Como gerenciar funções do Contrato Enterprise do Azure
Observação
Os administradores corporativos têm permissões para criar novas assinaturas em contas de inscrição ativas. Para obter mais informações sobre como criar novas assinaturas, veja Adicionar uma nova assinatura.
Para ajudar a gerenciar o uso e os gastos da sua organização, os clientes do Azure com um Contrato Enterprise podem atribuir seis funções administrativas distintas:
- Administrador corporativo
- Administrador corporativo (somente leitura)¹
- Comprador do EA
- Administrador de departamento
- Administrador de departamento (somente leitura)
- Proprietário da conta²
¹ O contato de cobrança do contrato Enterprise estará sob essa função.
² O contato de cobrança não pode ser adicionado ou alterado no portal do Azure. Ele é adicionado ao registro do EA com base no usuário que está configurado como o contato de cobrança no nível do contrato. Para alterar o contato para cobrança, uma solicitação precisa ser feita por meio de um consultor de software/parceiro para o ROC (Centro de Operações Regional).
O primeiro administrador de registro que é configurado durante o provisionamento de registro determina o tipo de autenticação da conta de contato de cobrança. Quando o contato de cobrança é adicionado ao portal do Azure como um administrador somente leitura, ele recebe a autenticação da conta Microsoft.
Por exemplo, se o tipo de autenticação inicial for definido como Misto, o EA será adicionado como uma conta Microsoft e o contato de cobrança terá privilégios de administrador de EA somente leitura. Se o administrador do EA não aprovar a autorização da conta Microsoft para um contato de cobrança existente, o administrador do EA poderá excluir o usuário em questão. Em seguida, ele pode pedir ao cliente para adicionar o usuário de volta como um administrador somente leitura com uma conta corporativa ou de estudante definida somente no nível de registro no portal do Azure.
Essas funções são específicas para gerenciar os Contratos Enterprise do Azure e são complementares às funções internas que o Azure controla para acessar os recursos. Para obter mais informações, veja Funções internas do Azure.
Portal do Azure para Gerenciamento de Custos e Cobrança
A hierarquia de portal do Azure para Gerenciamento de Custos consiste em:
Portal do Microsoft Azure para Gerenciamento de Custos – um portal de gerenciamento online que ajuda você a gerenciar os custos dos serviços de EA do Azure. Em seguida, você pode realizar as seguintes tarefas.
- Criar uma hierarquia de EA do Azure com departamentos, contas e assinaturas.
- Reconciliar os custos de seus serviços consumidos, baixar relatórios de uso e exibir listas de preços.
- Criar chaves de API para seu registro.
Os departamentos ajudam a segmentar os custos em agrupamentos lógicos. Os departamentos permitem que você defina um orçamento ou uma cota no nível do departamento.
Contas são unidades organizacionais no portal do Azure para Gerenciamento de Custos. Você pode usar as contas para gerenciar assinaturas e acessar relatórios.
Assinaturas são a menor unidade do portal do Azure para Gerenciamento de Custos. São contêineres para serviços do Azure gerenciados pela função Proprietário da Conta, também conhecida como administrador de serviços da Assinatura.
O diagrama a seguir ilustra as hierarquias simples do EA do Azure.
Funções de usuário corporativo
As seguintes funções de usuário administrativas fazem parte do seu Registro Enterprise:
- Administrador corporativo
- Comprador do EA
- Administrador de departamento
- Proprietário da conta
- Administrador de serviço
- Contato de notificação
Use o Gerenciamento de Custos no portal do Azure para que você possa gerenciar funções do Contrato Enterprise do Azure.
Os clientes do EA direto podem concluir todas as tarefas administrativas no portal do Azure. Você pode usar o portal do Azure para gerenciar a cobrança, os custos e os serviços do Azure.
As funções de usuário são associadas a uma conta de usuário. Para validar a autenticidade do usuário, cada usuário deve ter uma conta Microsoft, corporativa ou de estudante válida. Verifique se cada conta está associada a um endereço de email para monitorá-la ativamente. As notificações de inscrição são enviadas para o endereço de email.
Observação
A função Proprietário da Conta geralmente é atribuída a uma conta de serviço que não tenha um email monitorado ativamente.
Ao configurar usuários, você pode atribuir várias contas à função Administrador corporativo. Uma inscrição pode ter vários proprietários de conta, por exemplo, um por departamento. Além disso, você pode atribuir as funções administrador corporativo e proprietário da conta a uma conta.
Administrador corporativo
Os usuários com essa função têm o nível mais alto de acesso à Inscrição. Eles podem:
- Gerenciar contas e proprietários da conta.
- Gerenciar outros administradores corporativos.
- Gerenciar administradores de departamento.
- Gerenciar contatos de notificação.
- Comprar serviços do Azure, incluindo reservas/planos de economia.
- Exibir o uso em todas as contas.
- Exibir encargos não cobrados em todas as contas.
- Crie novas assinaturas em contas de inscrição ativas.
- Exiba e gerencie todos os pedidos de reserva/plano de economia e reservas/planos de economia que se aplicam ao Contrato Enterprise.
- O administrador corporativo (somente leitura) pode exibir pedidos de reserva/plano de economia e reservas/planos de economia. Eles não podem gerenciá-los.
Você pode ter vários administradores corporativos em um Registro Enterprise. Você pode permitir acesso somente leitura a administradores corporativos.
A função de administrador do EA herda automaticamente todo o acesso e privilégio da função de administrador do departamento. Portanto, não é necessário dar manualmente a um administrador de EA a função de administrador do departamento.
A função de administrador corporativo pode ser atribuída a várias contas.
Comprador do EA
Os usuários com essa função têm permissões para comprar os serviços do Azure, mas não têm permissão para gerenciar contas. Eles podem:
- Comprar serviços do Azure, incluindo reservas/planos de economia.
- Exibir o uso em todas as contas.
- Exibir encargos não cobrados em todas as contas.
- Exiba e gerencie todos os pedidos de reserva/plano de economia e reservas/planos de economia que se aplicam ao Contrato Enterprise.
A função de comprador do EA atualmente está habilitada somente para acesso baseado em SPN. Para saber como atribuir a função a um nome da entidade de serviço, confira Atribuir funções aos nomes da entidade de serviço do Contrato Enterprise do Azure.
Administrador de departamento
Os usuários com essa função podem:
- Criar e gerenciar departamentos.
- Criar proprietários da conta.
- Exibir detalhes de uso dos departamentos que eles gerenciam.
- Exibir custos, se tiverem as permissões necessárias.
Você pode ter vários administradores de departamento para cada Registro Enterprise.
Você pode conceder acesso somente leitura aos administradores de departamento ao editar ou criar um administrador de departamento. Defina a opção somente leitura como Sim.
Proprietário da conta
Os usuários com essa função podem:
- Criar e gerenciar assinaturas.
- Gerenciar administradores de serviços.
- Exibir o uso de assinaturas.
Cada conta requer uma conta Microsoft, corporativa ou de estudante, exclusiva. Para obter mais informações sobre as funções administrativas do portal do Azure, confira Entendendo as funções administrativas do Contrato Enterprise no Azure.
Só é permitido apenas um proprietário da conta por conta. No entanto, pode haver várias contas em um registro de EA. Cada conta tem um proprietário de conta único.
Para contas do Microsoft Entra diferentes, pode levar mais de 30 minutos para que as configurações de permissão entrem em vigor.
Administrador de serviço
A função administrador de serviços tem permissões para gerenciar serviços no portal do Azure e atribuir usuários à função de coadministrador.
Contato de notificação
O contato de notificação pode receber notificações de uso relacionadas ao registro.
As seções a seguir descrevem as limitações e os recursos de cada função.
Limite de usuários para funções de administrador
| Função | Limite de usuários |
|---|---|
| Administrador corporativo | Ilimitado |
| Administrador da empresa (somente leitura) | Ilimitado |
| Comprador de EA atribuído a um SPN (nome da entidade de serviço) | Ilimitado |
| Administrador de departamento | Ilimitado |
| Administrador de departamento (somente leitura) | Ilimitado |
| Proprietário da conta | 1 por conta³ |
³ Cada conta exige uma conta Microsoft exclusiva ou uma conta corporativa ou de estudante.
Estrutura de organização e permissões por função
| Tarefas | Administrador corporativo | Administrador da empresa (somente leitura) | Comprador do EA | Administrador de departamento | Administrador de departamento (somente leitura) | Proprietário da conta | Partner (parceiro) |
|---|---|---|---|---|---|---|---|
| Exibir administradores de empresa | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Administradores da Empresa | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Ver contatos para notificação⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Adicionar ou remover contatos para notificação⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Criar e gerenciar os departamentos | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Administradores de departamento do modo de exibição | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| Adicionar ou remover administradores de departamento | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
| Exibir contas na inscrição | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
| Adicione contas para o registro e alterar o proprietário da conta | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
| Comprar reservas/planos de economia | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
| Criar e gerenciar assinaturas e permissões de assinatura | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ Os contatos para notificação recebem comunicações por email sobre o Contrato Enterprise do Azure.
- ⁵ A tarefa é limitada às contas do seu departamento.
- ⁶ Um proprietário da assinatura, comprador de reserva ou comprador de plano de economia pode comprar e gerenciar reservas e planos de economia dentro da assinatura e somente se permitido pelo sinalizador de compra de reserva/plano de economia habilitado. Os administradores do Enterprise podem comprar e gerenciar reservas e planos de economia em toda a conta de cobrança. Os administradores de Enterprise (somente leitura) podem exibir todas as reservas compradas e planos de economia. Os sinalizadores habilitados para compra de reserva/plano de economia não afetam as funções de administrador do EA. O titular da função Administrador de EA (somente leitura) não tem permissão para fazer compras. No entanto, se um usuário com essa função também tiver uma permissão de proprietário de assinatura, comprador de reserva ou comprador de plano de economia, o usuário poderá comprar reservas e/ou planos de economia, independentemente do sinalizador.
Adicionar um novo administrador corporativo
Os administradores corporativos têm mais privilégios ao gerenciar um registro de EA do Azure. O administrador inicial do EA do Azure foi criado quando o contrato de EA foi configurado. No entanto, você pode adicionar ou remover novos administradores a qualquer momento. Os administradores existentes criam novos administradores. Para obter mais informações sobre como adicionar outros administradores de EA, confira Criar outro administrador de Enterprise no portal do Azure. Para saber mais sobre funções e tarefas do perfil de cobrança, confira Funções e tarefas do perfil de cobrança.
Atualizar estado do proprietário da conta de pendente para ativo
Quando novos AOs (proprietários de conta) são adicionados a um registro de EA do Azure pela primeira vez, o status deles aparece como pendente. Quando um novo proprietário da conta receber o email de ativação de boas-vindas, ele poderá entrar para ativar a própria conta.
Observação
Se o Proprietário da Conta for uma conta de serviço e não tiver um email, use uma Sessão particular para fazer entrar no portal do Azure e navegue até Gerenciamento de Custos para ser solicitado a aceitar o email de boas-vindas de ativação.
Assim que ele ativa a própria conta, o status da conta é atualizado de pendente para ativo. O proprietário da conta precisa ler a mensagem Warning e selecionar Continuar. Pode ser solicitado de novos usuários que insiram o nome e sobrenome deles para criar uma Conta de comércio. Nesse caso, eles precisam adicionar as informações necessárias para continuar e, em seguida, a conta é ativada.
Observação
Uma assinatura está associada a apenas uma conta. A mensagem de aviso inclui detalhes que avisam o Proprietário da Conta de que aceitar a oferta moverá as assinaturas associadas à Conta para a nova Inscrição.
Adicionar um administrador de departamento
Depois que um administrador de EA cria um departamento, o administrador corporativo do Azure pode adicionar administradores de departamento e associar cada um deles a um departamento. Um administrador de departamento pode criar novas contas. Novas contas são necessárias para que as assinaturas de EA do Azure sejam criadas.
Os administradores de EA diretos podem adicionar administradores de departamento no portal do Azure. Para obter mais informações, consulte Criar um administrador do departamento de EA do Azure.
Acesso de uso e os custos por função
| Tarefas | Administrador corporativo | Administrador da empresa (somente leitura) | Comprador do EA | Administrador de departamento | Administrador de departamento (somente leitura) | Proprietário da conta | Partner (parceiro) |
|---|---|---|---|---|---|---|---|
| Ver o saldo de crédito, incluindo o pagamento antecipado do Azure | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Cotas de gastos do departamento de exibição | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Definir cotas de gastos do departamento | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Exibir a folha de preços EA da organização | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Exibir detalhes de uso e custo | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Gerenciar recursos no portal do Azure | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Exige que o administrador do Enterprise habilite a política de exibição de encargos do DA (Administrador de Departamento) no portal do Azure. O Administrador do Departamento pode, então, ver os detalhes do custo para o departamento.
- ⁸ Exige que o Administrador do Enterprise habilite a política de exibição de encargos do AO (Proprietário da Conta) no portal do Azure. O proprietário da conta pode ver detalhes do custo da conta.
Consulte os preços das diferentes funções de usuário
Você pode ver preços diferentes no portal do Azure, dependendo de sua função administrativa e de como as políticas de visualização de encargos são definidas pelo Administrador de EA. Habilitar funções de Administrador do departamento e Proprietário da conta para ver os encargos pode ser restringido por meio da restrição de acesso às informações de cobrança.
Para saber como definir essas políticas, consulte Gerenciar acesso às informações de faturamento do Azure.
A tabela a seguir mostra a relação entre:
- Funções de administrador do Contrato Enterprise
- Exibir política de encargos
- Função do Azure no portal do Azure
- Preços que você vê no portal do Azure
O administrador corporativo sempre vê detalhes de uso com base no preço do EA da organização. No entanto, o Administrador do Departamento e o Proprietário da Conta veem exibições de preços diferentes com base na política de cobranças de exibição e na função do Azure deles. A função Administrador de departamento listada na tabela a seguir refere-se às funções Admin de departamento e Admin de departamento (somente leitura).
| Função de administrador do Contrato Enterprise | Política de encargos de exibição para função | Função do Azure | Exibição de preço |
|---|---|---|---|
| Proprietário da conta ou administrador de departamento | ✔ Habilitado | Proprietário | Preços de EA da organização |
| Proprietário da conta ou administrador de departamento | ✘ Desabilitado | Proprietário | Não há preços |
| Proprietário da conta ou administrador de departamento | ✔ Habilitado | nenhum | Não há preços |
| Proprietário da conta ou administrador de departamento | ✘ Desabilitado | nenhum | Não há preços |
| Nenhum | Não aplicável | Proprietário | Não há preços |
Você define a função de administrador da Enterprise e exibe as políticas de encargos no portal do Azure. A função RBAC (controle de acesso baseado em função) do Azure pode ser atualizada com informações em Atribuir funções do Azure usando o portal do Azure.