Planen der Enterprise Agreement-Registrierung

Eine Enterprise Agreement-Registrierung stellt die geschäftliche Beziehung zwischen Microsoft und der Art und Weise dar, wie Ihre Organisation Azure verwendet. Sie ist die Abrechnungsgrundlage für Ihre Abonnements und die Art und Weise der Verwaltung Ihrer digitalen Infrastruktur. Das Blatt „Microsoft Cost Management“ im Azure-Portal hilft Ihnen bei der Verwaltung Ihrer Enterprise Agreement-Registrierung. Eine Registrierung bildet häufig die Hierarchie einer Organisation ab, einschließlich ihrer Abteilungen, Konten und Abonnements. Diese Hierarchie stellt Kostenerfassungsgruppen innerhalb einer Organisation dar.

Hinweis

Das Azure EA-Portal https://ea.azure.com wurde zum 15. Februar 2024 eingestellt. Ab jetzt sollen Kunden Ihre Registrierung wie nachfolgend beschrieben im Azure-Portal über das Blatt „Cost Management“ verwalten:

• Azure EA-Portalverwaltung
• Erste Schritte mit Ihrem Abrechnungskonto für Enterprise Agreement

• Abteilungen helfen dabei, Kosten in logische Gruppen aufzuteilen und anschließend auf Abteilungsebene ein Budget oder ein Kontingent festzulegen. Das Kontingent wird nicht strikt durchgesetzt, sondern dient der Berichtserstellung.

• Konten sind Organisationseinheiten, die im Azure-Portal unter dem Bereich „Cost Management“ angezeigt werden. Sie können zum Verwalten von Abonnements und das Zugreifen auf Berichte verwendet werden.

• Abonnements sind die kleinsten Einheiten im Azure-Portal. Dabei handelt es sich um Container für Azure-Dienste, die von Dienstadministrator*innen verwaltet werden. Hier stellt Ihre Organisation Azure-Dienste bereit.

• Enterprise Agreement-Registrierungsrollen ordnen Benutzer ihrer funktionalen Rolle zu. Die folgenden Rollen sind vorhanden:

  • Unternehmensadministrator
  • Abteilungsadministrator
  • Kontobesitzer
  • Dienstadministrator
  • Benachrichtigungskontakt

So bezieht sich eine Enterprise Agreement-Registrierung auf Microsoft Entra ID und Azure RBAC

Wenn Ihre Organisation eine Enterprise Agreement-Registrierung für Azure-Abonnements verwendet, ist es wichtig, die verschiedenen Authentifizierungs- und Autorisierungsgrenzen und die Beziehung zwischen diesen Grenzen zu verstehen.

Zwischen Azure-Abonnements und einem Microsoft Entra-Mandanten besteht eine inhärente Vertrauensbeziehung, die unter Zuordnen oder Hinzufügen eines Azure-Abonnements zu Ihrem Microsoft Entra-Mandanten näher beschrieben wird. Eine Enterprise Agreement-Registrierung kann auch einen Microsoft Entra-Mandanten als Identitätsanbieter verwenden, je nachdem, welche Authentifizierungsebene für die Registrierung festgelegt und welche Option beim Erstellen des Registrierungskontobesitzers ausgewählt wurde. Abgesehen vom Kontobesitzer verfügen Enterprise Agreement-Registrierungsrollen jedoch nicht über Zugriff auf Microsoft Entra ID oder die Azure-Abonnements innerhalb dieser Registrierung.

Beispielsweise erhalten Finanzbenutzer*innen die Rolle „Unternehmensadministrator“ für die Enterprise Agreement-Registrierung. Es handelt sich um Standardbenutzer*innen ohne höhere Berechtigungen oder Rollen, die ihnen in Microsoft Entra ID oder in anderen Azure-Verwaltungsgruppen, -Abonnements, -Ressourcengruppen oder -Ressourcen zugewiesen wurden. Der Finanzbenutzer kann nur die unter Verwalten von Azure Enterprise Agreement-Rollen aufgeführten Rollen bekleiden und nicht auf die Azure-Abonnements der Registrierung zugreifen. Die einzige Enterprise Agreement-Rolle mit Zugriff auf Azure-Abonnements ist der Kontobesitzer, da diese Berechtigung beim Erstellen des Abonnements erteilt wurde.

Überlegungen zum Entwurf

• Die Registrierung bietet eine hierarchische Organisationsstruktur, mit der die Verwaltung von Abonnements gesteuert wird. Weitere Informationen finden Sie im Abschnitt Unternehmensadministrator.

• Einer einzelnen Registrierung kann eine Reihe von Administratoren zugewiesen werden.

• Jedes Abonnement sollte einen designierten Kontobesitzer haben. Ausführliche Informationen zum Ändern dieser Einstellung finden Sie im Verwaltungshandbuch zu Azure EA.

• Kontobesitzer sind Abonnementbesitzer aller Abonnements, die in dem betreffenden Konto bereitgestellt werden.

• Ein Abonnement kann jeweils nur einem Konto gehören.

• Es können bestimmte Kriterien verwendet werden, um zu bestimmen, ob ein Abonnement gesperrt werden soll.

• Abrechnungs- und Nutzungsberichte für die Registrierung können nach Abteilungen und Konten gefiltert werden.

• Unter Programmgesteuertes Erstellen von Azure Enterprise Agreement-Abonnements mit den neuesten APIs finden Sie weitere Informationen zu Einschränkungen von Enterprise Agreement Abonnements.

Warnung

Sie können keine neuen Abonnements erstellen oder vorhandenen Abonnements aus einem Registrierungskonto übertragen, wenn die zugewiesene UPN aus der Microsoft Entra-ID gelöscht wird.

Entwurfsempfehlungen

• Verwenden Sie für alle Kontotypen nur den Authentifizierungstyp Work or school account. Vermeiden Sie die Verwendung des Kontotyps Microsoft account (MSA).

• Richten Sie eine Kontakt-E-Mail-Adresse für Benachrichtigungen ein, um sicherzustellen, dass Benachrichtigungen an das richtige Gruppenpostfach gesendet werden.

• Eine Organisation kann über eine Vielzahl von Strukturen verfügen, darunter funktionelle, geografische, Abteilungs-, Matrix- oder Teamstrukturen. Die Verwendung von Abteilungen und Konten zum Zuordnen der Struktur Ihrer Organisation zu Ihrer Registrierungshierarchie kann beim Erstellen getrennter Abrechnungen helfen.

• Verwenden Sie Cost Management-Berichte und -Ansichten, die Azure-Metadaten (z. B. Tags und Speicherort) verwenden können, um die Kosten Ihrer Organisation zu untersuchen und zu analysieren.

• Beschränken und minimieren Sie die Anzahl der Kontobesitzer innerhalb der Registrierung, um den Administratorzugriff auf Abonnements und zugehörige Azure-Ressourcen zu beschränken.

• Weisen Sie jeder Abteilung und jedem Konto ein Budget zu, und richten Sie eine Warnung für das betreffende Budget ein.

• Erstellen Sie neue Abteilungen für IT nur, wenn die entsprechenden Geschäftsbereiche über unabhängige IT-Funktionen verfügen.

• Wenn Sie mehrere Microsoft Entra-Mandanten verwenden, vergewissern Sie sich, dass der Kontobesitzer demselben Mandanten zugeordnet ist, in dem auch die Abonnements für das Konto bereitgestellt werden.

• Verwenden Sie für Entwicklungs-/Testworkloads (Dev/Test) das Enterprise Dev/Test-Angebot, sofern verfügbar. Stellen Sie sicher, dass Sie die Nutzungsbedingungen einhalten.

• Ignorieren Sie keine E-Mails mit Benachrichtigungen, die an die E-Mail-Adresse des Benachrichtigungskontos gesendet werden. Microsoft sendet wichtige Enterprise Agreement-Aufforderungen an dieses Konto.

• Verschieben, umbenennen oder löschen Sie nicht den Entra-ID-Benutzer, der dem EA-Registrierungskonto zugeordnet ist.

• Überprüfen Sie regelmäßig im Azure-Portal im Bereich „Cost Management“, wer Zugriff hat, und verwenden Sie möglichst kein Microsoft-Konto.

• Aktivieren Sie sowohl DA View Charges (Gebühren anzeigen für Abteilungsadministratoren) als auch AO View Charges (Gebühren anzeigen für Kontobesitzer) für jede Enterprise Agreement-Registrierung, damit Benutzer mit den richtigen Berechtigungen Cost Management-Daten anzeigen können.

• Jeder Benutzer, der über Berechtigungen für eine Registrierung zum Erstellen von Abonnements verfügt, wie hier beschrieben, muss genau wie jedes andere privilegierte Konto mit Multi-Faktor-Authentifizierung geschützt werden, wie hier dokumentiert ist.