Enterprise Agreement-inschrijving en Azure Active Directory-tenantsEnterprise Agreement enrollment and Azure Active Directory tenants

Enter prise-inschrijving plannenPlan for enterprise enrollment

Een Enterprise Agreement-inschrijving (EA) vertegenwoordigt de commerciële relatie tussen Microsoft en de wijze waarop uw organisatie gebruikmaakt van Azure.An Enterprise Agreement (EA) enrollment represents the commercial relationship between Microsoft and how your organization uses Azure. Deze inschrijving vormt de basis voor facturering binnen al uw abonnementen en heeft invloed op het beheer van uw digitale estate.It provides the basis for billing across all your subscriptions and affects administration of your digital estate. Uw EA-inschrijving wordt beheerd via de Azure EA-Portal.Your EA enrollment is managed via the Azure EA portal. Een inschrijving vertegenwoordigt vaak de hiërarchie van een organisatie, die afdelingen, accounts en abonnementen bevat.An enrollment often represents an organization's hierarchy, which includes departments, accounts, and subscriptions. Deze hiërarchie vertegenwoordigt kosteninschrijvingsgroepen binnen een organisatie.This hierarchy represents cost-enrollment groups within an organization.

Diagram waarin Azure EA-hiërarchieën worden weer gegeven.

Afbeelding 1: een Azure EA-inschrijvings hiërarchie.Figure 1: An Azure EA enrollment hierarchy.

  • Afdelingen helpen bij het segmenteren van kosten in logische groeperingen en het instellen van een budget of quotum op afdelingsniveau.Departments help to segment costs into logical groupings and to set a budget or quota at the department level. Het quotum wordt niet streng afgedwongen en wordt gebruikt voor rapportagedoeleinden.The quota isn't enforced firmly and is used for reporting purposes.
  • Accounts zijn organisatie-eenheden in de Azure EA-portal.Accounts are organizational units in the Azure EA portal. Ze kunnen worden gebruikt om abonnementen te beheren en om toegang te krijgen tot rapporten.They can be used to manage subscriptions and access reports.
  • Abonnementen zijn de kleinste eenheden in de Azure EA-portal.Subscriptions are the smallest unit in the Azure EA portal. Dit zijn containers voor Azure-Services die worden beheerd door de service beheerder.They're containers for Azure services managed by the Service Administrator. Ze zijn waar uw organisatie Azure-Services implementeert.They're where your organization deploys Azure services.
  • Met EA-inschrijvingsrollen worden gebruikers gekoppeld aan hun functionele rol.EA enrollment roles link users with their functional role. Deze rollen zijn:These roles are:
    • Zakelijke beheerderEnterprise Administrator
    • AfdelingsbeheerderDepartment Administrator
    • AccounteigenaarAccount Owner
    • ServicebeheerderService Administrator
    • Contactpersoon voor meldingenNotification Contact

Ontwerp overwegingen:Design considerations:

  • De inschrijving biedt een hiërarchische organisatiestructuur om het beheer van abonnementen te bepalen.The enrollment provides a hierarchical organizational structure to govern the management of subscriptions.
  • Meerdere omgevingen kunnen worden gescheiden op EA-accountniveau om holistische isolatie te ondersteunen.Multiple environments can be separated at an EA-account level to support holistic isolation.
  • Er kunnen meerdere beheerders worden aangesteld voor één inschrijving.There can be multiple administrators appointed to a single enrollment.
  • Elk abonnement moet een gekoppelde account eigenaar hebben.Each subscription must have an associated Account Owner.
  • Elke eigenaar van een account wordt een abonnements eigenaar gemaakt voor alle abonnementen die onder dat account zijn ingericht.Each Account Owner will be made a subscription owner for any subscriptions provisioned under that account.
  • Een abonnement kan op elk moment slechts behoren tot één account.A subscription can belong to only one account at any given time.
  • Een abonnement kan worden onderbroken op basis van een opgegeven set criteria.A subscription can be suspended based on a specified set of criteria.

Ontwerp aanbevelingen:Design recommendations:

  • Gebruik alleen het verificatie type Work or school account voor alle account typen.Only use the authentication type Work or school account for all account types. Vermijd het gebruik van het Microsoft account (MSA) account type.Avoid using the Microsoft account (MSA) account type.
  • Stel het e-mail adres van de contact persoon voor meldingen in om ervoor te zorgen dat meldingen worden verzonden naar een postvak in de juiste groep.Set up the Notification Contact email address to ensure notifications are sent to an appropriate group mailbox.
  • Wijs een budget toe voor elk account en stel een waarschuwing in die is gekoppeld aan het budget.Assign a budget for each account, and establish an alert associated with the budget.
  • Een organisatie kan verschillende structuren hebben, zoals een functionele, divisie-, geografische, matrix- of teamstructuur.An organization can have a variety of structures, such as functional, divisional, geographic, matrix, or team structure. Gebruik een organisatiestructuur om uw organisatiestructuur toe te wijzen aan uw inschrijvingshiërarchie.Use organizational structure to map your organization structure to your enrollment hierarchy.
  • Maak een nieuwe afdeling voor IT als zakelijke domeinen onafhankelijke IT-mogelijkheden hebben.Create a new department for IT if business domains have independent IT capabilities.
  • Het aantal eigen aren van accounts binnen de inschrijving beperken en minimaliseren om te voor komen dat beheerders toegang tot abonnementen en gekoppelde Azure-resources worden gebreid.Restrict and minimize the number of account owners within the enrollment to avoid the proliferation of admin access to subscriptions and associated Azure resources.
  • Als er meerdere Azure Active Directory (Azure AD)-tenants worden gebruikt, controleert u of de eigenaar van het account is gekoppeld aan dezelfde Tenant als de locatie waar abonnementen voor het account worden ingericht.If multiple Azure Active Directory (Azure AD) tenants are used, verify that the Account Owner is associated with the same tenant as where subscriptions for the account are provisioned.
  • Stel Enterprise Dev/Test- en productieomgevingen in op EA-accountniveau om holistische isolatie te ondersteunen.Set up Enterprise Dev/Test and production environments at an EA account level to support holistic isolation.
  • Negeer geen e-mails die worden verzonden naar het e-mailadres van het account voor meldingen.Don't ignore notification emails sent to the notification account email address. Microsoft stuurt belangrijke EA-brede communicatie naar dit account.Microsoft sends important EA-wide communications to this account.
  • Verplaats of hernoem EA-accounts niet in Azure AD.Don't move or rename an EA account in Azure AD.
  • Controleer regel matig de EA-Portal om te controleren wie toegang heeft en gebruik waar mogelijk een Microsoft-account.Periodically audit the EA portal to review who has access and avoid using a Microsoft account where possible.

Azure AD-tenants definiërenDefine Azure AD tenants

Een Azure AD-tenant biedt identiteits- en toegangsbeheer, dat een belangrijk onderdeel van uw beveiligingspostuur is.An Azure AD tenant provides identity and access management, which is an important part of your security posture. Een Azure AD-tenant zorgt ervoor dat geverifieerde en gemachtigde gebruikers alleen toegang hebben tot de resources waarvoor ze toegangsmachtigingen hebben.An Azure AD tenant ensures that authenticated and authorized users have access to only the resources for which they have access permissions. Azure AD biedt deze services voor toepassingen en services die zijn geïmplementeerd in Azure en ook voor services en toepassingen die zijn geïmplementeerd buiten Azure (bijvoorbeeld on-premises of in de cloud van externe providers).Azure AD provides these services to applications and services deployed in Azure and also to services and applications deployed outside of Azure (such as on-premises or third-party cloud providers).

Azure AD wordt ook gebruikt door SaaS-toepassingen (Software as a Service) zoals Microsoft 365 en Azure Marketplace.Azure AD is also used by software as a service applications such as Microsoft 365 and Azure Marketplace. Organisaties die al gebruikmaken van on-premises Active Directory, kunnen hun bestaande infrastructuur gebruiken en de verificatie uitbreiden naar de cloud door te integreren met Azure AD.Organizations already using on-premises Active Directory can use their existing infrastructure and extend authentication to the cloud by integrating with Azure AD. Elke Azure AD-map heeft een of meer domeinen.Each Azure AD directory has one or more domains. Aan een map kunnen veel abonnementen zijn gekoppeld, maar slechts één Azure AD-tenant.A directory can have many subscriptions associated with it but only one Azure AD tenant.

Stel basisvragen over de beveiliging tijdens de ontwerpfase van Azure AD, zoals hoe uw organisatie referenties beheert en hoe toegang door gebruikers en vanuit toepassingen en programma's is geregeld.Ask basic security questions during the Azure AD design phase, such as how your organization manages credentials and how it controls human, application, and programmatic access.

Ontwerp overwegingen:Design considerations:

  • In dezelfde inschrijving kunnen meerdere Azure AD-tenants functioneren.Multiple Azure AD tenants can function in the same enrollment.

Ontwerp aanbevelingen:Design recommendations:

  • Gebruik Azure AD naadloze eenmalige aanmelding op basis van de geselecteerde plannings topologie.Use Azure AD seamless single sign-on based on the selected planning topology.
  • Als uw organisatie geen identiteitsinfrastructuur heeft, begint u met het implementeren van een identiteitsimplementatie van alleen Azure AD.If your organization doesn't have an identity infrastructure, start by implementing an Azure-AD-only identity deployment. Een dergelijke implementatie met Azure AD Domain Services en Microsoft Enterprise Mobility + Security biedt end-to-end beveiliging voor SaaS-toepassingen, bedrijfs toepassingen en apparaten.Such deployment with Azure AD Domain Services and Microsoft Enterprise Mobility + Security provides end-to-end protection for SaaS applications, enterprise applications, and devices.
  • Meervoudige verificatie biedt een aanvullende beveiligingslaag en een tweede verificatiebarrière.Multi-factor authentication provides another layer of security and a second barrier of authentication. Dwing multi-factor Authentication en beleid voor voorwaardelijke toegang af voor alle bevoegde accounts voor een betere beveiliging.Enforce multi-factor authentication and conditional access policies for all privileged accounts for greater security.
  • Plannen en implementeren voor nood toegang of afbreek glazen om te voor komen dat accounts voor tenants worden vergrendeld.Plan and implement for emergency access or break-glass accounts to prevent tenant-wide account lockout.
  • Gebruik Azure AD privileged Identity Management voor identiteits-en toegangs beheer.Use Azure AD Privileged Identity Management for identity and access management.
  • Als ontwikkelen/testen en productie geïsoleerde omgevingen worden vanuit identiteitsperspectief, moet u deze op tenantniveau scheiden via meerdere tenants.If dev/test and production are going to be isolated environments from an identity perspective, separate them at a tenant level via multiple tenants.
  • Vermijd het maken van een nieuwe Azure AD-tenant tenzij er op het gebied van identiteits- en toegangsbeheer een goede reden voor is en de processen al aanwezig zijn.Avoid creating a new Azure AD tenant unless there's a strong identity and access management justification and processes are already in place.