Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы помочь управлять использованием и расходами организации, клиенты Azure с Соглашение Enterprise могут назначать следующие шесть отдельных административных ролей.
- Администратор предприятия
- Администратор предприятия (только для чтения)¹
- Покупатель EA
- Администратор отдела
- Администратор отдела (только для чтения)
- Владелец учетной записи²
¹ Контакт Bill-To по прямому контракту EA получает эту роль.
² Контактное лицо, которому выставляется счет, нельзя добавить или изменить на портале Azure. Оно добавляется к регистрации EA на основе пользователя, указанного в качестве контактного лица для выставления счета на уровне договора. Чтобы изменить контакт получателя счета, необходимо подать запрос через партнера или консультанта по программному обеспечению в Региональный операционный центр (ROC).
Примечание.
Администраторы предприятия имеют разрешение на создание новых подписок в активных учетных записях регистрации. Дополнительную информацию о создании новых подписок см. в разделе Добавление новой подписки.
Первый администратор регистрации, который был настроен при подготовке регистрации, определяет тип аутентификации для учетной записи контакта, которому будет выставлен счет. Когда контактное лицо, которому выставляется счет, добавляется на портал Azure в качестве администратора с правами только на чтение, ему предоставляется аутентификация учетной записи Microsoft.
Например, если для типа первоначальной аутентификации задано значение "Смешанная", соглашение Enterprise будет добавлено в качестве учетной записи Microsoft, а контактное лицо, которому выставляется счет, имеет права администратора EA только для чтения. Если администратор EA не одобряет авторизацию учетной записи Microsoft для существующего контакта для выставления счета, администратор EA может удалить этого пользователя. Затем они могут попросить клиента снова добавить пользователя в качестве администратора с правами только на чтение с рабочей или учебной учетной записью, настроенной только на уровне регистрации на портале Azure.
Эти роли относятся именно к управлению соглашениями Azure Enterprise и являются дополнением к встроенным ролям Azure, которые используются для управления доступом к ресурсам. Дополнительные сведения см. в статье Встроенные роли Azure.
"Управление затратами и выставление счетов" на портале Azure
Иерархия портала Azure для управления затратами включает в себя следующие компоненты:
Портал Azure для управления затратами — онлайн-портал управления, который поможет вам управлять расходами на службы Azure EA. Вы можете выполнить следующие задачи:
- создать иерархию Azure EA, назначив отделы, учетные записи и подписки;
- выверять затраты на использование служб, скачивать отчеты об использовании и просматривать прайс-листы.
- Создайте ключи API для регистрации.
Отделы — помогают сегментировать затраты на логические группирования. Отделы позволяют задать бюджет или квоту на уровне отдела.
Учетные записи — это организационные единицы на портале Azure для управления затратами. Их можно использовать для управления подписками и доступа к отчетам.
Подписки — это наименьшая единица на портале Azure для управления затратами. Это контейнеры для служб Azure.
На схеме ниже представлены простые варианты иерархий Azure EA.
Роли корпоративных пользователей
Следующие роли пользователей с правами администратора входят в ваше Соглашение о регистрации Enterprise.
- Администратор предприятия
- Покупатель EA
- Администратор отдела
- Владелец учетной записи
- Контактное лицо для уведомлений
Используйте управление затратами в портал Azure, чтобы управлять ролями Azure Соглашение Enterprise.
Клиенты с прямым соглашением EA могут выполнять все задачи администрирования на портале Azure. Вы можете использовать портал Azure для управления выставлением счетов, затратами и службами Azure.
Роли выставления счетов EA можно назначать только отдельным учетным записям пользователей. Назначение этих ролей группам рассылки (DG) и группам безопасности (SG) не поддерживается. Для проверки подлинности каждый пользователь должен иметь действительную рабочую, учебную учетную запись или учетную запись Майкрософт. Убедитесь, что каждая учетная запись связана с адресом электронной почты, чтобы активно отслеживать ее. Уведомления о регистрации отправляются на адрес электронной почты.
Примечание.
Роль владельца учетной записи часто назначается учетной записи службы, которая не имеет активно отслеживаемой электронной почты.
При настройке пользователей вы можете назначить роль администратора предприятия нескольким учетным записям. В регистрации может быть несколько владельцев учетных записей, например по одной для каждого отдела. Кроме того, роли администратора предприятия и владельца учетной записи можно назначить одной учетной записи.
Администратор предприятия
Пользователи с этой ролью имеют самый высокий уровень доступа к регистрации. Они могут выполнять следующие действия:
- управлять учетными записями и их владельцами;
- управлять другими администраторами предприятия;
- управлять администраторами подразделений;
- управлять контактными данными для отправки уведомлений;
- приобретать службы Azure, включая планы резервирования/экономии;
- просматривать сведения об использовании во всех учетных записях;
- просматривать неоплачиваемые расходы для всех учетных записей.
- Создание новых подписок в рамках активных учетных записей регистрации.
- просматривать все заказы на планы резервирования/экономии, а также планы резервирования/экономии, которые применяются к Соглашению Enterprise.
- Администратор предприятия (только для чтения) может просматривать заказы на резервирование, заказы на планы экономии, а также сами резервирования и планы экономии. Они не могут управлять ими.
Вы можете иметь несколько администраторов предприятия в регистрации предприятия. Вы можете предоставить администраторам предприятия доступ только на чтение.
Роль администратора по соглашению Enterprise автоматически наследует все права доступа и привилегии роли администратора отдела. Поэтому нет необходимости назначать вручную администратору EA роль администратора отдела.
Роль администратора предприятия может быть назначена нескольким учетным записям.
Покупатель EA
Пользователи с этой ролью имеют разрешения на покупку служб Azure, но не могут управлять учетными записями. Они могут выполнять следующие действия:
- приобретать службы Azure, включая планы резервирования/экономии;
- просматривать сведения об использовании во всех учетных записях;
- Обзор невыставленных расходов по всем учетным записям.
- Просматривать и управлять всеми заказами на планы резервирования/экономии и сами планы резервирования/экономии, которые применяются к Корпоративному соглашению.
В настоящее время роль покупателя EA включена только для доступа на основе SPN. Чтобы узнать, как назначить роль имени служебного субъекта, см. в статье Назначение ролей для имен служебных субъектов Соглашения об использовании в рамках Enterprise Azure.
Если у вас есть разрешение администратора EA или читателя EA, вы можете вызвать API Billing Role Assignments - List By Billing Account, чтобы просмотреть назначения роли покупателя EA в рамках регистрации. Ответ API перечисляет все назначения ролей в регистрации. Чтобы добавить фильтр для роли покупателя EA, выполните фильтрацию с помощью roleDefinitionId da6647fb-7651-49ee-be91-c43c4877f0c4. Значение уникально для роли покупателя в EA.
Администратор отдела
Пользователи с этой ролью могут:
- создавать отделы и управлять ими;
- создавать новых владельцев учетных записей
- просматривать сведения об использовании для отделов, которыми они управляют;
- просматривать затраты, если предоставлены необходимые разрешения.
Вы можете назначить нескольких администраторов отделов для каждой корпоративной регистрации.
Вы можете предоставить администраторам отделов доступ только для чтения при редактировании или создании нового администратора отдела. Для параметра "Только для чтения" выберите значение Да.
Владелец учетной записи
Пользователи с этой ролью могут:
- создавать подписки и управлять ими;
- Управление назначениями ролей подписки.
- просматривать сведения об использовании для подписок.
Каждая учетная запись должна иметь уникальную учетную запись Майкрософт, рабочую или учебную учетную запись. Дополнительные сведения об административных ролях портала Azure см. в статье Сведения об административных ролях для соглашения Azure Enterprise в Azure.
Для каждой учетной записи может быть только один владелец данной учетной записи. Однако в регистрации EA может быть несколько учетных записей. Каждая учетная запись имеет уникального владельца учетной записи.
Для различных учетных записей Microsoft Entra вступление в силу настроек разрешений может занять более 30 минут.
Контактное лицо для уведомлений
Лицо, ответственное за получение уведомлений, получает уведомления об использовании, связанные с регистрацией.
В следующих разделах описаны ограничениях и возможностях каждой роли.
Лимит пользователей для ролей администраторов
В следующей таблице описаны ограничения и разрешения пользователя для каждой административной роли в Соглашение Enterprise.
| Роль | Предельное число пользователей |
|---|---|
| Администратор предприятия | Не ограничено |
| Администратор предприятия (только для чтения) | Не ограничено |
| Покупатель права на использование EA, назначенный имени основного пользователя службы (SPN) | Не ограничено |
| Администратор отдела | Не ограничено |
| Администратор отдела (только для чтения) | Не ограничено |
| Владелец учетной записи | 1 на учетную запись |
Для каждой учетной записи требуется уникальная учетная запись Майкрософт или рабочая или учебная учетная запись.
Организационная структура и разрешения для каждой роли
В следующей таблице показаны ограничения пользователей и разрешения, связанные с каждой административной ролью.
| Задания | Администратор предприятия | Администратор предприятия (только для чтения) | Покупатель EA | Администратор отдела | Администратор отдела (режим только для чтения) | Владелец учетной записи | Партнер |
|---|---|---|---|---|---|---|---|
| Просмотр администраторов предприятия | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Добавление и удаление администраторов предприятия | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Просмотр контактов уведомлений⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Добавление или удаление контактов уведомлений⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Создание отделов и управление ими | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Просмотр администраторов отдела | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| Добавить или удалить администраторов отдела | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
| Просмотр аккаунтов в системе регистрации | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
| Добавление учетных записей в регистрацию, изменение владельца учетной записи | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
| Приобретение резервирований и сберегательных планов | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
| создавать подписки и управлять ими; | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ Контакты для уведомлений получают электронные сообщения о Соглашении Enterprise Azure.
- Задача ⁵ ограничена учетными записями в вашем отделе.
- ⁶ Владелец подписки, покупатель резервов или покупатель планов экономии может приобрести резервирования и планы экономии в рамках подписки, но только если это разрешено флагами, включающими возможность покупки резервов или планов экономии. Администраторы предприятия могут приобретать и управлять резервами и планами экономии в учетной записи выставления счетов. Администраторы предприятия с правами только для чтения могут просматривать все приобретенные резервирования и планы по экономии. Флаги активации плана резервирования/экономии не влияют на роли администратора EA. Владельцу роли администратора предприятия (только для чтения) запрещено совершать покупки. Однако если пользователь с этой ролью также обладает разрешениями владельца подписки, покупателя резервирования или покупателя сберегательных планов, он может приобретать резервирования и/или сберегательные планы независимо от флагов.
Добавление администратора предприятия
Администраторы предприятия имеют наибольшие права для управления Соглашением о регистрации Azure EA. Первоначальный администратор Azure EA создается при настройке Соглашения Enterprise. Но вы в любое время можете добавить новых администраторов или удалить их. Существующие администраторы создают новых администраторов. Дополнительные сведения о добавлении дополнительных администраторов предприятия см. в разделе Создание еще одного администратора предприятия на портале Azure. Дополнительные сведения о ролях и задачах для выставления счетов см. в разделе о ролях и задачах профиля выставления счетов.
Изменение состояния владельца учетной записи с "Ожидание" на "Активно"
Когда владельцы учетных записей (AO) впервые добавляются в соглашение о регистрации Azure EA, их статус отображается как Ожидание. Когда новый владелец учетной записи получает сообщение электронной почты с приглашением для активации, он может войти в систему и активировать учетную запись.
Примечание.
Если владелец учетной записи является служебной учетной записью и не имеет адреса электронной почты, используйте сеанс In-Private для входа в портал Azure и перейдите в 'Управление затратами', чтобы принять письмо с приветствием и активацией.
После активации учетной записи состояние учетной записи обновляется с "Ожидание " до "Активный". Владелец учетной записи должен прочитать содержимое и выбрать "Да", я хочу продолжить. Новых пользователей могут попросить ввести их имя и фамилию для создания коммерческого аккаунта. Если это так, они должны добавить необходимую информацию для продолжения, и затем учетная запись будет активирована.
Примечание.
Подписка связана с одной и только одной учетной записью. Предупреждение содержит сведения, предупреждающие владельца учетной записи, что принятие предложения перемещает подписки, связанные с учетной записью, в новую регистрацию.
Добавление администратора отдела
Когда администратор Azure EA завершит создание отдела, администратор предприятия Azure может добавить администраторов отдела и связать их с отделом. Администратор подразделения может создавать новые учетные записи. Новые учетные записи нужны для создания подписок Azure EA.
Администраторы EA с прямым доступом могут добавлять администраторов отдела в портале Azure. Дополнительные сведения см. в статье Создание администратора отдела EA Azure.
Доступ к информации о потреблении и расходах в зависимости от роли
В следующей таблице показаны использование и затраты для каждой административной роли.
| Задания | Администратор предприятия | Администратор предприятия (только для чтения) | Покупатель EA | Администратор отдела | Администратор отдела (только для чтения) | Владелец учетной записи | Партнер |
|---|---|---|---|---|---|---|---|
| Просмотр остатка на счете, включая предоплату Azure | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Просмотр квоты расходов для отдела | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Настройка квоты расходов для отдела | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
| Просмотр прайс-листа по соглашению Enterprise для организации | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
| Просмотр сведений о потреблении и затратах | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
| Управление ресурсами на портале Azure | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ Требуется, чтобы администратор предприятия включил политику просмотра расходов DA на портале Azure. После этого администратор отдела сможет просматривать сведения о затратах для отдела.
- ⁸ Требуется, чтобы администратор предприятия включил политику просмотра расходов AO на портале Azure. После этого владелец учетной записи сможет просматривать сведения о затратах для учетной записи.
См. цены для разных ролей пользователей
В портале Azure могут отображаться разные цены в зависимости от вашей административной роли и того, как администратор предприятия устанавливает политики отображения затрат. Включение ролей администратора отдела и владельца учетной записи для просмотра расходов можно ограничить путем ограничения доступа к данным для выставления счетов.
Чтобы узнать, как настроить эти политики, см. Управление доступом к информации о выставлении счетов в Azure.
В следующей таблице показана связь между:
- роли администратора для корпоративного соглашения
- Просмотр политики расходов
- Роль Azure в портале Azure
- Цены, которые вы видите в портале Azure
Корпоративный администратор всегда видит сведения о потреблении на основе ценообразования по соглашению EA для организации. Однако администратору отдела и владельцу учетной записи будут отображаться различные виды цен на основе политики просмотра стоимости и их роли в Azure. В следующей таблице роль администратора отдела объединяет роли администратора отдела и администратора отдела (только для чтения).
| Административная роль для Корпоративного соглашения | Правила начислений для роли | Роль Azure | Представление цен |
|---|---|---|---|
| Владелец учетной записи или администратор отдела | ✔ Включено | Владелец | Цены для организации по корпоративному соглашению |
| Владелец учетной записи или администратор отдела | ✘ Отключено | Владелец | Нет данных о ценах |
| Владелец учетной записи или администратор отдела | ✔ Включено | none | Нет данных о ценах |
| Владелец учетной записи или администратор отдела | ✘ Отключено | none | Нет данных о ценах |
| None | Неприменимо | Владелец | Нет данных о ценах |
Вы настраиваете роль администратора предприятия и просматриваете политики расходов на портале Azure. Роль управления доступом на основе ролей (RBAC) Azure можно обновить, используя информацию в разделе Назначение ролей Azure с помощью портала Azure.