaran dan laporan penggunaan.

• Tinjau Membuat langganan Perjanjian Enterprise Azure secara terprogram dengan API terbaru untuk informasi selengkapnya tentang batasan langganan Perjanjian Enterprise.

Rekomendasi desain

• Hanya gunakan jenis autentikasi Work or school account untuk semua jenis akun. Hindari menggunakan jenis akun Microsoft account (MSA).

• Siapkan alamat email Kontak Pemberitahuan untuk memastikan pemberitahuan dikirim ke kotak surat grup yang tepat.

• Organisasi dapat memiliki berbagai struktur, meliputi struktur fungsional, divisi, geografis, matriks, atau tim. Gunakan departemen dan akun untuk memetakan struktur organisasi Anda ke hierarki pendaftaran Anda, yang dapat membantu memisahkan penagihan.

• Gunakan laporan dan tampilan Azure Cost Management + Billing , yang dapat menggunakan metadata Azure (misalnya, tag dan lokasi) untuk menjelajahi dan menganalisis biaya organisasi Anda.

• Batasi dan minimalkan jumlah pemilik akun dalam pendaftaran untuk membatasi akses administrator ke langganan dan sumber daya Azure terkait.

• Tetapkan anggaran untuk setiap departemen dan akun, dan buat pemberitahuan terkait dengan anggaran.

• Buat departemen baru untuk TI hanya jika domain bisnis yang sesuai memiliki kemampuan IT independen.

• Jika Anda menggunakan beberapa penyewa Microsoft Entra, verifikasi bahwa pemilik akun dikaitkan dengan penyewa yang sama dengan tempat langganan untuk akun disediakan.

• Untuk beban kerja pengembangan/pengujian (dev/test), gunakan penawaran Enterprise Dev/Test, jika tersedia. Pastikan Anda mematuhi ketentuan penggunaan.

• Jangan abaikan email pemberitahuan yang dikirim ke alamat email akun pemberitahuan. Microsoft mengirimkan permintaan Perjanjian Enterprise penting ke akun ini.

• Jangan pindahkan atau ganti nama akun Perjanjian Enterprise di ID Microsoft Entra.

• Audit portal Azure EA secara berkala untuk meninjau siapa yang mengakses, dan jika memungkinkan, hindari penggunaan akun Microsoft.

• Aktifkan Biaya Tampilan DA dan Biaya Tampilan AO di setiap pendaftaran Perjanjian Enterprise agar pengguna dengan izin yang benar dapat melihat data Azure Cost Management + Billing.

• Setiap pengguna yang memiliki izin setelah pendaftaran untuk membuat langganan, sebagaimana dijelaskan di sini, harus dilindungi dengan Autentikasi Multifaktor (MFA) karena akun istimewa lainnya harus seperti yang didokumentasikan di sini