Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы помочь управлять использованием и расходами организации, клиенты Azure с Соглашение Enterprise могут назначать следующие шесть отдельных административных ролей.
- Администратор предприятия
- Администратор предприятия (только для чтения)¹
- Покупатель EA
- Администратор отдела
- Администратор отдела (только для чтения)
- Владелец учетной записи²
¹ Контакт Bill-To по прямому контракту EA получает эту роль.
2. Не удается добавить или изменить контакт Bill-To на портале Azure. Он добавляется в регистрацию EA на основе пользователя, который настроен как Bill-To контакт на уровне соглашения. Чтобы изменить контакт получателя счета, необходимо подать запрос через партнера или консультанта по программному обеспечению в Региональный операционный центр (ROC).
Примечание.
Администраторы предприятия имеют разрешение на создание новых подписок в активных учетных записях регистрации. Дополнительную информацию о создании новых подписок см. в разделе Добавление новой подписки.
Первый администратор регистрации, настроенный во время подготовки регистрации, определяет тип проверки подлинности учетной записи выставления счетов для контакта. Когда контактное лицо, которому выставляется счет, добавляется на портал Azure в качестве администратора с правами только на чтение, ему предоставляется аутентификация учетной записи Microsoft.
Например, если для исходного типа проверки подлинности задано значение Mixed, EA добавляется в качестве учетной записи Майкрософт, а контакт "Выставление счетов" имеет права администратора EA только для чтения. Если администратор EA не утвердит авторизацию учетной записи Майкрософт для существующего контакта с выставлением счетов, администратор EA может удалить пользователя, на который имеется вопрос. Затем он может попросить клиента добавить пользователя обратно в качестве администратора только для чтения с помощью рабочей или учебной учетной записи, установленной только на уровне регистрации на портале Azure.
Эти роли относятся именно к управлению соглашениями Azure Enterprise и являются дополнением к встроенным ролям Azure, которые используются для управления доступом к ресурсам. Дополнительные сведения см. в статье Встроенные роли Azure.
"Управление затратами и выставление счетов" на портале Azure
Иерархия портала Azure для управления затратами включает в себя следующие компоненты:
Портал Azure для управления затратами — онлайн-портал управления, который поможет вам управлять расходами на службы Azure EA. Вы можете выполнить следующие задачи:
- создать иерархию Azure EA, назначив отделы, учетные записи и подписки;
- Примирите затраты на используемые службы, скачайте отчеты об использовании и просмотрите прайс-списки.
- Создайте ключи API для регистрации.
Отделы — помогают сегментировать затраты на логические группирования. Отделы позволяют задать бюджет или квоту на уровне отдела.
Учетные записи — это организационные единицы на портале Azure для управления затратами. Их можно использовать для управления подписками и доступа к отчетам.
Подписки — это наименьшая единица на портале Azure для управления затратами. Это контейнеры для служб Azure.
На схеме ниже представлены простые варианты иерархий Azure EA.
Роли корпоративных пользователей
Следующие роли администратора являются частью корпоративной регистрации:
- Администратор предприятия
- Покупатель EA
- Администратор отдела
- Владелец учетной записи
- Контактное лицо для уведомлений
Используйте управление затратами на портале Azure , чтобы управлять ролями соглашения Azure Enterprise.
Клиенты с прямым соглашением EA могут выполнять все задачи администрирования на портале Azure. Вы можете использовать портал Azure для управления выставлением счетов, затратами и службами Azure.
Роли выставления счетов EA можно назначать только отдельным учетным записям пользователей. Назначение этих ролей группам рассылки (DG) и группам безопасности (SG) не поддерживается. Для проверки подлинности каждый пользователь должен иметь действительную рабочую, учебную учетную запись или учетную запись Майкрософт. Убедитесь, что каждая учетная запись связана с адресом электронной почты, чтобы активно отслеживать ее. Уведомления о регистрации отправляются на адрес электронной почты.
Примечание.
Роль владельца учетной записи часто назначается учетной записи службы, которая не имеет активно отслеживаемой электронной почты.
При настройке пользователей вы можете назначить роль администратора предприятия нескольким учетным записям. В регистрации может быть несколько владельцев учетных записей, например по одной для каждого отдела. Кроме того, можно назначить роли администратора предприятия и владельца учетной записи одной учетной записи.
Администратор предприятия
Пользователи с этой ролью имеют самый высокий уровень доступа к регистрации. Они могут выполнять следующие действия:
- управлять учетными записями и их владельцами;
- управлять другими администраторами предприятия;
- управлять администраторами подразделений;
- управлять контактными данными для отправки уведомлений;
- приобретать службы Azure, включая планы резервирования/экономии;
- просматривать сведения об использовании во всех учетных записях;
- Просмотрите необясченные расходы во всех учетных записях.
- Создайте новые подписки под активными учетными записями регистрации.
- Просмотр и управление всеми заказами и планами экономии резервирования и резервирования, которые применяются к соглашению Enterprise.
- Администратор предприятия (только для чтения) может просматривать заказы на резервирование, экономию и резервирования и планы экономии. Они не могут управлять ими.
У вас может быть несколько корпоративных администраторов в корпоративной регистрации. Вы можете предоставить администраторам предприятия доступ только на чтение.
Роль администратора EA автоматически наследует все права доступа и привилегии роли администратора отдела. Поэтому нет необходимости назначать вручную администратору EA роль администратора отдела.
Роль администратора предприятия может быть назначена нескольким учетным записям.
Покупатель EA
Пользователи с этой ролью имеют разрешения на покупку служб Azure, но не могут управлять учетными записями. Они могут выполнять следующие действия:
- приобретать службы Azure, включая планы резервирования/экономии;
- просматривать сведения об использовании во всех учетных записях;
- Просмотрите необясченные расходы во всех учетных записях.
- Просмотр и управление всеми заказами и планами экономии резервирования и резервирования, которые применяются к соглашению Enterprise.
Роль покупателя EA в настоящее время включена только для доступа на основе субъекта-службы. Сведения о назначении роли имени субъекта-службы см. в статье "Назначение ролей субъектам-службам Azure Enterprise Agreement".
Если у вас есть разрешение администратора EA или читателя, вы можете вызвать назначения ролей выставления счетов — список API учетной записи выставления счетов , чтобы просмотреть назначения ролей покупателя EA в регистрации. Ответ API перечисляет все назначения ролей в регистрации. Чтобы добавить фильтр для роли покупателя EA, выполните фильтрацию с помощью roleDefinitionId da6647fb-7651-49ee-be91-c43c4877f0c4. Значение уникально для роли покупателя EA.
Администратор отдела
Пользователи с этой ролью могут:
- создавать отделы и управлять ими;
- Создайте новых владельцев учетных записей.
- Просмотр сведений об использовании для управляемых отделов.
- Просмотр затрат, если у них есть необходимые разрешения.
Для каждой корпоративной регистрации может быть несколько администраторов отдела.
Вы можете предоставить администраторам отделов доступ только для чтения при редактировании или создании нового администратора отдела. Для параметра "Только для чтения" выберите значение Да.
Владелец учетной записи
Пользователи с этой ролью могут:
- создавать подписки и управлять ими;
- Управление назначениями ролей подписки.
- Просмотр использования подписок.
Каждая учетная запись должна иметь уникальную учетную запись Майкрософт, рабочую или учебную учетную запись. Дополнительные сведения об административных ролях портала Azure см. в статье Сведения об административных ролях для соглашения Azure Enterprise в Azure.
Для каждой учетной записи может быть только один владелец данной учетной записи. Однако в регистрации EA может быть несколько учетных записей. Каждая учетная запись имеет уникального владельца учетной записи.
Для различных учетных записей Microsoft Entra вступление в силу настроек разрешений может занять более 30 минут.
Контактное лицо для уведомлений
Лицо, ответственное за получение уведомлений, получает уведомления об использовании, связанные с регистрацией.
В следующих разделах описываются ограничения и возможности каждой роли.
Лимит пользователей для ролей администраторов
В следующей таблице описаны ограничения и разрешения пользователя для каждой административной роли в соглашении Enterprise.
| Роль | Предельное число пользователей |
|---|---|
| Администратор предприятия | Не ограничено |
| Администратор предприятия (только для чтения) | Не ограничено |
| Покупатель EA, назначенный имени субъекта-службы (SPN) | Не ограничено |
| Администратор отдела | Не ограничено |
| Администратор отдела (только для чтения) | Не ограничено |
| Владелец учетной записи | 1 на учетную запись |
Для каждой учетной записи требуется уникальная учетная запись Майкрософт или рабочая или учебная учетная запись.
Организационная структура и разрешения для каждой роли
В следующей таблице показаны ограничения пользователей и разрешения, связанные с каждой административной ролью.
| Задания | Администратор предприятия | Администратор предприятия (только для чтения) | Покупатель EA | Администратор отдела | Администратор отдела (только для чтения) | Владелец учетной записи | Партнер |
|---|---|---|---|---|---|---|---|
| Просмотр администраторов предприятия | 〇 | 〇 | 〇 | ✘ | ✘ | ✘ | 〇 |
| Добавление и удаление администраторов предприятия | 〇 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Просмотр контактов уведомлений⁴ | 〇 | 〇 | 〇 | ✘ | ✘ | ✘ | 〇 |
| Добавление или удаление контактов уведомлений⁴ | 〇 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Создание отделов и управление ими | 〇 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Просмотр администраторов отдела | 〇 | 〇 | 〇 | 〇 | 〇 | ✘ | 〇 |
| Добавить или удалить администраторов отдела | 〇 | ✘ | ✘ | 〇 | ✘ | ✘ | ✘ |
| Просмотр учетных записей в регистрации | 〇 | 〇 | 〇 | 〇⁵ | 〇⁵ | ✘ | 〇 |
| Добавление учетных записей в регистрацию, изменение владельца учетной записи | 〇 | ✘ | ✘ | 〇⁵ | ✘ | ✘ | ✘ |
| Приобретение резервирований и сберегательных планов | 〇 | ✘⁶ | 〇 | ✘ | ✘ | ✘ | ✘ |
| создавать подписки и управлять ими; | 〇 | ✘ | ✘ | ✘ | ✘ | 〇 | ✘ |
- ⁴ Контакты для уведомлений получают электронные сообщения о Соглашении Enterprise Azure.
- Задача ⁵ ограничена учетными записями в вашем отделе.
- ⁶ Владелец подписки, покупатель резервирования или покупатель сберегательных планов может приобрести резервирования и сберегательные планы в рамках подписки, а также только в том случае, если это разрешено флагами плана покупки резервирования или экономии. Администраторы предприятия могут приобретать резервирования и планы экономии в учетной записи выставления счетов и управлять ими. Администраторы предприятия (только для чтения) могут просматривать все приобретенные резервирования и планы экономии. Флаги плана приобретения резервирования и экономии не влияют на роли администратора EA. Владелец роли администратора предприятия (только для чтения) не может совершать покупки. Однако если пользователь с этой ролью также обладает разрешениями владельца подписки, покупателя резервирования или покупателя сберегательных планов, он может приобретать резервирования и/или сберегательные планы независимо от флагов.
Добавление администратора предприятия
Администраторы предприятия имеют самые привилегии при управлении регистрацией Azure EA. Первоначальный администратор Azure EA был создан при настройке соглашения EA. Но вы в любое время можете добавить новых администраторов или удалить их. Существующие администраторы создают новых администраторов. Дополнительные сведения о добавлении дополнительных администраторов предприятия см. в разделе Создание еще одного администратора предприятия на портале Azure. Дополнительные сведения о ролях и задачах для выставления счетов см. в разделе о ролях и задачах профиля выставления счетов.
Изменение состояния владельца учетной записи с "Ожидание" на "Активно"
Когда новые владельцы учетных записей (AO) добавляются в регистрацию Azure EA в первый раз, их состояние отображается как ожидающий. Когда новый владелец учетной записи получает сообщение электронной почты с приглашением для активации, он может войти в систему и активировать учетную запись.
Примечание.
Если владелец учетной записи является служебной учетной записью и не имеет адреса электронной почты, используйте сеанс In-Private для входа в портал Azure и перейдите в 'Управление затратами', чтобы принять письмо с приветствием и активацией.
После активации учетной записи состояние учетной записи обновляется с "Ожидание " до "Активный". Владелец учетной записи должен прочитать содержимое и выбрать "Да", я хочу продолжить. Новых пользователей могут попросить ввести их имя и фамилию для создания коммерческого аккаунта. Если это так, они должны добавить необходимую информацию для продолжения, и затем учетная запись будет активирована.
Примечание.
Подписка связана с одной и только одной учетной записью. Предупреждение содержит сведения, предупреждающие владельца учетной записи, что принятие предложения перемещает подписки, связанные с учетной записью, в новую регистрацию.
Добавление администратора отдела
Когда администратор Azure EA завершит создание отдела, администратор предприятия Azure может добавить администраторов отдела и связать их с отделом. Администратор подразделения может создавать новые учетные записи. Новые учетные записи нужны для создания подписок Azure EA.
Администраторы EA с прямым доступом могут добавлять администраторов отдела в портале Azure. Дополнительные сведения см. в статье Создание администратора отдела EA Azure.
Доступ к информации о потреблении и расходах в зависимости от роли
В следующей таблице показаны доступ к использованию и затратам по административной роли.
| Задания | Администратор предприятия | Администратор предприятия (только для чтения) | Покупатель EA | Администратор отдела | Администратор отдела (только для чтения) | Владелец учетной записи | Партнер |
|---|---|---|---|---|---|---|---|
| Просмотр остатка на счете, включая предоплату Azure | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Просмотр квот расходов отдела | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Настройка квоты расходов для отдела | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Просмотр ценовой таблицы EA организации | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Просмотр сведений о потреблении и затратах | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Управление ресурсами на портале Azure | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Требуется, чтобы администратор предприятия включил политику просмотра расходов DA на портале Azure. После этого администратор отдела сможет просматривать сведения о затратах для отдела.
- ⁸ Требует, чтобы администратор предприятия мог просматривать политику расходов на портале Azure. После этого владелец учетной записи сможет просматривать сведения о затратах для учетной записи.
См. цены для разных ролей пользователей
В портале Azure могут отображаться разные цены в зависимости от вашей административной роли и того, как администратор предприятия устанавливает политики отображения затрат. Включение ролей администратора отдела и владельца учетной записи для просмотра расходов может быть ограничено путем ограничения доступа к сведениям о выставлении счетов.
Чтобы узнать, как настроить эти политики, см. Управление доступом к информации о выставлении счетов в Azure.
В следующей таблице показана связь между:
- Роли администратора соглашения Enterprise
- Просмотр политики расходов
- Роль Azure в портале Azure
- Цены, которые вы видите в портале Azure
Администратор предприятия всегда видит сведения об использовании на основе цен на EA организации. Однако администратору отдела и владельцу учетной записи будут отображаться различные виды цен на основе политики просмотра стоимости и их роли в Azure. Роль администратора отдела, указанная в следующей таблице, относится к ролям администратора отдела и администратора отдела (только для чтения).
| Роль администратора соглашения Enterprise | Просмотр политики сборов для роли | Роль Azure | Представление цен |
|---|---|---|---|
| Владелец учетной записи или администратор отдела | ✔ Включено | Владелец | Цены на EA организации |
| Владелец учетной записи или администратор отдела | ✘ Отключен | Владелец | Нет данных о ценах |
| Владелец учетной записи или администратор отдела | ✔ Включено | none | Нет данных о ценах |
| Владелец учетной записи или администратор отдела | ✘ Отключен | none | Нет данных о ценах |
| None | Неприменимо | Владелец | Нет данных о ценах |
Вы настраиваете роль администратора предприятия и просматриваете политики расходов на портале Azure. Роль управления доступом на основе ролей (RBAC) Azure можно обновить, используя информацию в разделе Назначение ролей Azure с помощью портала Azure.