Enterprise-avtalsregistrering och Azure Active Directory-klientorganisationerEnterprise Agreement enrollment and Azure Active Directory tenants

Planera för företags registreringPlan for enterprise enrollment

En Enterprise-avtalsregistrering (EA) representerar den kommersiella relationen mellan Microsoft och hur organisationen använder Azure.An Enterprise Agreement (EA) enrollment represents the commercial relationship between Microsoft and how your organization uses Azure. Den utgör grunden för fakturering av alla dina prenumerationer och påverkar administrationen av din digitala egendom.It provides the basis for billing across all your subscriptions and affects administration of your digital estate. Din EA-registrering hanteras via Azures EA-Portal.Your EA enrollment is managed via the Azure EA portal. En registrering representerar ofta en organisations hierarki, som innehåller avdelningar, konton och prenumerationer.An enrollment often represents an organization's hierarchy, which includes departments, accounts, and subscriptions. Den här hierarkin representerar kostnadsregistreringsgrupper i en organisation.This hierarchy represents cost-enrollment groups within an organization.

Diagram som visar Azure EA-hierarkier.

Bild 1: en Azure EA-registrerings-hierarki.Figure 1: An Azure EA enrollment hierarchy.

  • Avdelningar gör det lättare att segmentera kostnader i logiska grupperingar och ange en budget eller kvot på avdelningsnivå.Departments help to segment costs into logical groupings and to set a budget or quota at the department level. Kvoten tillämpas inte strikt och används i rapporteringssyfte.The quota isn't enforced firmly and is used for reporting purposes.
  • Konton är organisationsenheter i Azure EA-portalen.Accounts are organizational units in the Azure EA portal. De kan användas för att hantera prenumerationer och åtkomst rapporter.They can be used to manage subscriptions and access reports.
  • Prenumerationer är den minsta enheten i Azure EA-portalen.Subscriptions are the smallest unit in the Azure EA portal. De är behållare för Azure-tjänster som hanteras av tjänst administratören.They're containers for Azure services managed by the Service Administrator. De är där din organisation distribuerar Azure-tjänster.They're where your organization deploys Azure services.
  • EA-registreringsroller länkar användare till deras funktionella roll.EA enrollment roles link users with their functional role. Dessa roller är:These roles are:
    • FöretagsadministratörEnterprise Administrator
    • AvdelningsadministratörDepartment Administrator
    • KontoägareAccount Owner
    • TjänstadministratörService Administrator
    • MeddelandekontaktNotification Contact

Design överväganden:Design considerations:

  • Registreringen ger en hierarkisk organisationsstruktur för att styra hanteringen av prenumerationer.The enrollment provides a hierarchical organizational structure to govern the management of subscriptions.
  • Flera miljöer kan avgränsas på EA-kontonivå för stöd av holistisk isolering.Multiple environments can be separated at an EA-account level to support holistic isolation.
  • Flera administratörer kan tilldelas till en enskild registrering.There can be multiple administrators appointed to a single enrollment.
  • Varje prenumeration måste ha en tillhör ande konto ägare.Each subscription must have an associated Account Owner.
  • Varje konto ägare kommer att bli prenumerations ägare för alla prenumerationer som tillhandahålls under det kontot.Each Account Owner will be made a subscription owner for any subscriptions provisioned under that account.
  • En prenumeration kan bara tillhöra ett konto vid en bestämd tidpunkt.A subscription can belong to only one account at any given time.
  • En prenumeration kan inaktiveras baserat på en angiven uppsättning villkor.A subscription can be suspended based on a specified set of criteria.

Design rekommendationer:Design recommendations:

  • Använd bara autentiseringstypen Work or school account för alla konto typer.Only use the authentication type Work or school account for all account types. Undvik att använda Microsoft account (MSA) konto typen.Avoid using the Microsoft account (MSA) account type.
  • Ställ in e-postadressen för meddelande kontakten för att se till att meddelanden skickas till en lämplig grupp post låda.Set up the Notification Contact email address to ensure notifications are sent to an appropriate group mailbox.
  • Tilldela en budget till varje konto och skapa en avisering som är associerad med budgeten.Assign a budget for each account, and establish an alert associated with the budget.
  • En organisation kan ha flera olika strukturer, till exempel funktions-, avdelnings-, geografi-, matris- eller teamstruktur.An organization can have a variety of structures, such as functional, divisional, geographic, matrix, or team structure. Använd organisationsstruktur för att mappa din organisationsstruktur till din registreringshierarki.Use organizational structure to map your organization structure to your enrollment hierarchy.
  • Skapa en ny avdelning för IT om företagsdomäner har oberoende IT-funktioner.Create a new department for IT if business domains have independent IT capabilities.
  • Begränsa och minimera antalet konto ägare i registreringen för att undvika spridningen av administratörs åtkomsten till prenumerationer och associerade Azure-resurser.Restrict and minimize the number of account owners within the enrollment to avoid the proliferation of admin access to subscriptions and associated Azure resources.
  • Om flera Azure Active Directory (Azure AD)-klienter används, verifierar du att konto ägaren är associerad med samma klient organisation som prenumerationer för kontot.If multiple Azure Active Directory (Azure AD) tenants are used, verify that the Account Owner is associated with the same tenant as where subscriptions for the account are provisioned.
  • Konfigurera Enterprise Dev/Test och produktionsmiljöer på EA-kontonivå för stöd av holistisk isolering.Set up Enterprise Dev/Test and production environments at an EA account level to support holistic isolation.
  • Ignorera inte e-postmeddelanden som skickas till meddelandekontots e-postadress.Don't ignore notification emails sent to the notification account email address. Microsoft skickar viktig EA-omfattande kommunikation till det här kontot.Microsoft sends important EA-wide communications to this account.
  • Undvik att flytta eller byta namn på ett EA-konto i Azure AD.Don't move or rename an EA account in Azure AD.
  • Granska EA-portalen med jämna mellanrum för att granska vem som har åtkomst och Undvik att använda en Microsoft-konto där det är möjligt.Periodically audit the EA portal to review who has access and avoid using a Microsoft account where possible.

Definiera Azure AD-klienterDefine Azure AD tenants

En Azure AD-klientorganisation tillhandahåller identitets- och åtkomsthantering, som är en viktig del av din säkerhetsstatus.An Azure AD tenant provides identity and access management, which is an important part of your security posture. En Azure AD-klientorganisation säkerställer att autentiserade och behöriga användare endast har åtkomst till de resurser som de har behörigheter till.An Azure AD tenant ensures that authenticated and authorized users have access to only the resources for which they have access permissions. Azure AD tillhandahåller dessa tjänster till program och tjänster som distribueras i Azure och även till tjänster och program som distribueras utanför Azure (till exempel lokala eller externa molnleverantörer).Azure AD provides these services to applications and services deployed in Azure and also to services and applications deployed outside of Azure (such as on-premises or third-party cloud providers).

Azure AD används också av programvara som en tjänst-program, till exempel Microsoft 365 och Azure Marketplace.Azure AD is also used by software as a service applications such as Microsoft 365 and Azure Marketplace. Organisationer som redan använder lokal Active Directory kan använda sin befintliga infrastruktur och utöka autentiseringen till molnet genom att integrera med Azure AD.Organizations already using on-premises Active Directory can use their existing infrastructure and extend authentication to the cloud by integrating with Azure AD. Varje Azure AD-katalog har en eller flera domäner.Each Azure AD directory has one or more domains. En katalog kan ha många associerade prenumerationer, men bara en Azure AD-klientorganisation.A directory can have many subscriptions associated with it but only one Azure AD tenant.

Ställ grundläggande säkerhetsfrågor under Azure AD-designfasen, till exempel hur din organisation hanterar autentiseringsuppgifter och hur den styr mänsklig åtkomst, programåtkomst och programmatisk åtkomst.Ask basic security questions during the Azure AD design phase, such as how your organization manages credentials and how it controls human, application, and programmatic access.

Design överväganden:Design considerations:

  • Flera Azure AD-klientorganisationer kan fungera i samma registrering.Multiple Azure AD tenants can function in the same enrollment.

Design rekommendationer:Design recommendations:

  • Använd Azure AD sömlös enkel inloggning baserat på den valda planerings miljön.Use Azure AD seamless single sign-on based on the selected planning topology.
  • Om organisationen inte har någon identitetsinfrastruktur börjar du med att implementera en identitetsdistribution med endast Azure AD.If your organization doesn't have an identity infrastructure, start by implementing an Azure-AD-only identity deployment. Sådan distribution med Azure AD Domain Services och Microsoft Enterprise Mobility + Security ger skydd från slut punkt till slut punkt för SaaS-program, företags program och enheter.Such deployment with Azure AD Domain Services and Microsoft Enterprise Mobility + Security provides end-to-end protection for SaaS applications, enterprise applications, and devices.
  • Multifaktorautentisering ger ett till säkerhetslager och en andra autentiseringsbarriär.Multi-factor authentication provides another layer of security and a second barrier of authentication. Tillämpa Multi-Factor Authentication och principer för villkorlig åtkomst för alla privilegierade konton för högre säkerhet.Enforce multi-factor authentication and conditional access policies for all privileged accounts for greater security.
  • Planera och implementera för nöd åtkomst eller brytande glas konton för att förhindra konto utelåsning för hela klienten.Plan and implement for emergency access or break-glass accounts to prevent tenant-wide account lockout.
  • Använd Azure AD Privileged Identity Management för identitets-och åtkomst hantering.Use Azure AD Privileged Identity Management for identity and access management.
  • Om utveckling/testning och produktion kommer att vara isolerade miljöer utifrån ett identitetsperspektiv avgränsar du dem på klientorganisationsnivå via flera klientorganisationer.If dev/test and production are going to be isolated environments from an identity perspective, separate them at a tenant level via multiple tenants.
  • Undvik att skapa en ny Azure AD-klientorganisation om det inte finns en stark motivering avseende identitets- och åtkomsthantering och processer redan finns.Avoid creating a new Azure AD tenant unless there's a strong identity and access management justification and processes are already in place.