Freigeben über


Abonnementverkauf

Abonnementverkauf bietet einen Plattformmechanismus für die programmgesteuerte Ausgabe von Abonnements an Anwendungsteams, die Workloads bereitstellen müssen. Das folgende Diagramm zeigt, wie sich der Abonnementverkauf in die Lebenszyklen der Plattform und des Workloads einfügt.

Diagramm mit vier Schritten

Abonnementverkauf baut auf dem Konzept der Abonnementdemokratisierung auf und wendet es auf Anwendungszielzonen an. Bei der Abonnementdemokratisierung sind Abonnements und keine Ressourcengruppen die primären Einheiten der Workloadverwaltung und -skalierung. Weitere Informationen finden Sie unter

Warum Abonnementverkauf?

Der Abonnementverkauf bietet mehrere Vorteile für Organisationen, die Workloads in Azure bereitstellen müssen. Es standardisiert und automatisiert den Prozess zum Anfordern, Bereitstellen und Verwalten von Abonnements für Anwendungszielzonen. Der Abonnementverkauf vereinfacht den Prozess der Abonnementerstellung und unterstellt ihn der Organisation, sodass sich App-Teams mit größerer Zuverlässigkeit und Effizienz auf die Bereitstellung ihrer Workloads konzentrieren können.

  • Optimierter Prozess: Abonnementverkauf ist ein offizielles Portal für Anwendungsteams zur Anforderung von Abonnements, sodass sie sich nicht mehr selbst um den Abonnementprozess kümmern müssen.
  • Höhere Geschwindigkeit: Anwendungsteams können schneller auf Anwendungszielzonen zugreifen und Workloads schneller integrieren.
  • Effiziente Governance: Das Plattformteam kann mit minimalem Aufwand Governance für Anwendungszielzonen durchsetzen.

Implementieren des Abonnementverkaufs

Am Abonnementverkauf sind drei Teams beteiligt. Das Cloudkompetenzzentrum (CCoE) legt die Geschäftslogik und den Genehmigungsprozess fest. Anschließend stellen die Anwendungsteams Abonnementanforderungen. Das Plattformteam erstellt und konfiguriert das Abonnement anhand der Anforderung und gibt es dann an das Anwendungsteam weiter. Das Anwendungsteam aktualisiert das Budget, stellt die Workload bereit und richtet den Betrieb ein. Der folgende Leitfaden enthält weitere Details zu den einzelnen Schritten des Abonnementverkaufsprozesses. Weitere Informationen finden Sie unter Implementierungsleitfaden für Abonnementverkauf.

Diagramm des Abonnementverkaufsprozesses

Plattformteams können den Anwendungsteams viele Optionen und Abonnementtypen anbieten. Diese Typen werden als Produktlinien bezeichnet, da sie sich auf plattformtechnische Prinzipien und Praktiken beziehen. Weitere Informationen zum Auswählen der Option, die Ihren Anforderungen am besten entspricht, finden Sie unter Gemeinsame Produktlinien für Abonnementverkauf.

Festlegen der Geschäftslogik und des Genehmigungsprozesses

Um das Abonnementverkaufsmodell zu implementieren, müssen Sie einen Genehmigungsprozess einrichten, der wichtige Abonnementinformationen sammelt. Das Cloudkompetenzzentrum (CCoE) sollte den Genehmigungsprozess programmieren und Geschäftsregeln für die zu erfassenden Informationen aufstellen.

Automatisieren des Prozesses. Sie sollten den Prozess der Erfassung und Genehmigung von Abonnementanforderungen automatisieren, um die Bereitstellung zu beschleunigen und die Compliance zu verbessern.

Integration in vorhandene Tools. Sie sollten den Genehmigungsprozess für den Abonnementverkauf in Ihr vorhandenes ITSM-Tool (IT Service Management) integrieren. Die Integration kann den Genehmigungsprozess vereinfachen, den manuellen Aufwand reduzieren und die Effizienz verbessern und gleichzeitig Fehler reduzieren. Darüber hinaus erleichtert sie die Wartung im Laufe der Zeit und hilft bei der Complianceberichterstellung für Überprüfungen.

Verbindung mit der Bereitstellungspipeline. Es ist eine bewährte Methode, die Geschäftslogik des Genehmigungsprozesses mit der Abonnementbereitstellungspipeline zu verknüpfen, die vom Plattformteam verwaltet wird. Azure Pipelines- oder GitHub Actions-Workflows sind gängige Lösungen für die Abonnementbereitstellungspipeline.

Erfassen von Anforderungen bei der Aufnahme. Die Geschäftslogik sollte es Anwendungsteams ermöglichen, ein Abonnement anzufordern und Abonnementanforderungen bereitzustellen. Diese Anforderungen sollten die voraussichtlichen Budgets, die Abonnementeigentümer, die Erwartungen an das Netzwerk und die Einstufung der Kritikalität und Vertraulichkeit des Geschäfts umfassen. Wenn Sie diese Informationen zu Beginn des Prozesses sammeln, erhalten Sie Informationen zu den Bereitstellungsparametern und den erforderlichen Genehmigungen der Beteiligten. Der Aufnahmeprozess sollte dem Plattformteam auch genügend Informationen geben, um die Workload in der Verwaltungsgruppenhierarchie zu platzieren.

Wenn der Genehmigungsprozess eingerichtet ist, können Anwendungsteams damit beginnen, Abonnementanforderungen zu stellen.

Stellen einer Abonnementanforderung

Abonnementverkauf bietet einen Standardprozess für Anwendungsteams, um ein Abonnement anzufordern. Es ist wichtig, dass Sie die Verfügbarkeit des Abonnementverkaufs bekannt machen und dafür sorgen, dass die Anforderungen für Abonnements einfach zu stellen sind. Nachdem das Anwendungsteam eine Abonnementanforderung übermittelt hat, übernimmt das Plattformteam die Kontrolle über den Prozess. Das Plattformteam behält die Kontrolle, bis es das Abonnement erstellt und das Abonnement an das Anwendungsteam übermittelt.

Konfigurieren der Netzwerkeinstellungen

Die Abonnementautomatisierung muss die erforderlichen Netzwerkkomponenten einrichten und flexibel genug sein, um die Anforderungen der einzelnen Anwendungsteams zu erfüllen. Als allgemeiner Leitfaden gilt: Verwenden Sie niemals überlappende IP-Adressen in einer einzelnen Routingdomäne. Sie können den Adressraum eines virtuellen Netzwerks ohne Ausfallzeit hinzufügen oder löschen, wenn sich Ihre Größenanforderungen ändern. Weitere Informationen finden Sie unter

Verwenden des IP-Adressverwaltungstool (IPAM). Sie sollten ein IPAM-System verwenden und in den Verkaufsprozess integrieren, um die IP-Adresszuweisung zu optimieren. Weitere Informationen und einen IPAM-Leitfaden finden Sie unter Tools für die IP-Adressverwaltung (IPAM).

Autonomie für das App-Team. Sie sollten Anwendungsteams die Berechtigung zum Erstellen von Subnetzen und sogar einigen virtuellen Netzwerken im Abonnement erteilen. Das Plattformteam sollte immer virtuelle Netzwerke mit Peering mit einem zentralen Hub erstellen.

Durchsetzen der Netzwerkgovernance. Das Plattformteam sollte die Governance für virtuelle Netzwerke über (1) Azure-Richtlinien, die der Verwaltungsgruppenhierarchie zugeordnet sind, oder (2) Azure Virtual Network Manager und Sicherheitsverwaltungsregeln durchsetzen. Weitere Informationen finden Sie unter Richtliniengesteuerte Governance und Blockieren von Ports mit hohem Risiko.

Bestimmen der Platzierung des Abonnements

Das Plattformteam sollte die Netzwerk- und Governanceanforderungen verwenden, um das Abonnement in der Verwaltungsgruppenhierarchie zu platzieren. Das Team sollte auch die Grenzwerte für das Abonnementkontingent überprüfen, bevor es das Abonnement erstellt. Weitere Informationen finden Sie unter Anpassen der Architektur der Azure-Zielzonen an die Anforderungen.

Identifizieren der richtigen Verwaltungsgruppe. Verwaltungsgruppen unterstützen Sie beim Organisieren und Steuern von Abonnements und Workloadbereitstellungen. Suchen oder erstellen Sie eine Verwaltungsgruppe, die die Richtlinien erzwingt, die für die Klassifizierung und Anforderungen jeder Workload erforderlich sind.

Erstellen einer flexiblen Automatisierung. Ihre Automatisierung sollte flexibel genug sein (1), um mehrere Abonnements bereitzustellen, und (2) sich an die Grenzwerte für Abonnementdienste anpassen.

  • Mehrere Abonnements: Einige Workloads erfordern mehrere Abonnements. Beispielsweise verfügen einige Workloads über mehrere Instanzen, die nach Abonnement getrennt sind. Alternativ dazu verwenden SaaS-Architekturen, die dedizierte Ressourcen pro Kunde verwenden, häufig Dutzende von Abonnements.

  • Grenzwerte für Abonnementdienste: Ein Unternehmen mit mehreren tausend Abonnements sollte über eine Automatisierung verfügen, die ein altes Abonnement bereitstellen oder Workloads in einem Abonnement zusammenstellen kann, um die Grenzwerte zu umgehen. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Azure-Zielzone.

    Sie können nach der Bereitstellung über das Azure-Portal manuell eine Kontingenterhöhung anfordern. Einfacher ist es, wenn Sie diesen Prozess mithilfe der verfügbaren APIs automatisieren. Die Kontingentanforderung kann jedoch fehlschlagen, Sie sollten also ein Skript ausführen, um Fehler zu behandeln. Weitere Informationen finden Sie unter Microsoft.Capacity, Microsoft.Quota und Microsoft.Support.

Erstellen und Konfigurieren des Abonnements

Sie können jetzt das angeforderte Abonnement erstellen und konfigurieren. Ziel ist es, einen wiederholbaren, konsistenten Prozess zu erstellen. Automatisieren Sie den Prozess zur Erstellung und Konfiguration von Abonnements so weit wie möglich.

Verwenden von Infrastruktur als Code (Infrastructure as Code, IaC) Eine gängige Strategie für den Abonnementverkauf besteht darin, das Abonnement programmgesteuert mithilfe von IaC zu erstellen und zu konfigurieren. Sie benötigen eine kommerzielle Vereinbarung, um ein Azure-Abonnement programmgesteuert zu erstellen, aber Sie können alle Aspekte der Abonnementkonfiguration ohne kommerzielle Vereinbarung automatisieren. Weitere Informationen finden Sie unter

Es gibt Beispiele für Bicep- und Terraform-Module für den Abonnementverkauf, die Ihnen helfen, ein Abonnementverkaufsmodell einzuführen, unabhängig davon, ob Sie eine kommerziellen Vereinbarung abgeschlossen haben. Sie sollten GitHub-Aktionen oder Azure Pipelines verwenden, um die Automatisierung zu orchestrieren.

Verwenden von Tags für die Kostenverwaltung. Sie sollten die konsistente Zuordnung von Tags zu jedem Abonnement für das Kostenmanagement und die Berichterstattung in Microsoft Cost Management automatisieren. Mit Ihren kommerziellen Vereinbarungen erhalten Sie zwar Abrechnungsberichte, aber Cost Management bietet noch weitere Funktionen. So können Sie beispielsweise Berichte für Abonnements mit bestimmten Tags erstellen. Weitere Informationen finden Sie unter Verwenden von Tags in Kosten- und Nutzungsdaten und Gruppieren und Zuordnen von Kosten mithilfe der Tagvererbung.

Verwenden von Produktions- und Nichtproduktionsabonnements. In der Anforderung für ein neues Abonnement müssen Sie angeben, ob die Workload für Produktions- oder DevTest-Umgebungen bestimmt ist. Für DevTest-Umgebungen fallen geringere Ressourcenkosten an, es gelten jedoch andere Bestimmungen. Hinweis: Das DevTest-Angebot ist für MPA nicht verfügbar. Weitere Informationen finden Sie unter

Einrichten der Identität und von rollenbasierten Zugriffssteuerungen (RBACs). Die Verwaltung des Zugriffs auf Ressourcen in einem Azure-Abonnement ist für die Aufrechterhaltung einer sicheren und konformen Umgebung von entscheidender Bedeutung. Zum Steuern des Zugriffs müssen Sie die Identität und RBACs einrichten. Diese Einrichtung umfasst das Festlegen von Abonnementbesitzer*innen, das Erstellen von Microsoft Entra-Gruppen zur Verwaltung des Zugriffs und das Einrichten von Automatisierungskonten zur Bereitstellung von Workloads.

  • Festlegen eines Abonnementbesitzers. Die Automatisierung des Abonnementverkaufs muss bei der Erstellung einen Abonnementbesitzer festlegen. Die Abonnementanforderung sollte diese Informationen bei der Aufnahme erfassen. Abonnementbesitzer können nur Benutzer oder Dienstprinzipale im ausgewählten Abonnementverzeichnis sein. Sie können keine Gastverzeichnisbenutzer auswählen. Wenn Sie einen Dienstprinzipal auswählen, geben Sie seine App-ID ein.

  • Erstellen Sie Microsoft Entra-Gruppen. Zusätzlich zu Abonnementbesitzer*innen sollten Sie sicherstellen, dass der Verkaufsprozess Ihre Microsoft Entra-Gruppenstruktur verwendet, um den Zugriff auf das Abonnement zu verwalten. Für den Zugriff mit erhöhten Rechten (z. B. Schreibzugriff) wird empfohlen, PIM für Gruppen zu verwenden. Die Automatisierung dieses Erstellungsprozesses sollte nicht gegen bewährte Methoden verstoßen, z. B. die Begrenzung der Anzahl von Abonnementbesitzern und die Verwendung der erforderlichen Mindestzugriffsebene.

  • Einrichten von Workloadidentitäten. Workloadidentitäten (Dienstprinzipien), die für die Workloadbereitstellung verwendet werden, verfügen häufig über erweiterte Berechtigungen im Abonnementbereich. Der Abonnementanforderungsprozess sollte die Anforderungen an die Workloadidentität bei der Aufnahme erfassen. Ihr Verkaufsprozess sollte diese Identitäten erstellen und den entsprechenden Abonnementzugriff zuweisen. Es ist wichtig zu beachten, dass die Workloadidentität PIM nicht verwenden kann und ständigen Zugriff auf Ressourcen erhält. Es wird empfohlen, verwaltete Identitäten zu verwenden, damit keine Geheimnisse verwaltet werden müssen. Weitere Informationen finden Sie unter Entwurfsbereich für die Identität.

Übergabe an das Anwendungsteam. Nachdem das Plattformteam das Abonnement erstellt hat, sollte es das Abonnement an das Anwendungsteam übergeben.

Aktualisieren des Abonnementbudgets

Die Plattform- und Workloadteams sind gemeinsam für die finanzielle Integrität des Abonnements verantwortlich. Durch die Bereitstellung sollte ein Abonnementbudget basierend auf den Informationen in der Abonnementanforderung erstellt werden. Die Anwendung sollte das Budget aktualisieren, um ihre Anforderungen zu erfüllen, wenn sie das Abonnement empfängt. Budgets sind nützlich für die Überwachung von Ausgaben im Vergleich zur aktuellen und prognostizierten Nutzung, stellen aber keine harten Grenzwerte dar. Daher sollten Sie Budgetwarnungen einrichten, um die Abonnementbesitzer zu benachrichtigen, wenn die Workload den Schwellenwert des Budgets überschreitet. Erwägen Sie für gemeinsam genutzte Dienste, z. B. API Management, die Verwendung von Azure-Kostenzuteilungsregeln, um die Kosten zwischen den verbrauchenden Abonnements umzuverteilen.

Bereitstellen von Workload und Betrieb

Das Anwendungsteam sollte autonom die Ressourcen erstellen können, die es für die Workloads benötigt, und den Betrieb verwalten. Das Plattformteam bleibt für Abonnementgovernance verantwortlich. Wenn sich die Governanceanforderungen einer Workload ändern, sollte das Plattformteam Abonnements in die Verwaltungsgruppe verschieben, die die Anforderungen der Workload am besten erfüllt. Sie können die Verschiebung mithilfe von Bicep oder Terraform automatisieren. Weitere Informationen finden Sie unter

Nächste Schritte

Überprüfen Sie die Abonnements oder Produktlinien, die Sie an Anwendungsteams verkaufen können. Richten Sie einen hervorragenden Startpunkt ein, damit Sie auf eine Reihe verschiedener Szenarien eingehen können.