Hantera Azure Enterprise-avtalsroller
För att hantera din organisations användning och utgifter kan Azure-kunder med en företagsavtal tilldela följande sex olika administrativa roller.
- Enterprise-administratör
- Företagsadministratör (skrivskyddad)¹
- EA-inköpare
- Avdelningsadministratör
- Avdelningsadministratör (skrivskyddad)
- Kontoägare²
¹ Faktureringskontakten för EA-kontraktet har den här rollen.
² Faktureringskontakten kan inte läggas till eller ändras i Azure Portal. Den läggs till i EA-registreringen baserat på den användare som har konfigurerats som faktureringskontakt på avtalsnivå. Om du vill ändra faktureringskontakten måste en begäran göras via en partner eller programvarurådgivare till det regionala driftcentret (ROC, Regional Operations Center).
Kommentar
En Enterprise-administratör har behörigheter att skapa nya prenumerationer under ett aktivt registreringskonto. Mer information om hur du skapar nya prenumerationer finns i Lägga till en ny prenumeration.
Den första registreringsadministratören som konfigureras under registreringsetableringen bestämmer autentiseringstypen för kontot för faktureringskontakt. När faktureringskontakten läggs till i EA-portalen som en skrivskyddad administratör får de Microsoft-kontoautentisering.
Om till exempel den inledande autentiseringstypen har ställts in som Blandad, läggs EA till som ett Microsoft-konto och fakturera till kontakten har endast skrivskyddade EA-administratörsprivilegier. Om EA-administratören inte godkänner Microsoft-kontoauktorisering för en befintlig faktureringskontakt kan EA-administratören ta bort användaren i fråga. Sedan kan de be kunden att lägga till användaren igen som skrivskyddad administratör med ett arbets- eller skolkonto som endast anges på registreringsnivå i Azure Portal.
De här rollerna gäller särskilt för hantering av Azure Enterprise-avtal och används utöver de fördefinierade roller som används till att styra åtkomsten till resurser i Azure. Mer information finns i Inbyggda roller i Azure.
Azure-portalen för Cost Management + Billing
Hierarkin i Azure-portalen för Cost Management består av:
Azure-portalen för Cost Management – en onlinehanteringsportal där du kan hantera kostnader för dina Azure EA-tjänster. Du kan göra följande uppgifter.
- Skapa en Azure EA-hierarki med avdelningar, konton och prenumerationer.
- Stämma av kostnaderna för dina förbrukade tjänster, ladda ned användningsrapporter och visa prislistor.
- Skapa API-nycklar för din registrering.
Avdelningar hjälper dig att segmentera kostnader i logiska grupperingar. Med avdelningar kan du ange en budget eller kvot på avdelningsnivå.
Konton är organisationsenheter i Azure-portalen för Cost Management. Du kan använda konton för att hantera prenumerationer och komma åt rapporter.
Prenumerationer är den minsta enheten i Azure-portalen för Cost Management. De är containrar för Azure-tjänster.
Följande diagram illustrerar enkla Azure EA-hierarkier.
Roller för företagsanvändare
Följande administrativa användarroller ingår i din företagsregistrering:
- Företagsadministratör
- EA-inköpare
- Avdelningsadministratör
- Kontoinnehavare
- Aviseringskontakt
Använd Cost Management i Azure Portal så att du kan hantera Azure företagsavtal roller.
EA-direktkunder kan utföra alla administrativa uppgifter i Azure-portalen. Du kan använda Azure Portal för att hantera fakturering, kostnader och Azure-tjänster.
EA-faktureringsroller kan bara tilldelas till enskilda användarkonton. Det går inte att tilldela dessa roller till distributionsgrupper (DG:er) och säkerhetsgrupper (SG:er). För att verifiera användarens äkthet måste varje användare ha ett giltigt arbets-, skol- eller Microsoft-konto. Se till att varje konto är associerat med en e-postadress för att aktivt övervaka det. Registreringsaviseringar skickas till e-postadressen.
Kommentar
Rollen Kontoägare tilldelas ofta till ett tjänstkonto som inte har ett aktivt övervakat e-postmeddelande.
När du konfigurerar användare kan du ge flera konton rollen som Enterprise-administratör. En registrering kan ha flera Kontoinnehavare, till exempel en per avdelning. Du kan även tilldela både rollen företagsadministratör och kontoinnehavare till ett och samma konto.
Företagsadministratör
Användare med den här rollen har den högsta åtkomstnivån till registreringen. De kan:
- Hantera konton och kontoinnehavare.
- Hantera andra Enterprise-administratörer.
- Hantera avdelningsadministratörer.
- Hantera aviseringskontakter.
- Köpa Azure-tjänster, inklusive reservationer/besparingsprenumerationer.
- Visa användning för alla konton.
- Visa odebiterade avgifter för alla konton.
- Skapa nya prenumerationer under aktiva registreringskonton.
- Visa och hantera alla beställningar av eller redan beställda reservationer/besparingsprenumerationer som gäller för Enterprise-avtalet.
- Företagsadministratör (skrivskyddad) kan visa reservationer/sparplansbeställningar och reservationer/sparplaner. De kan inte hantera dem.
Du kan ha flera Enterprise-administratörer i en Enterprise-registrering. Du kan bevilja skrivskyddad åtkomst till Enterprise-administratörer.
EA-administratörsrollen ärver automatiskt all åtkomst och behörighet för avdelningsadministratörsrollen. Därför behöver du inte ge en EA-administratör rollen som avdelningsadministratör manuellt.
Företagsadministratörsrollen kan tilldelas flera konton.
EA-inköpare
Användare med den här rollen har behörighet att köpa Azure-tjänster, men får inte hantera konton. De kan:
- Köpa Azure-tjänster, inklusive reservationer/besparingsprenumerationer.
- Visa användning för alla konton.
- Visa odebiterade avgifter för alla konton.
- Visa och hantera alla beställningar av eller redan beställda reservationer/besparingsprenumerationer som gäller för Enterprise-avtalet.
EA-inköparrollen är för närvarande endast aktiverad för SPN-baserad åtkomst. Information om hur du tilldelar rollen till ett tjänsthuvudnamn finns i Tilldela roller till tjänsthuvudnamn för Azure Enterprise-avtal.
Avdelningsadministratör
Användare med den här rollen kan:
- Skapa och hantera avdelningar.
- Skapa nya kontoinnehavare.
- Visa användningsinformation för de avdelningar som de hanterar.
- Visa kostnader om de har nödvändig behörighet.
Du kan ha flera avdelningsadministratörer för varje Enterprise-registrering.
Du kan bevilja avdelningsadministratörer skrivskyddad åtkomst när du redigerar eller skapar en ny avdelningsadministratör. Ange alternativet för skrivskydd till Ja.
Kontoägare
Användare med den här rollen kan:
- Skapa och hantera prenumerationer.
- Hantera rolltilldelningar för prenumerationer.
- Visa användning för prenumerationer.
För varje konto krävs ett unikt arbets-, skol- eller Microsoft-konto. Mer information om administrativa roller i Azure-portalen finns i Förstå administrativa roller för Azure Enterprise-avtal i Azure.
Det kan bara finnas en Kontoinnehavare per konto. Det kan dock finnas flera konton i en EA-registrering. Varje konto har en unik Kontoinnehavare.
För olika Microsoft Entra-konton kan det ta mer än 30 minuter innan behörighetsinställningarna börjar gälla.
Meddelandekontakt
Meddelandekontakten får aviseringar om användning som gäller registreringen.
I följande avsnitt beskrivs begränsningarna och funktionerna för varje roll.
Användargräns för administratörsroller
I följande tabell beskrivs användarbegränsningar och behörigheter för varje administrativ roll i en företagsavtal.
Roll | Användargräns |
---|---|
Enterprise-administratör | Obegränsat |
Enterprise-administratör (skrivskyddad) | Obegränsat |
EA-inköpare tilldelad till ett tjänsthuvudnamn (SPN) | Obegränsat |
Avdelningsadministratör | Obegränsat |
Avdelningsadministratör (skrivskyddad) | Obegränsat |
Kontoinnehavare | 1 per konto³ |
³ Varje konto kräver ett unikt Microsoft-konto, ett arbets- eller skolkonto.
Organisationsstruktur och behörigheter per roll
I följande tabell visas användarbegränsningar och behörigheter som är associerade med varje administrativ roll.
Aktiviteter | Enterprise-administratör | Enterprise-administratör (skrivskyddad) | EA-inköpare | Avdelningsadministratör | Avdelningsadministratör (skrivskyddad) | Kontoinnehavare | Partner |
---|---|---|---|---|---|---|---|
Visa företagsadministratörer | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
Lägga till eller ta bort företagsadministratörer | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
Visa meddelandekontakter⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
Lägga till eller ta bort meddelandekontakter⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
Skapa och hantera avdelningar | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
Visa avdelningsadministratörer | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
Lägga till eller ta bort avdelningsadministratörer | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
Visa konton i registreringen | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
Lägga till konton i registreringen och ändra kontoägare | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
Köpa reservationer/sparplaner | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
Skapa och hantera prenumerationer och prenumerationsbehörigheter | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ Meddelandekontakter skickas e-postkommunikation om Azure företagsavtal.
- ⁵ Uppgiften är begränsad till konton på din avdelning.
- ⁶ En prenumerationsägare, reservationsköpare eller sparplansinköpare kan köpa och hantera reservationer och sparplaner inom prenumerationen, och endast om det tillåts av flaggorna för köp av reservation/sparplan. Företagsadministratörer kan köpa och hantera reservationer och sparplaner på faktureringskontot. Företagsadministratörer (skrivskyddade) kan visa alla köpta reservationer och sparplaner. Flaggorna för köp av reservation/sparplan påverkar inte EA-administratörsrollerna. Företagsadministratörsrollinnehavaren (skrivskyddad) får inte göra inköp. Men om en användare med den rollen även har behörighet som prenumerationsägare, reservationsköpare eller sparplansköpare kan användaren köpa reservationer och/eller sparplaner, oavsett flaggor.
Lägg till en ny Enterprise-administratör
Enterprise-administratörer har fullständig behörighet i hanteringen av en Azure EA-registrering. Den första Azure EA-administratören skapades när EA-avtalet tecknades. Du kan dock när som helst lägga till och ta bort administratörer. Befintliga administratörer skapar nya administratörer. Du kan läsa mer om att lägga till fler Enterprise-administratörer i Skapa en ny Enterprise-administratör i Azure-portalen. Mer information om roller och uppgifter för faktureringsprofiler finns i Roller och uppgifter för faktureringsprofiler.
Uppdatera kontoinnehavares status från väntande till aktiv
När nya kontoinnehavare först läggs till i en Azure EA-registrering är deras status väntande. När en ny kontoinnehavare får sitt aktiveringsmail kan kontoinnehavaren logga in och aktivera sitt konto.
Kommentar
Om kontoägaren är ett tjänstkonto och inte har ett e-postmeddelande använder du en privat session för att logga in på Azure Portal och navigera till Cost Management för att uppmanas att acceptera e-postmeddelandet för aktiveringshälsningen.
När de har aktiverat sitt konto uppdateras kontostatusen från Väntar till Aktiv. Kontoägaren måste läsa innehållet och välja Ja, jag vill fortsätta. Nya användare kan uppmanas att ange sitt för- och efternamn för att skapa ett handelskonto. I så fall måste personen ange den nödvändiga informationen innan kontot aktiveras.
Kommentar
En prenumeration är associerad med ett och endast ett konto. Varningsmeddelandet innehåller information som varnar kontoinnehavaren om att om du accepterar erbjudandet flyttas de prenumerationer som är associerade med kontot till den nya registreringen.
Lägg till en avdelningsadministratör
När en Azure EA-administratör skapar en avdelning så kan Azure Enterprise-administratören lägga till avdelningsadministratörer och koppla dem till en avdelning. En avdelningsadministratör kan skapa nya konton. Nya konton behövs till att skapa Azure EA-prenumerationer.
Direkta EA-administratörer kan lägga till avdelningsadministratörer i Azure-portalen. Mer information finns i Skapa en Azure EA-avdelningsadministratör.
Åtkomst till användning och kostnader per roll
I följande tabell visas åtkomst till användning och kostnader efter administrativ roll.
Aktiviteter | Enterprise-administratör | Enterprise-administratör (skrivskyddad) | EA-inköpare | Avdelningsadministratör | Avdelningsadministratör (skrivskyddad) | Kontoinnehavare | Partner |
---|---|---|---|---|---|---|---|
Visa kreditsaldo inklusive Azure-förskottsbetalning | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
Visa avdelningens utgiftskvot | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
Ange avdelningens utgiftskvot | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
Visa organisationens EA-prisdokument | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
Visa information om användning och kostnader | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
Hantera resurser i Azure-portalen | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Kräver att företagsadministratören aktiverar policyn Visa avgifter för DA i Azure Portalen. Avdelningsadministratören kan sedan se kostnadsinformation för avdelningen.
- ⁷ Kräver att företagsadministratören aktiverar policyn Visa avgifter för AO i Azure Portalen. Kontoinnehavaren kan sedan se kostnadsinformation för kontot.
Visa prissättning för olika användarroller
Du kan se olika priser i Azure Portal beroende på din administrativa roll och hur företagsadministratören anger principerna för visningsavgifter. Du kan aktivera rollen Avdelningsadministratör och Kontoinnehavare för att se avgifterna genom att begränsa åtkomsten till faktureringsinformation.
Information om hur du ställer in dessa principer finns i Hantera åtkomst till faktureringsinformation för Azure.
I följande tabell visas relationen mellan:
- företagsavtal administratörsroller
- Visa debiteringsprincip
- Azure-rollen i Azure Portal
- Priser som visas i Azure Portal
Enterprise-administratören ser alltid användningsinformation baserat på organisationens EA-prissättning. Avdelningsadministratörer och Kontoinnehavare ser däremot olika priser baserat på principen för visning av avgifter och den tilldelade Azure-rollen. Rollen som Avdelningsadministratör i följande tabell avser både rollen Avdelningsadministratör och Avdelningsadministratör (skrivskyddad).
Administratörsroll för Enterprise-avtal | Princip om visning av avgifter för rollen | Azure-roll | Prisvisning |
---|---|---|---|
Kontoinnehavare ELLER Avdelningsadministratör | ✔ Aktiverad | Ägare | Organisationens EA-prissättning |
Kontoinnehavare ELLER Avdelningsadministratör | ✘ Inaktiverad | Ägare | Inga priser |
Kontoinnehavare ELLER Avdelningsadministratör | ✔ Aktiverad | ingen | Inga priser |
Kontoinnehavare ELLER Avdelningsadministratör | ✘ Inaktiverad | ingen | Inga priser |
Ingen | Inte tillämpligt | Ägare | Inga priser |
Du ställer in administratörsroller för Enterprise och visar policyer för avgifter i Azure Portal. Rollen Rollbaserad åtkomstkontroll i Azure (RBAC) kan uppdateras med information i Tilldela Azure-roller med hjälp av Azure Portal.