Управление ролями для Соглашений Enterprise в Azure
Примечание.
Администраторы предприятия имеют разрешения на создание новых подписок в активных учетных записях регистрации. Дополнительные сведения о создании новых подписок см. в статье "Добавление новой подписки".
Чтобы лучше контролировать потребление ресурсов и расходы в организации, клиенты Azure с Соглашением Enterprise могут назначить шесть разных административных ролей.
- Администратор предприятия
- Корпоративный Администратор istrator (только для чтения)¹
- Покупатель EA
- Администратор отдела
- Администратор отдела (только для чтения)
- Владелец учетной записи
¹ Контакт с выставлением счетов за контракт EA находится под этой ролью.
Fx Контакт "Выставление счетов к" не может быть добавлен или изменен в портал Azure. Он добавляется в регистрацию EA на основе пользователя, настроенного в качестве контакта с выставлением счетов на уровне соглашения. Чтобы изменить контакт, которому будет выставлен счет, необходимо выполнить запрос через партнера или консультанта по программному обеспечению в Региональный операционный центр (ROC).
Первый администратор регистрации, который был настроен при подготовке регистрации, определяет тип аутентификации для учетной записи контакта, которому будет выставлен счет. Когда контакт с выставлением счетов добавляется в портал Azure в качестве администратора только для чтения, они получают проверку подлинности учетной записи Майкрософт.
Например, если для исходного типа проверки подлинности задано значение Mixed, EA добавляется в качестве учетной записи Майкрософт, а контакт "Выставление счетов" имеет права администратора EA только для чтения. Если администратор EA не утвердит авторизацию учетной записи Майкрософт для существующего контакта с выставлением счетов, администратор EA может удалить пользователя, на который имеется вопрос. Затем он может попросить клиента добавить пользователя обратно в качестве администратора только для чтения с рабочей или учебной учетной записью, установленной только на уровне регистрации в портал Azure.
Эти роли относятся именно к управлению соглашениями Azure Enterprise и являются дополнением к встроенным ролям Azure, которые используются для управления доступом к ресурсам. Дополнительные сведения см. в статье Встроенные роли Azure.
портал Azure для управления затратами и выставления счетов
Иерархия портал Azure для управления затратами состоит из следующих элементов:
портал Azure для управления затратами — веб-портал управления, который помогает управлять затратами на службы Azure EA. Вы можете выполнить следующие задачи.
- создать иерархию Azure EA, назначив отделы, учетные записи и подписки;
- выверять затраты на использование служб, скачивать отчеты об использовании и просматривать прайс-листы.
- создавать ключи API для регистрации.
Отделы — помогают сегментировать затраты на логические группирования. Отделы позволяют задать бюджет или квоту на уровне отдела.
Учетные записи — это подразделения в портал Azure для управления затратами. Их можно использовать для управления подписками и доступа к отчетам.
Подписки — это наименьшая единица в портал Azure для управления затратами. Они являются контейнерами для служб Azure, управляемых ролью владельца учетной записи, также известной как администратор службы подписки.
На схеме ниже представлены простые варианты иерархий Azure EA.
Роли корпоративных пользователей
Следующие роли пользователей с правами администратора входят в ваше Соглашение о регистрации Enterprise.
- Администратор предприятия
- Покупатель EA
- Администратор отдела
- Владелец учетной записи
- Администратор службы
- Контактное лицо для уведомлений
Используйте управление затратами в портал Azure, чтобы управлять ролями Azure Соглашение Enterprise.
Клиенты с прямым соглашением EA могут выполнять все задачи администрирования на портале Azure. Вы можете использовать портал Azure для управления выставлением счетов, затратами и службами Azure.
Роли пользователей связываются с учетной записью пользователя. Для проверки подлинности каждый пользователь должен иметь действительную рабочую, учебную учетную запись или учетную запись Майкрософт. Убедитесь, что каждая учетная запись связана с адресом электронной почты для активного мониторинга. Уведомления о регистрации отправляются по адресу электронной почты.
Примечание.
Роль владельца учетной записи часто назначается учетной записи службы, которая не имеет активно отслеживаемой электронной почты.
При настройке пользователей вы можете назначить роль администратора предприятия нескольким учетным записям. В регистрации может быть несколько владельцев учетных записей, например по одной для каждого отдела. Кроме того, роли администратора предприятия и владельца учетной записи можно назначить одной учетной записи.
Администратор предприятия
Пользователи с этой ролью имеют самый высокий уровень доступа к регистрации. Они могут выполнять следующие действия:
- управлять учетными записями и их владельцами;
- управлять другими администраторами предприятия;
- управлять администраторами подразделений;
- управлять контактными данными для отправки уведомлений;
- Приобретение служб Azure, включая планы резервирования и экономии.
- просматривать сведения об использовании во всех учетных записях;
- просматривать неоплачиваемые расходы для всех учетных записей.
- Создайте новые подписки под активными учетными записями регистрации.
- Просматривайте и управляйте всеми заказами и планами сберегательного плана резервирования и резервирования, которые применяются к Соглашение Enterprise.
- Администратор предприятия (только для чтения) может просматривать заказы на резервирование, экономию и резервирования и планы экономии. но не управлять ими.
Корпоративное соглашение о регистрации может включать нескольких администраторов предприятия. Вы можете предоставить администраторам предприятия доступ только на чтение.
Роль администратора по соглашению Enterprise автоматически наследует все права доступа и привилегии роли администратора отдела. Поэтому нет необходимости вручную назначать администратору по соглашению Enterprise роль администратора отдела.
Роль администратора предприятия может быть назначена нескольким учетным записям.
Покупатель EA
Пользователи с этой ролью имеют разрешения на покупку служб Azure, но не могут управлять учетными записями. Они могут выполнять следующие действия:
- Приобретение служб Azure, включая планы резервирования и экономии.
- просматривать сведения об использовании во всех учетных записях;
- просматривать неоплачиваемые расходы для всех учетных записей.
- Просматривайте и управляйте всеми заказами и планами сберегательного плана резервирования и резервирования, которые применяются к Соглашение Enterprise.
В настоящее время роль покупателя EA включена только для доступа на основе имени участника-службы. Сведения о назначении роли имени субъекта-службы см. в статье Назначение ролей именам субъектов-служб Соглашения Enterprise Azure.
Администратор отдела
Пользователи с этой ролью могут:
- создавать отделы и управлять ими;
- создавать учетные записи;
- просматривать сведения об использовании для отделов, которыми они управляют;
- просматривать затраты, если предоставлены необходимые разрешения.
Корпоративное соглашение о регистрации может включать нескольких администраторов отделов.
Вы можете предоставить администраторам отделов доступ только для чтения при изменении или создании администратора отдела. Для параметра "Только для чтения" выберите значение Да.
Владелец учетной записи
Пользователи с этой ролью могут:
- создавать подписки и управлять ими;
- управлять администраторами служб;
- просматривать сведения об использовании для подписок.
Каждая учетная запись должна иметь уникальную учетную запись Майкрософт, рабочую или учебную учетную запись. Дополнительные сведения о портал Azure административных ролях см. в статье "Общие сведения о Соглашение Enterprise административных ролях Azure" в Azure.
Для каждой учетной записи может быть только один владелец данной учетной записи. Однако в регистрации EA может быть несколько учетных записей. Каждая учетная запись имеет уникального владельца учетной записи.
Для различных учетных записей Microsoft Entra вступление в силу настроек разрешений может занять более 30 минут.
Администратор службы
Администратор службы получает разрешения управлять службами на портале Azure и назначать роль соадминистратора другим пользователям.
Контактное лицо для уведомлений
Контакт для уведомлений получает уведомления об использовании, связанные с регистрацией.
В следующих разделах описаны ограничениях и возможностях каждой роли.
Лимит пользователей для ролей администраторов
| Роль | Предельное число пользователей |
|---|---|
| Администратор предприятия | Не ограничено |
| Администратор предприятия (только для чтения) | Не ограничено |
| Покупатель EA, назначенный имени субъекта-службы (SPN) | Не ограничено |
| Администратор отдела | Не ограничено |
| Администратор отдела (только для чтения) | Не ограничено |
| Владелец учетной записи | 1 на учетную запись |
Для каждой учетной записи требуется уникальная учетная запись Майкрософт или рабочая или учебная учетная запись.
Организационная структура и разрешения для каждой роли
| Задания | Администратор предприятия | Администратор предприятия (только для чтения) | Покупатель EA | Администратор отдела | Администратор отдела (только для чтения) | Владелец учетной записи | Партнер |
|---|---|---|---|---|---|---|---|
| Просмотр администраторов предприятия | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Добавление и удаление администраторов предприятия | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Просмотр контактов уведомлений⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Добавление или удаление контактов уведомлений⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Создание отделов и управление ими | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Просмотр администраторов отдела | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| Добавление и удаление администраторам отдела | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
| Просмотр учетных записей в регистрации | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
| Добавление учетных записей в регистрацию, изменение владельца учетной записи | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
| Приобретение резервирований и сберегательных планов | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
| Создание подписок и разрешений для подписок, управление ими | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ Контакты с уведомлениями отправляются по электронной почте о Соглашение Enterprise Azure.
- Задача ⁵ ограничена учетными записями в вашем отделе.
- ⁶ Владелец подписки, покупатель резервирования или покупатель сберегательных планов может приобрести резервирования и сберегательные планы в рамках подписки, а также только в том случае, если это разрешено флагами покупки плана резервирования или экономии. Администраторы предприятия могут приобретать резервирования и планы экономии в учетной записи выставления счетов и управлять ими. Администраторы предприятия (только для чтения) могут просматривать все приобретенные резервирования и планы экономии. Флаги плана приобретения резервирования и экономии не влияют на роли администратора EA. Держатель роли "Только для чтения" (только для чтения) корпоративный Администратор не разрешено совершать покупки. Однако если пользователь с этой ролью также содержит разрешение владельца подписки, покупателя резервирования или разрешения покупателя сберегательных планов, пользователь может приобрести резервирования и (или) сберегательные планы независимо от флагов.
Добавление администратора предприятия
Администраторы предприятия имеют наибольшие права для управления Соглашением о регистрации Azure EA. Первоначальный администратор Azure EA создается при настройке Соглашения Enterprise. Но вы в любое время можете добавить новых администраторов или удалить их. Существующие администраторы создают новых администраторов. Дополнительные сведения о добавлении дополнительных администраторов предприятия см. в статье "Создание другого корпоративного администратора на портал Azure". Дополнительные сведения о ролях и задачах для выставления счетов см. в разделе о ролях и задачах профиля выставления счетов.
Изменение состояния владельца учетной записи с "Ожидание" на "Активно"
Когда в Соглашение о регистрации Azure EA добавляются владельцы учетных записей, им присваивается состояние Ожидание. Когда новый владелец учетной записи получает сообщение электронной почты с приглашением для активации, он может войти в систему и активировать учетную запись.
Примечание.
Если владелец учетной записи является учетной записью службы и не имеет сообщения электронной почты, используйте закрытый сеанс для входа в портал Azure и перейдите к запросу "Управление затратами", чтобы принять приветственное письмо активации.
При активации учетной записи ее состояние изменяется с В ожидании на Активно. Владелец учетной Warning записи должен прочитать сообщение и нажать кнопку "Продолжить". Новые пользователи могут получить запрос на ввод имени и фамилии для создания коммерческой учетной записи. В этом случае учетная запись будет активирована только после ввода требуемой информации.
Примечание.
Подписка связана с одной и только одной учетной записью. Предупреждающее сообщение содержит сведения, оповещающие владельца учетной записи о том, что при принятии предложения подписки, связанные с учетной записью, будут перемещены в новую регистрацию.
Добавление администратора отдела
Когда администратор Azure EA завершит создание отдела, администратор предприятия Azure может добавить администраторов отдела и связать их с отделом. Администратор подразделения может создавать новые учетные записи. Новые учетные записи нужны для создания подписок Azure EA.
Администраторы по прямому соглашению EA могут добавлять администраторов отдела на портале Azure. Дополнительные сведения см. в статье Создание администратора отдела EA Azure.
Доступ к потреблению и затратам для каждой роли
| Задания | Администратор предприятия | Администратор предприятия (только для чтения) | Покупатель EA | Администратор отдела | Администратор отдела (только для чтения) | Владелец учетной записи | Партнер |
|---|---|---|---|---|---|---|---|
| Просмотр остатка на счете, в том числе по предоплате Azure | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Просмотр квоты расходов для отдела | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Настройка квоты расходов для отдела | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Просмотр прайс-листа по соглашению Enterprise для организации | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Просмотр сведений о потреблении и затратах | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Управление ресурсами на портале Azure | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Требует, чтобы корпоративный Администратор istrator включает политику сборов da view в портал Azure. После этого администратор отдела сможет просматривать сведения о затратах для отдела.
- ⁸ Требует, чтобы корпоративный Администратор istrator включает политику оплаты AO в портал Azure. После этого владелец учетной записи сможет просматривать сведения о затратах для учетной записи.
См. цены для разных ролей пользователей
В портал Azure могут отображаться разные цены в зависимости от административной роли и того, как корпоративный Администратор istrator задает политики расходов на просмотр. Включение ролей администратора отдела и владельца учетной записи для просмотра расходов можно ограничить путем ограничения доступа к данным для выставления счетов.
Сведения о настройке этих политик см. в этой статье.
В следующей таблице показана связь между:
- роли администратора Соглашение Enterprise
- Просмотр политики расходов
- Роль Azure в портал Azure
- Цены, которые отображаются в портал Azure
Администратор предприятия всегда видит сведения о потреблении по ценам, установленным в соглашении Enterprise для организации. Но для администратора отдела и владельца учетной записи будут отображаться другие цены. Они зависят от настроенной политики просмотра затрат и присвоенных ролей Azure. В следующей таблице роль администратора отдела объединяет роли администратора отдела и администратора отдела (только для чтения).
| Административная роль для Соглашения Enterprise | Политика просмотра расходов для роли | Роль Azure | Представление цен |
|---|---|---|---|
| Владелец учетной записи или администратор отдела | ✔ Включено | Владелец | Цены по Соглашению Enterprise для организации |
| Владелец учетной записи или администратор отдела | ✘ Отключено | Владелец | Нет данных о ценах |
| Владелец учетной записи или администратор отдела | ✔ Включено | none | Нет данных о ценах |
| Владелец учетной записи или администратор отдела | ✘ Отключено | none | Нет данных о ценах |
| None | Неприменимо | Владелец | Нет данных о ценах |
Вы устанавливаете роль администратора Enterprise и просматриваете политики расходов в портал Azure. Роль управления доступом на основе ролей Azure (RBAC) можно обновить с информацией о назначении ролей Azure с помощью портал Azure.