Partager via

Planifier une inscription à un Contrat Entreprise

  • Article

L’inscription à un Contrat Entreprise représente la relation commerciale avec Microsoft et la manière dont votre organisation utilise Azure. L’inscription fournit une base de facturation pour vos abonnements et la façon dont votre patrimoine numérique est administré. Le panneau Microsoft Cost Management dans le Portail Azure vous aide à gérer votre inscription Contrat Entreprise. Un inscription reflète souvent la hiérarchie d’une organisation, avec ses divers départements, comptes et abonnements. Cette hiérarchie représente les centres de coûts au sein d’une organisation.

Remarque

Le Azure EA portal https://ea.azure.com a été mis hors service depuis le 15 février 2024. Les clients doivent désormais utiliser le panneau Cost Management dans le Portail Azure pour gérer leurs inscriptions, comme indiqué plus loin dans :

Diagramme montrant les hiérarchies de Contrat Entreprise Azure.

  • Les services aident à segmenter les coûts en divers regroupements logiques et à définir un budget ou un quota au niveau de chaque service. Le quota n’est pas strictement appliqué. Il est utilisé à des fins de création de rapports.

  • Les comptes sont des unités organisationnelles dans le panneau de gestion des coûts du portail Azure. Ils peuvent être utilisés pour gérer les abonnements et accéder aux rapports.

  • Les abonnements constituent la plus petite unité du portail Azure. Il s’agit de conteneurs des services Azure qui sont managés par un administrateur de service. C’est là que votre organisation déploie les services Azure.

  • Les rôles d’une inscription à un Contrat Entreprise lient les utilisateurs à leur rôle fonctionnel. Ces rôles sont les suivants :

    • Administrateur d’entreprise
    • Administrateur de service
    • Propriétaire du compte
    • Administrateur de services
    • Contact de notification

Relation entre une inscription à un Contrat Entreprise et Microsoft Entra ID et Azure RBAC

Quand votre organisation utilise une inscription à un Contrat Entreprise pour les abonnements Azure, il est important de comprendre les différentes limites d’authentification et d’autorisation, ainsi que la relation entre ces limites.

Il existe une relation d’approbation inhérente entre les abonnements Azure et un locataire Microsoft Entra, qui est décrite plus en détail à la section Associer ou ajouter un abonnement Azure à votre locataire Microsoft Entra. Une inscription à un Contrat Entreprise peut également utiliser un locataire Microsoft Entra en tant que fournisseur d’identité, en fonction du niveau d’authentification défini à l’inscription et de l’option sélectionnée quand le propriétaire du compte d’inscription a été créé. Toutefois, en dehors du propriétaire du compte, les rôles d’une inscription à un Contrat Entreprise ne fournissent pas l’accès à Microsoft Entra ID ou aux abonnements Azure dans le cadre de cette inscription.

Par exemple, un rôle d’administrateur d’entreprise est attribué à un utilisateur du service finance lors de l’inscription à un Contrat Entreprise. Il s’agit d’un utilisateur standard sans autorisations ni rôles élevés attribués dans Microsoft Entra ID, dans un groupe d’administration, dans un abonnement, dans un groupe de ressources ni dans une ressource Azure. L’utilisateur du service finance peut uniquement effectuer les rôles répertoriés dans la liste sous Administration des rôles du Contrat Entreprise Azure. Il ne peut pas accéder aux abonnements Azure de l’inscription. Le seul rôle du Contrat Entreprise avec accès aux abonnements Azure est celui de propriétaire du compte, car cette autorisation a été accordée quand l’abonnement a été créé.

Diagramme montrant la relation entre le Contrat Entreprise Azure et Microsoft Entra ID et RBAC.

Considérations sur la conception

  • L’inscription fournit une structure organisationnelle hiérarchique permettant de régir la façon dont les abonnements sont managés. Pour plus d’informations, consultez Administration des rôles du Contrat Entreprise Azure.

  • Un certain nombre d’administrateurs peuvent être affectés à une inscription unique.

  • Chaque abonnement doit avoir un propriétaire du compte désigné. Pour plus d’informations sur la façon de modifier cela, si nécessaire, consultez le Guide d’administration d’Azure EA.

  • Chaque propriétaire du compte est propriétaire de tout abonnement provisionné sous ce compte.

  • Un abonnement ne peut appartenir qu’à un seul compte à la fois.

  • Un ensemble spécifique de critères peut être utilisé pour déterminer si un abonnement doit être suspendu.

  • Les services et les comptes peuvent filtrer les rapports d’utilisation et de facturation de l’inscription.

  • Pour plus d’informations sur les limitations des abonnements à un Contrat Entreprise, consultez Créer des abonnements Contrat Entreprise Azure programmatiquement avec les API les plus récentes.

Avertissement

Vous ne pourrez pas créer de nouveaux abonnements ou transférer des abonnements existants à partir d'un compte d'inscription si l'UPN associé est supprimé de Microsoft Entra ID.

Recommandations de conception

  • Quel que soit le type de compte, utilisez uniquement le type d'authentification Work or school account. Évitez d'utiliser le type de compte Microsoft account (MSA).

  • Configurez une adresse e-mail de contact pour la notification afin de vous assurer que les notifications sont envoyées à la boîte aux lettres de groupe appropriée.

  • Une organisation peut avoir diverses structures, comme des structures fonctionnelles, par divisions, géographiques, matricielles ou d’équipe. L’utilisation de services et de comptes pour mapper la structure de votre organisation à votre hiérarchie d’inscription peut aider à segmenter la facturation.

  • Utilisez les rapports et les vues Cost Management, qui peuvent utiliser les métadonnées Azure (par exemple les étiquettes et l’emplacement) pour explorer et analyser les coûts de votre organisation.

  • Limitez et réduisez le nombre de propriétaires de compte au sein de l’inscription pour restreindre les accès administrateur aux abonnements et aux ressources Azure associées.

  • Attribuez un budget à chaque service et à chaque compte, puis établissez une alerte associée à ce budget.

  • Créez un nouveau département informatique seulement si les domaines d’activité correspondants disposent de capacités informatiques indépendantes.

  • Si vous utilisez plusieurs locataires Microsoft Entra, vérifiez que le propriétaire du compte est associé au même locataire que celui où les abonnements associés au compte sont approvisionnés.

  • Pour les charges de travail de développement/test, utilisez l’offre Enterprise Dev/Test le cas échéant. Assurez-vous de satisfaire aux Conditions d’utilisation.

  • N’ignorez pas les e-mails de notification envoyés à l’adresse e-mail du compte de notification. Microsoft envoie des invites importantes de Contrat Entreprise à ce compte.

  • Ne déplacez pas, ne renommez pas et ne supprimez pas l’utilisateur Entra ID associé au compte d’inscription EA.

  • Auditez régulièrement le panneau de gestion des coûts dans le portail Azure pour vérifier qui y a accès et, dans la mesure du possible, évitez d'utiliser un compte Microsoft.

  • Activez à la fois Affichage des frais DA et Affichage des frais AO sur chaque inscription à un Contrat Entreprise pour permettre aux utilisateurs disposant des autorisations appropriées d’afficher les données de gestion des coûts Azure.

  • Tout utilisateur disposant d’autorisations sur un accord de mise en œuvre pour créer des abonnements, comme indiqué ici, doit être protégé par l’authentification multifacteur de même que tout autre compte privilégié, comme indiqué ici