你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
企业协议注册计划
企业协议注册表示 Microsoft 与组织使用 Azure 的方式之间的商业关系。 它为订阅以及如何管理数字资产提供计费基础。 Azure 门户中的“Microsoft 成本管理”边栏选项卡可帮助您管理企业协议注册。 注册通常表示组织的层次结构,其中包括部门、帐户和订阅。 此层次结构表示组织内的成本中心。
注意
截至 2024 年 2 月 15 日,Azure EA 门户 https://ea.azure.com 已停用。 现在,客户应使用 Azure 门户中的“成本管理”边栏选项卡来管理其注册,如下所述:
“部门”有助于将成本细分为逻辑分组,以及在部门级别设置预算或配额。 配额不会严格执行,而是用于报告目的。
帐户是 Azure 门户的“成本管理”边栏选项卡中的组织单位。 它们用于管理订阅和访问报表。
“订阅”是 Azure 门户中最小的单位。 它们是服务管理员管理的 Azure 服务的容器。 这是组织部署 Azure 服务的地方。
企业协议注册角色将用户与其功能角色关联。 这些角色包括:
- 企业管理员
- 部门管理员
- 帐户所有者
- 服务管理员
- 通知联系人
企业协议注册与 Microsoft Entra ID 和 Azure RBAC 的关系
当组织为 Azure 订阅使用企业协议注册时,必须了解各种身份验证和授权边界以及这些边界之间的关系。
Azure 订阅与 Microsoft Entra 租户之间存在固有的信任关系,具体说明参见将 Azure 订阅关联或添加到 Microsoft Entra 租户。 企业协议注册还可以使用 Microsoft Entra 租户作为身份提供程序,具体取决于注册上设置的身份验证级别以及创建注册帐户所有者时选择的选项。 但是,除了帐户所有者之外,企业协议注册角色不提供对 Microsoft Entra ID 或该注册中的 Azure 订阅的访问权限。
例如,财务用户被授予企业协议注册的企业管理员角色。 他们是标准用户,无法在 Microsoft Entra ID 中或任何 Azure 管理组、订阅、资源组或资源上为他们分配提升的权限或角色。 财务用户只能执行管理 Azure 企业协议角色中列出的角色,并且无法访问注册中的 Azure 订阅。 唯一有权访问 Azure 订阅的企业协议角色是帐户所有者,因为此权限是在创建订阅时授予的。
设计注意事项
该注册提供了一个分层组织结构,用于控制订阅的管理方式。 有关详细信息,请参阅管理 Azure 企业协议角色。
可以将一系列管理员分配到单个注册。
每个订阅都应具有指定的帐户所有者。 有关如何更改此设置(如果需要)的详细信息,请参阅 Azure EA 管理指南。
每个帐户所有者都是该帐户下预配的所有订阅的订阅所有者。
一个订阅一次只能属于一个帐户。
一组特定的条件可用于确定是否应挂起订阅。
部门和帐户可以筛选注册计费和使用情况报告。
查看使用最新 API 以企业协议方式创建 Azure 订阅,详细了解企业协议限制。
警告
如果从 Microsoft Entra ID 中删除关联 UPN,则无法创建新订阅或从注册帐户转移现有订阅。
设计建议
仅将身份验证类型
Work or school account用于所有帐户类型。 避免使用Microsoft account (MSA)帐户类型。设置通知联系人电子邮件地址,以确保将通知发送到相应的组邮箱。
组织可以具有多种结构,包括职能、部门、地理、矩阵或团队结构。 使用部门和帐户将组织的结构映射到注册层次结构有助于分离计费。
使用成本管理报表和视图,它们可以使用 Azure 元数据(例如标记和位置)来浏览和分析组织的成本。
限制并最大程度减少注册内的帐户所有者数量,以限制对订阅和关联 Azure 资源的管理员访问。
为每个部门和帐户分配预算,并建立与预算关联的警报。
仅当相应的业务域具有独立的 IT 功能时,才为 IT 创建新的部门。
如果使用多个 Microsoft Entra 租户,请验证帐户所有者是否与预配了帐户订阅的租户关联。
不要忽略发送到通知帐户电子邮件地址的通知电子邮件。 Microsoft 向此帐户发送重要的企业协议提示。
请勿移动、重命名或删除与 EA 注册帐户关联的 Entra ID 用户。
定期审核 Azure 门户中的“成本管理”边栏选项卡以查看有访问权限的用户,并尽可能避免使用 Microsoft 帐户。
在每个企业协议注册上启用DA 查看费用和 AO 查看费用,以允许具有正确权限的用户查看成本管理数据。