共用方式為

Enterprise 合約註冊方案

  • 發行項

Enterprise 合約註冊代表 Microsoft 與您的組織如何使用 Azure 之間的商業關係。 它為您的訂用帳戶提供計費基礎,以及數位資產的管理方式。 Azure 入口網站中的 [Microsoft 成本管理] 刀鋒視窗可協助您管理 Enterprise 合約註冊。 註冊通常代表組織的階層,包括部門、帳戶和訂用帳戶。 此階層代表組織內的成本中心。

注意

自 2024 年 2 月 15 日起,Azure EA 入口網站 https://ea.azure.com 已淘汰。 客戶現在應該使用 Azure 入口網站中的 [成本管理] 刀鋒視窗來管理其註冊,詳見如下:

顯示 Azure Enterprise 合約階層的圖表。

  • 部門有助於將成本分割成邏輯群組,以及設定部門層級的預算或配額。 配額並不會嚴格執行,而是用於報告用途。

  • 帳戶是 Azure 入口網站的 [成本管理] 刀鋒視窗中的組織單位。 它們可以用來管理訂用帳戶和存取報表。

  • 訂用帳戶是 Azure 入口網站中的最小單位。 它們是由服務管理員所管理的 Azure 服務容器。 您的組織就是在此部署 Azure 服務。

  • Enterprise 合約註冊角色會連結使用者與其功能角色。 這些角色包括:

    • 企業系統管理員
    • 部門系統管理員
    • 帳戶擁有者
    • 服務管理員
    • 通知連絡人

Enterprise 合約註冊與 Microsoft Entra ID 和 Azure RBAC 的關聯

當 貴組織針對 Azure 訂用帳戶使用 Enterprise 合約註冊時,請務必了解各種驗證和授權界限,以及這些界限之間的關聯。

Azure 訂用帳戶與 Microsoft Entra 租用戶之間存在著固有的信任關係,詳情請參閱將 Azure 訂用帳戶關聯或新增至您的 Microsoft Entra 租用戶。 Enterprise 合約註冊也可以使用 Microsoft Entra 租用戶作為識別提供者,根據在註冊上設定的驗證層級以及建立註冊帳戶擁有者時選取的選項而定。 不過,除了帳戶擁有者之外,Enterprise 合約註冊角色不會提供該註冊內 Microsoft Entra ID 或 Azure 訂用帳戶的存取權。

例如,財務使用者會在 Enterprise 合約註冊上授與「企業系統管理員」角色。 他們是標準使用者,沒有在 Microsoft Entra ID 或任何 Azure 管理群組、訂用帳戶、資源群組或資源上指派給他們的提高權限或角色。 財務使用者只能執行管理 Azure Enterprise 合約角色中列出的角色,而且無法存取註冊上的 Azure 訂用帳戶。 帳戶擁有者是唯一具有 Azure 訂用帳戶存取權的 Enterprise 合約角色,因為此權限是在建立訂用帳戶時授與的。

此圖顯示 Azure Enterprise 合約與 Microsoft Entra ID 和 RBAC 的關聯。

設計考量

  • 註冊提供階層式的組織結構來控管訂用帳戶的受控方式。 有關更多資訊,請參閱 Azure Enterprise 合約角色

  • 可將多個系統管理員指派給單一註冊。

  • 每個訂用帳戶都應該有一個指定的帳戶擁有者。 有關如何視需要變更這項功能的詳細資訊,請參閱 Azure EA 系統管理員指南

  • 每個帳戶擁有者都是在該帳戶下佈建之任何訂用帳戶的訂用帳戶擁有者。

  • 訂用帳戶每次都只能屬於一個帳戶。

  • 您可以使用一組特定的準則來判斷是否應暫停訂用帳戶。

  • 部門和帳戶可以篩選註冊計費和使用量報告。

  • 如需 Enterprise 合約訂用帳戶限制的詳細資訊,請參閱以程式設計方式建立具有最新 API 的 Azure Enterprise 合約訂用帳戶

警告

如果從 Microsoft Entra ID 中刪除相關聯的 UPN ,您將無法建立新的訂用帳戶,或從註冊帳戶轉移現有的訂用帳戶。

設計建議

  • 僅對所有帳戶類型使用驗證類型 Work or school account。 避免使用 Microsoft account (MSA) 帳戶類型。

  • 設定通知連絡人的電子郵件地址,以確保通知會傳送至適當的群組信箱。

  • 組織可以有各種結構,包括:功能、分部、地理、矩陣或團隊結構。 使用部門和帳戶將組織的結構對應至註冊階層,有助於分隔計費。

  • 使用成本管理報告和檢視,其可以使用 Azure 中繼資料 (例如,標籤和位置) 來探索和分析 貴組織的成本。

  • 限制並將註冊內的帳戶擁有者數目降至最低,以限制系統管理員存取訂用帳戶和相關聯 Azure 資源。

  • 指派每個部門和帳戶的預算,並建立與預算相關聯的警示。

  • 僅當相應的商業網域具有獨立的 IT 功能時,才為 IT 建立新的部門。

  • 如果使用多個 Microsoft Entra 租用戶,請確認帳戶擁有者與為該帳戶佈建的訂用帳戶所在的同一租用戶相關聯。

  • 針對開發/測試 (開發/測試) 工作負載,請使用 Enterprise 開發/測試供應項目 (如果有的話)。 請確定您遵守使用規定

  • 不要忽略傳送至通知帳戶電子郵件地址的通知電子郵件。 Microsoft 會將重要的 Enterprise 合約提示傳送至此帳戶。

  • 請勿移動、重新命名或刪除與 EA 註冊帳戶相關聯的 Entra ID 使用者。

  • 定期稽核 Azure 入口網站中的 [成本管理] 刀鋒視窗,以檢閱誰有存取權,並盡可能避免使用 Microsoft 帳戶。

  • 在每個 Enterprise 合約註冊上啟用 DA 檢視費用AO 檢視費用,以允許具有正確權限的使用者檢視「成本管理」資料。

  • 擁有註冊權限以建立訂用帳戶的任何使用者,如這裡所述,必須受到多重要素驗證的保護,因為任何其他特殊許可權帳戶都應該如這裡所述