Hantera Azure Enterprise-avtalsroller
Kommentar
Företagsadministratörer har behörighet att skapa nya prenumerationer under aktiva registreringskonton. Mer information om hur du skapar nya prenumerationer finns i Lägga till en ny prenumeration.
Azure-kunder med ett Enterprise-avtal kan tilldela sex olika administratörsroller för att hantera organisationens användning och utgifter:
- Företagsadministratör
- Företagsadministratör (skrivskyddad)¹
- EA-inköpare
- Avdelningsadministratör
- Avdelningsadministratör (skrivskyddad)
- Kontoägare²
¹ Faktureringskontakten för EA-kontraktet är under denna roll.
² Faktureringskontakten kan inte läggas till eller ändras i Azure-portalen. Den läggs till i EA-registreringen baserat på den användare som har konfigurerats som faktureringskontakt på avtalsnivå. Om du vill ändra faktureringskontakten måste en begäran göras via en partner eller programvarurådgivare till det regionala driftcentret (ROC, Regional Operations Center).
Den första registreringsadministratören som konfigureras under registreringsetableringen bestämmer autentiseringstypen för kontot för faktureringskontakt. När faktureringskontakten läggs till i Azure-portalen som skrivskyddad administratör får de Microsoft-kontoautentisering.
Om till exempel den första autentiseringstypen är inställd på Mixed läggs EA till som ett Microsoft-konto och faktureringskontakten har skrivskyddade EA-administratörsbehörigheter. Om EA-administratören inte godkänner Microsoft-kontoauktorisering för en befintlig faktureringskontakt kan EA-administratören ta bort användaren i fråga. Sedan kan de be kunden att lägga till användaren igen som skrivskyddad administratör med ett arbets- eller skolkonto som endast anges på registreringsnivå i Azure-portalen.
De här rollerna gäller särskilt för hantering av Azure Enterprise-avtal och används utöver de fördefinierade roller som används till att styra åtkomsten till resurser i Azure. Mer information finns i Inbyggda roller i Azure.
Azure-portalen för Kostnadshantering och fakturering
Azure Portal-hierarkin för Cost Management består av:
Azure-portalen för Cost Management – en onlinehanteringsportal som hjälper dig att hantera kostnader för dina Azure EA-tjänster. Du kan utföra följande uppgifter.
- Skapa en Azure EA-hierarki med avdelningar, konton och prenumerationer.
- Stämma av kostnaderna för dina förbrukade tjänster, ladda ned användningsrapporter och visa prislistor.
- Skapa API-nycklar för din registrering.
Avdelningar hjälper dig att segmentera kostnader i logiska grupperingar. Med avdelningar kan du ange en budget eller kvot på avdelningsnivå.
Konton är organisationsenheter i Azure-portalen för Cost Management. Du kan använda konton för att hantera prenumerationer och komma åt rapporter.
Prenumerationer är den minsta enheten i Azure-portalen för Cost Management. De är containrar för Azure-tjänster som hanteras av rollen Kontoägare, även kallat prenumerationens tjänstadministratör.
Följande diagram illustrerar enkla Azure EA-hierarkier.
Roller för företagsanvändare
Följande administrativa användarroller ingår i din företagsregistrering:
- Företagsadministratör
- EA-inköpare
- Avdelningsadministratör
- Kontoägare
- Tjänstadministratör
- Meddelandekontakt
Använd Cost Management i Azure-portalen så att du kan hantera Azure-företagsavtal roller.
EA-direktkunder kan utföra alla administrativa uppgifter i Azure-portalen. Du kan använda Azure-portalen för att hantera fakturering, kostnader och Azure-tjänster.
Användarroller är associerade med ett användarkonto. För att verifiera användarens äkthet måste varje användare ha ett giltigt arbets-, skol- eller Microsoft-konto. Se till att varje konto är associerat med en e-postadress för att aktivt övervaka det. Registreringsmeddelanden skickas till e-postadressen.
Kommentar
Rollen Kontoägare tilldelas ofta till ett tjänstkonto som inte har ett aktivt övervakat e-postmeddelande.
När du konfigurerar användare kan du ge flera konton rollen som företagsadministratör. En registrering kan ha flera kontoägare, till exempel en per avdelning. Du kan även tilldela både rollen företagsadministratör och kontoinnehavare till ett och samma konto.
Företagsadministratör
Användare med den här rollen har den högsta åtkomstnivån till registreringen. De kan:
- Hantera konton och kontoinnehavare.
- Hantera andra företagsadministratörer.
- Hantera avdelningsadministratörer.
- Hantera meddelandekontakter.
- Köp Azure-tjänster, inklusive reservationer/sparplaner.
- Visa användning för alla konton.
- Visa odebiterade avgifter för alla konton.
- Skapa nya prenumerationer under aktiva registreringskonton.
- Visa och hantera alla reservations-/sparplansbeställningar och reservationer/sparplaner som gäller för företagsavtal.
- Företagsadministratör (skrivskyddad) kan visa reservationer/sparplansbeställningar och reservationer/sparplaner. De kan inte hantera dem.
Du kan ha flera företagsadministratörer i en företagsregistrering. Du kan bevilja skrivskyddad åtkomst till företagsadministratörer.
EA-administratörsrollen ärver automatiskt all åtkomst och behörighet för avdelningsadministratörsrollen. Därför behöver du inte ge en EA-administratör rollen som avdelningsadministratör manuellt.
Företagsadministratörsrollen kan tilldelas flera konton.
EA-inköpare
Användare med den här rollen har behörighet att köpa Azure-tjänster, men får inte hantera konton. De kan:
- Köp Azure-tjänster, inklusive reservationer/sparplaner.
- Visa användning för alla konton.
- Visa odebiterade avgifter för alla konton.
- Visa och hantera alla reservations-/sparplansbeställningar och reservationer/sparplaner som gäller för företagsavtal.
EA-inköparrollen är för närvarande endast aktiverad för SPN-baserad åtkomst. Information om hur du tilldelar rollen till ett tjänsthuvudnamn finns i Tilldela roller till tjänsthuvudnamn för Azure Enterprise-avtal.
Avdelningsadministratör
Användare med den här rollen kan:
- Skapa och hantera avdelningar.
- Skapa nya kontoinnehavare.
- Visa användningsinformation för de avdelningar som de hanterar.
- Visa kostnader om de har nödvändig behörighet.
Du kan ha flera avdelningsadministratörer för varje företagsregistrering.
Du kan bevilja avdelningsadministratörer skrivskyddad åtkomst när du redigerar eller skapar en ny avdelningsadministratör. Ange alternativet för skrivskydd till Ja.
Kontoägare
Användare med den här rollen kan:
- Skapa och hantera prenumerationer.
- Hantera tjänstadministratörer.
- Visa användning för prenumerationer.
För varje konto krävs ett unikt arbets-, skol- eller Microsoft-konto. Mer information om administrativa roller i Azure-portalen finns i Förstå administrativa roller för Azure företagsavtal i Azure.
Det kan bara finnas en kontoägare per konto. Det kan dock finnas flera konton i en EA-registrering. Varje konto har en unik kontoägare.
För olika Microsoft Entra-konton kan det ta mer än 30 minuter innan behörighetsinställningarna börjar gälla.
Tjänstadministratör
Rollen tjänstadministratör har behörighet att hantera tjänster i Azure-portalen och tilldela användare till rollen som medadministratör.
Meddelandekontakt
Meddelandekontakten får aviseringar om användning som gäller registreringen.
I följande avsnitt beskrivs begränsningarna och funktionerna för varje roll.
Användargräns för administratörsroller
| Roll | Användargräns |
|---|---|
| Företagsadministratör | Obegränsat |
| Företagsadministratör (skrivskyddad) | Obegränsat |
| EA-inköpare tilldelad till ett tjänsthuvudnamn (SPN) | Obegränsat |
| Avdelningsadministratör | Obegränsat |
| Avdelningsadministratör (skrivskyddad) | Obegränsat |
| Kontoägare | 1 per konto³ |
³ Varje konto kräver ett unikt Microsoft-konto, ett arbets- eller skolkonto.
Organisationsstruktur och behörigheter per roll
| Aktiviteter | Företagsadministratör | Företagsadministratör (skrivskyddad) | EA-inköpare | Avdelningsadministratör | Avdelningsadministratör (skrivskyddad) | Kontoägare | Partner |
|---|---|---|---|---|---|---|---|
| Visa företagsadministratörer | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Lägga till eller ta bort företagsadministratörer | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Visa meddelandekontakter⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Lägga till eller ta bort meddelandekontakter⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Skapa och hantera avdelningar | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Visa avdelningsadministratörer | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| Lägga till eller ta bort avdelningsadministratörer | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
| Visa konton i registreringen | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
| Lägga till konton i registreringen och ändra kontoägare | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
| Köpa reservationer/sparplaner | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
| Skapa och hantera prenumerationer och prenumerationsbehörigheter | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ Meddelandekontakter skickas e-postkommunikation om Azure företagsavtal.
- ⁵ Uppgiften är begränsad till konton på din avdelning.
- ⁶ En prenumerationsägare, reservationsköpare eller köpare av sparplan kan köpa och hantera reservationer och sparplaner inom prenumerationen, och endast om det tillåts av flaggorna för köp av reservations-/sparplan. Företagsadministratörer kan köpa och hantera reservationer och sparplaner på faktureringskontot. Företagsadministratörer (skrivskyddade) kan visa alla köpta reservationer och sparplaner. Flaggorna för köp av reservation/sparplan påverkar inte EA-administratörsrollerna. Företagsadministratörsrollinnehavaren (skrivskyddad) får inte göra inköp. Men om en användare med den rollen även har behörighet som prenumerationsägare, reservationsköpare eller sparplansköpare kan användaren köpa reservationer och/eller sparplaner, oavsett flaggor.
Lägga till en ny företagsadministratör
Företagsadministratörer har fullständig behörighet i hanteringen av en Azure EA-registrering. Den första Azure EA-administratören skapades när EA-avtalet tecknades. Du kan dock när som helst lägga till och ta bort administratörer. Befintliga administratörer skapar nya administratörer. Mer information om hur du lägger till fler företagsadministratörer finns i Skapa en annan företagsadministratör på Azure-portalen. Mer information om roller och uppgifter för faktureringsprofiler finns i Roller och uppgifter för faktureringsprofiler.
Uppdatera kontoinnehavares status från väntande till aktiv
När nya kontoinnehavare först läggs till i en Azure EA-registrering är deras status väntande. När en ny kontoinnehavare får sitt aktiveringsmail kan kontoinnehavaren logga in och aktivera sitt konto.
Kommentar
Om kontoägaren är ett tjänstkonto och inte har ett e-postmeddelande använder du en privat session för att logga in på Azure-portalen och navigera till Cost Management för att uppmanas att acceptera e-postmeddelandet om aktiveringshälsningen.
När kontoinnehavaren aktiverar sitt konto uppdateras kontostatusen från väntande till aktiv. Kontoägaren måste läsa meddelandet Warning och välja Fortsätt. Nya användare kan uppmanas att ange sitt för- och efternamn och skapa ett handelskonto. I så fall måste personen ange den nödvändiga informationen innan kontot aktiveras.
Kommentar
En prenumeration är associerad med ett och endast ett konto. Varningsmeddelandet innehåller information som varnar kontoinnehavaren om att om du accepterar erbjudandet flyttas de prenumerationer som är associerade med kontot till den nya registreringen.
Lägga till en avdelningsadministratör
När en Azure EA-administratör skapar en avdelning så kan Azure-företagsadministratören lägga till avdelningsadministratörer och koppla dem till en avdelning. En avdelningsadministratör kan skapa nya konton. Nya konton behövs till att skapa Azure EA-prenumerationer.
Direkta EA-administratörer kan lägga till avdelningsadministratörer i Azure Portal. Mer information finns i Skapa en Azure EA-avdelningsadministratör.
Åtkomst till användning och kostnader per roll
| Aktiviteter | Företagsadministratör | Företagsadministratör (skrivskyddad) | EA-inköpare | Avdelningsadministratör | Avdelningsadministratör (skrivskyddad) | Kontoägare | Partner |
|---|---|---|---|---|---|---|---|
| Visa kreditsaldo inklusive Azure-förskottsbetalning | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Visa avdelningens utgiftskvot | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Ange avdelningens utgiftskvot | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Visa organisationens EA-prisdokument | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Visa information om användning och kostnader | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Hantera resurser i Azure-portalen | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Kräver att företagsadministratören aktiverar principen för DA-visning av avgifter i Azure-portalen. Avdelningsadministratören kan sedan se kostnadsinformation för avdelningen.
- ⁸ Kräver att företagsadministratören aktiverar principen för AO-visning av avgifter i Azure-portalen. Kontoägaren kan sedan se kostnadsinformation för kontot.
Visa prissättning för olika användarroller
Du kan se olika priser i Azure-portalen beroende på din administrativa roll och hur företagsadministratören anger principerna för visningsavgifter. Du kan aktivera rollen Avdelningsadministratör och Kontoägare för att se avgifterna genom att begränsa åtkomsten till faktureringsinformation.
Information om hur du ställer in dessa policyer finns i Hantera åtkomst till faktureringsinformation för Azure.
I följande tabell visas relationen mellan:
- företagsavtal administratörsroller
- Visa debiteringsprincip
- Azure-roll i Azure-portalen
- Priser som visas i Azure-portalen
Företagsadministratören ser alltid användningsinformation baserat på organisationens EA-prissättning. Avdelningsadministratörer och kontoägare ser däremot olika priser baserat på policyn för visning av avgifter och den tilldelade Azure-rollen. Rollen som Avdelningsadministratör i följande tabell avser både rollen Avdelningsadministratör och Avdelningsadministratör (skrivskyddad).
| Administratörsroll för Enterprise-avtal | Princip om visning av avgifter för rollen | Azure-roll | Prisvisning |
|---|---|---|---|
| Kontoägare ELLER Avdelningsadministratör | ✔ Aktiverad | Ägare | Organisationens EA-prissättning |
| Kontoägare ELLER Avdelningsadministratör | ✘ Inaktiverad | Ägare | Inga priser |
| Kontoägare ELLER Avdelningsadministratör | ✔ Aktiverad | ingen | Inga priser |
| Kontoägare ELLER Avdelningsadministratör | ✘ Inaktiverad | ingen | Inga priser |
| Ingen | Inte tillämpligt | Ägare | Inga priser |
Du anger administratörsrollen Enterprise och visar debiteringsprinciper i Azure-portalen. Rollen Rollbaserad åtkomstkontroll i Azure (RBAC) kan uppdateras med information i Tilldela Azure-roller med hjälp av Azure-portalen.