Enterprise Agreement 加入契約のプラン
Enterprise Agreement 加入契約は、Microsoft と、お客様の組織が Azure を使用する方法との取引関係を表しています。 ここでは、サブスクリプションの課金基盤と、デジタル資産の管理方法が提供されます。 Microsoft Cost Management ブレードは、Enterprise Agreement 登録を管理するのに役立ちます。 多くの場合、加入契約は、部門、アカウント、サブスクリプションなど、組織の階層を表しています。 この階層は、組織内のコスト センターを表します。
Note
Azure EA portal https://ea.azure.com は、2024 年 2 月 15 日に廃止されました。 お客様は以下の詳細のとおり、Azure portal の [Cost Management] ブレードを使用して、登録を管理する必要があります。
部門は、コストを論理グループに分割してから、部門レベルで予算またはクォータを設定するのに役立ちます。 クォータは強制的には適用されず、レポート目的で使用されます。
アカウントは、Azure portal の Cost Management ブレードの組織単位です。 それらは、サブスクリプションを管理し、レポートにアクセスするために使用できます。
サブスクリプションは Azure portal の最小単位です。 これらは、サービス管理者によって管理される Azure サービスのコンテナーです。 これは、組織が Azure サービスをデプロイする場所です。
Enterprise Agreement 加入契約ロールによって、ユーザーは職務的なロールにリンクされます。 これらのロールは次のとおりです。
- エンタープライズ管理者
- 部門管理者
- アカウント所有者
- サービス管理者
- 通知の連絡窓口
Enterprise Agreement 加入契約と Microsoft Entra ID および Azure RBAC の関係
組織で Azure サブスクリプションに Enterprise Agreement 加入契約を使用する場合は、さまざまな認証と許可の境界、そしてこれらの境界の関係を理解することが重要です。
Azure サブスクリプションと Microsoft Entra テナントの間には固有の信頼関係があります。詳しくは、「Microsoft Entra テナントに Azure サブスクリプションを関連付ける、または追加する」をご覧ください。 Enterprise Agreement 加入契約では、加入契約に設定された認証レベルと、加入契約アカウント オーナーの作成時に選択されたオプションに応じて、ID プロバイダーとして Microsoft Entra テナントを使用することもできます。 ただし、アカウント オーナーとは別に、Enterprise Agreement 加入契約ロールでは、その加入契約内の Microsoft Entra ID または Azure サブスクリプションへのアクセスは提供されません。
たとえば、財務ユーザーには、Enterprise Agreement 加入契約にエンタープライズ管理者ロールが付与されます。 これは、Microsoft Entra ID または任意の Azure 管理グループ、サブスクリプション、リソース グループ、またはリソースに対して、管理者特権のアクセス許可またはロールが割り当てられていない標準ユーザーです。 財務ユーザーは、Azure Enterprise Agreement ロールの管理の一覧に記載されているロールのみを実行でき、加入契約時に Azure サブスクリプションにアクセスすることはできません。 Azure サブスクリプションへのアクセス権を持つ Enterprise Agreement ロールのみがアカウント オーナーになります。このアクセス許可はサブスクリプションの作成時に付与されているためです。
設計上の考慮事項
加入契約には、サブスクリプションの管理方法を統制する階層型の組織構造があります。 詳細については、Azure Enterprise Agreement ロールの管理を参照してください。
1 つの登録に、さまざまな管理者を割り当てることができます。
各サブスクリプションには、指定されたアカウント オーナーが必要です。 必要に応じてこれを変更する方法の詳細については、Azure EA 管理ガイドを参照してください。
各アカウント オーナーは、そのアカウントでプロビジョニングされたサブスクリプションのサブスクリプション所有者です。
サブスクリプションは、一度に 1 つのアカウントにのみ属することができます。
特定の条件セットを使用して、サブスクリプションを中断する必要があるかどうかを判断できます。
部門とアカウントで、加入契約の請求先と使用レポートをフィルター処理できます。
「最新の API を使用して Azure Enterprise Agreement サブスクリプションをプログラムで作成する」で、Enterprise Agreement サブスクリプションの制限の詳細を確認してください。
警告
関連付けられている UPN が Microsoft Entra ID から削除された場合、新しいサブスクリプションを作成したり、登録アカウントから既存のサブスクリプションを譲渡したりすることはできません。
設計の推奨事項
すべてのアカウントの種類に認証の種類
Work or school account
のみを使用します。Microsoft account (MSA)
のアカウントの種類は使用しないでください。通知が適切なグループ メールボックスに送信されるように、通知の連絡先メール アドレスを設定します。
組織は、職務、部門、地理、マトリックス、チーム構造など、さまざまな構造を持つことがあります。 部門とアカウントを使用して組織の構造を加入契約階層にマップすると、請求先を分離するのに役立ちます。
Cost Management のレポートとビューを使用すると、Azure メタデータ (タグや場所など) を使用して、組織のコストを探索および分析できます。
サブスクリプションおよび関連する Azure リソースに対する管理者アクセスを制限するために、加入契約内のアカウント オーナー数を制限し、最小限に抑えます。
各部門とアカウントに予算を割り当て、予算に関連するアラートを設定します。
対応する事業領域に独立した IT 機能がある場合にのみ、IT の新しい部門を作成します。
複数の Microsoft Entra テナントが使用されている場合は、アカウント オーナーが、アカウントのサブスクリプションがプロビジョニングされているものと同じテナントに関連付けられていることを確認します。
開発/テストのワークロードの場合は、Enterprise Dev/Test プランを使用します (使用可能な場合)。 使用条件には必ず準拠してください。
通知アカウントのメール アドレスに送信された通知メールは無視しないでください。 Microsoft からこのアカウントに、重要な Enterprise Agreement のプロンプトが送信されます。
EA 登録アカウントに関連付けられている Entra ID ユーザーを移動、名前変更、または削除しないでください。
Azure portal の Cost Management ブレードを定期的に監査して、アクセス権を持つユーザーを確認し、可能な場合は Microsoft アカウントを使用しないようにします。
すべての Enterprise Agreement 加入契約で [DA ビューの請求額] と [AO ビューの請求額] の両方を有効にし、適切なアクセス許可を持つユーザーが Cost Management のデータを表示できるようにします。
登録時にサブスクリプションを作成する権限を持つすべてのユーザー (詳細はこちら) は、こちらに記述されているとおり、他の特権アカウントと同様に多要素認証で保護する必要があります。