Partilhar via


Planejar o registro do Enterprise Agreement

O registro do Enterprise Agreement representa a relação comercial entre a Microsoft e como sua organização usa o Azure. Ele fornece base de faturamento para suas assinaturas e como seu patrimônio digital é administrado. A folha Gestão de Custos da Microsoft no portal do Azure ajuda-o a gerir a sua inscrição no Enterprise Agreement. Uma inscrição geralmente representa a hierarquia de uma organização, incluindo departamentos, contas e assinaturas. Essa hierarquia representa os centros de custo dentro de uma organização.

Nota

O portal https://ea.azure.com do Azure EA foi desativado a partir de 15 de fevereiro de 2024. Os clientes agora devem usar a folha Gerenciamento de Custos no portal do Azure para gerenciar suas inscrições, conforme documentado mais detalhadamente em:

Diagrama que mostra as hierarquias do Azure Enterprise Agreement.

  • Os departamentos ajudam a segmentar os custos em agrupamentos lógicos e a definir um orçamento ou quota ao nível dos departamentos. A quota não é firmemente aplicada; ele é usado para fins de relatório.

  • As contas são unidades organizacionais na folha Gestão de Custos do portal do Azure. Eles podem ser usados para gerenciar assinaturas e acessar relatórios.

  • As subscrições são as unidades mais pequenas no portal do Azure. Eles são contêineres para serviços do Azure que são gerenciados por um Administrador de Serviço. É aqui que a sua organização implementa os serviços do Azure.

  • As funções de inscrição do Enterprise Agreement vinculam os usuários à sua função funcional. Essas funções são:

    • Administrador do Enterprise (EA)
    • Administrador de Departamento
    • Proprietário de Conta
    • Administrador de Serviços
    • Contacto de Notificação

Como um registro do Enterprise Agreement se relaciona com a ID do Microsoft Entra e o RBAC do Azure

Quando sua organização usa um registro do Enterprise Agreement para assinaturas do Azure, é importante entender os vários limites de autenticação e autorização e a relação entre esses limites.

Há uma relação de confiança inerente entre as assinaturas do Azure e um locatário do Microsoft Entra, que é descrita mais detalhadamente em Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra. Um registro do Enterprise Agreement também pode usar um locatário do Microsoft Entra como um provedor de identidade, dependendo do nível de autenticação definido no registro e da opção selecionada quando o proprietário da conta de registro foi criado. No entanto, além do proprietário da conta, as funções de inscrição do Enterprise Agreement não fornecem acesso à ID do Microsoft Entra ou às assinaturas do Azure dentro dessa inscrição.

Por exemplo, um usuário financeiro recebe uma função de Administrador Empresarial no registro do Enterprise Agreement. Eles são um usuário padrão sem permissões ou funções elevadas atribuídas a eles na ID do Microsoft Entra ou em qualquer grupo de gerenciamento, assinatura, grupo de recursos ou recurso do Azure. O usuário financeiro só pode executar as funções listadas em Gerenciando funções do Azure Enterprise Agreement e não pode acessar as assinaturas do Azure no registro. A única função do Enterprise Agreement com acesso às assinaturas do Azure é o proprietário da conta, pois essa permissão foi concedida quando a assinatura foi criada.

Diagrama que mostra a relação do Azure Enterprise Agreement com o Microsoft Entra ID e RBAC.

Considerações de design

  • O registro fornece uma estrutura organizacional hierárquica para governar como as assinaturas são gerenciadas. Para obter mais informações, consulte Gerenciando funções do Azure Enterprise Agreement.

  • Um intervalo de administradores pode ser atribuído a uma única inscrição.

  • Cada assinatura deve ter um proprietário de conta designado. Consulte o guia de administração do Azure EA para obter detalhes sobre como alterar isso, se necessário.

  • Cada proprietário de conta é um proprietário de assinatura para todas as assinaturas provisionadas nessa conta.

  • Uma subscrição só pode pertencer a uma conta de cada vez.

  • Um conjunto específico de critérios pode ser usado para determinar se uma assinatura deve ser suspensa.

  • Os departamentos e contas podem filtrar relatórios de inscrição, faturamento e uso.

  • Analise programaticamente criar assinaturas do Azure Enterprise Agreement com as APIs mais recentes para obter mais informações sobre as limitações da assinatura do Enterprise Agreement.

Aviso

Você não poderá criar novas assinaturas ou transferir assinaturas existentes de uma conta de inscrição se o UPN associado for excluído da ID do Microsoft Entra.

Recomendações de design

  • Use apenas o tipo Work or school account de autenticação para todos os tipos de conta. Evite usar o Microsoft account (MSA) tipo de conta.

  • Configure um endereço de email de Contato de Notificação para garantir que as notificações sejam enviadas para uma caixa de correio de grupo apropriada.

  • Uma organização pode ter várias estruturas, incluindo estruturas funcionais, divisionais, geográficas, matriciais ou de equipe. Usar departamentos e contas para mapear a estrutura da sua organização para a hierarquia de inscrição pode ajudar a separar o faturamento.

  • Use relatórios e exibições do Gerenciamento de Custos, que podem usar metadados do Azure (por exemplo, tags e localização) para explorar e analisar os custos da sua organização.

  • Restrinja e minimize o número de proprietários de conta dentro do registro para limitar o acesso do administrador a assinaturas e recursos associados do Azure.

  • Atribua um orçamento para cada departamento e conta e estabeleça um alerta associado ao orçamento.

  • Crie novos departamentos para TI somente se os domínios de negócios correspondentes tiverem recursos de TI independentes.

  • Se você usar vários locatários do Microsoft Entra, verifique se o proprietário da conta está associado ao mesmo locatário em que as assinaturas da conta são provisionadas.

  • Para cargas de trabalho de desenvolvimento/teste (desenvolvimento/teste), use a oferta Enterprise Dev/Test , quando disponível. Certifique-se de que cumpre os termos de utilização.

  • Não ignore os e-mails de notificação enviados para o endereço de e-mail da conta de notificação. A Microsoft envia solicitações importantes do Enterprise Agreement para essa conta.

  • Não mova, renomeie ou exclua o usuário do Entra ID associado à conta de inscrição da EA.

  • Audite periodicamente a folha Gerenciamento de Custos no portal do Azure para analisar quem tem acesso e, quando possível, evite usar uma conta da Microsoft.

  • Habilite os Encargos de Exibição de DA e de Encargos de Exibição de AO em cada inscrição no Enterprise Agreement para permitir que os usuários com as permissões corretas visualizem os dados do Gerenciamento de Custos.

  • Qualquer usuário que tenha permissões em uma inscrição para criar assinaturas, conforme detalhado aqui, deve ser protegido com autenticação multifator, pois qualquer outra conta privilegiada deve ser conforme documentado aqui