Considérations et recommandations supplémentaires
Les abonnements sont une unité de gestion, de facturation et de mise à l’échelle au sein d’Azure. Ils jouent un rôle essentiel lorsque vous concevez l’adoption à grande échelle d’Azure. Cet article vous aide à définir les exigences en matière d’abonnement et à concevoir des abonnements cibles sur la base de facteurs critiques qui varient en fonction de l’environnement :
- Types d’environnements
- Modèles de propriété et de gouvernance
- Structures organisationnelles
- Portefeuille d’applications
- Régions
Conseil
Pour plus d’informations sur les abonnements, consultez la vidéo YouTube : Azure landing zones – How many subscriptions should I use in Azure?
Remarque
Si vous utilisez des contrats Entreprise, des contrats client Microsoft (Enterprise) ou des contrats partenaire Microsoft (CSP), examinez les limites d’abonnement dans les comptes de facturation et les champs d’application dans le portail Azure.
Considérations sur les abonnements
Les sections suivantes contiennent des considérations pour vous aider à planifier et créer des abonnements pour Azure.
Considérations sur la conception de l’organisation et de la gouvernance
Les abonnements servent de limites pour l’attribution de stratégies Azure.
Par exemple, des charges de travail sécurisées, comme des charges de travail au standard PCI (Payment Card Industry), nécessitent généralement d’autres stratégies pour être conformes. Au lieu d’utiliser un groupe de gestion pour regrouper les charges de travail qui nécessitent une conformité PCI, vous pouvez obtenir la même isolation avec un abonnement, sans avoir trop de groupes de gestion avec seulement quelques abonnements.
Si vous devez regrouper de nombreux abonnements du même archétype de charge de travail, créez-les sous un groupe de gestion.
Les abonnements servent d’unité d’échelle de façon à ce que les charges de travail des composants puissent adapter leur échelle dans le respect des limites d’abonnement de la plateforme. Veillez à prendre en compte les limites de ressources de l’abonnement lors de la conception de vos charges de travail.
Les abonnements fournissent une délimitation de la gestion pour la gouvernance et l’isolation, qui sépare clairement les problèmes.
Créez des abonnements de plateforme distincts pour la gestion (surveillance), la connectivité et l’identité quand cela est requis.
Établissez un abonnement dédié à la gestion dans votre groupe d’administration de la plateforme qui permet de prendre en charge des fonctionnalités de gestion globales, comme des espaces de travail des journaux Azure Monitor et des runbooks Azure Automation.
Établir un abonnement à identité dédiée dans votre groupe d’administration de la plateforme pour héberger les contrôleurs de domaine Windows Server Active Directory, si nécessaire.
Établissez un abonnement de connectivité dédiée dans votre groupe d’administration de la plateforme pour héberger un hub Azure Virtual WAN, un DNS (Domain Name System) privé, un circuit Azure ExpressRoute et d’autres ressources réseau. Un abonnement dédié garantit que toutes vos ressources réseau de base sont facturées ensemble et isolées des autres charges de travail.
Utilisez les abonnements comme des unités démocratisées d’administration qui s’aligne sur les besoins et priorités de votre entreprise.
Utilisez des processus manuels pour limiter les locataires Microsoft Entra aux abonnements d’inscription de Contrat Entreprise uniquement. Lorsque vous utilisez un processus manuel, vous ne pouvez pas créer d’abonnements Microsoft Developer Network (MSDN) au niveau du groupe d’administration racine.
Pour le support, envoyez un ticket de support Azure.
Pour plus d’informations sur les transferts d’abonnements entre les offres de facturation Azure, consultez Hub de transfert d’abonnements et de réservations Azure.
Considérations sur les régions multiples
Important
Les abonnements ne sont pas liés à une région spécifique et vous pouvez les traiter comme des abonnements globaux. Il s’agit de constructions logiques permettant de fournir des contrôles de facturation, de gouvernance, de sécurité et d’identité pour les ressources Azure qu’ils contiennent. Par conséquent, vous n’avez pas besoin d’un abonnement distinct pour chaque région.
Vous pouvez adopter une approche multirégionale au niveau d’une charge de travail unique pour la mise à l’échelle ou la géo-reprise d’activité après sinistre ou au niveau mondial (différentes charges de travail dans différentes régions).
Un abonnement unique peut contenir des ressources provenant de différentes régions, en fonction des besoins et de l’architecture.
Dans un contexte de géo-reprise d’activité après sinistre, vous pouvez utiliser le même abonnement pour contenir des ressources provenant de régions principales et secondaires, car elles font logiquement partie de la même charge de travail.
Vous pouvez déployer différents environnements pour la même charge de travail dans différentes régions afin d’optimiser les coûts et la disponibilité des ressources.
Dans un abonnement contenant des ressources de plusieurs régions, vous pouvez utiliser des groupes de ressources pour organiser et contenir les ressources par région.
Considérations relatives à la conception de la capacité et du quota
Les régions Azure peuvent posséder un nombre limité de ressources. Par conséquent, vous devez suivre la capacité disponible et les références SKU pour les adoptions Azure qui possèdent un grand nombre de ressources.
Envisagez les limites et les quotas au sein de la plateforme Azure pour chaque service que vos charges de travail requièrent.
Tenez compte de la disponibilité des références (SKU) requises au sein de vos régions Azure choisies. Par exemple, de nouvelles fonctionnalités peuvent n’être disponibles que dans certaines régions. La disponibilité de certaines références SKU pour des ressources données, telles que les machines virtuelles (VM), peut varier d’une région à l’autre.
Tenez compte du fait que les quotas d’abonnement ne constituent pas des garanties de capacité et sont appliqués par région.
Pour les réservations de capacité de machine virtuelle, consultez Réservation de capacité à la demande.
Envisagez de réutiliser les abonnements inutilisés ou désactivés. Pour plus d’informations, consultez Créer ou réutiliser des abonnements Azure.
Considérations relatives à la conception des restrictions de transfert de locataire
Chaque abonnement Azure est lié à un seul locataire Microsoft Entra, qui joue le rôle de fournisseur d’identité (IdP) pour votre abonnement Azure. Utilisez le locataire Microsoft Entra pour authentifier les utilisateurs, les services et les appareils.
Lorsque n’importe quel utilisateur dispose des autorisations requises, il peut modifier le locataire Microsoft Entra lié à votre abonnement Azure. Pour plus d’informations, consultez l’article suivant :
- Associer ou ajouter un abonnement Azure à votre locataire Microsoft Entra
- Transférer un abonnement Azure vers un annuaire Microsoft Entra différent
Remarque
Vous ne pouvez pas transférer vers un autre locataire Microsoft Entra les abonnements au fournisseur de solutions Azure Cloud (CSP).
Pour les zones d’atterrissage Azure, vous pouvez définir des exigences pour empêcher les utilisateurs de transférer des abonnements au locataire Microsoft Entra de votre organisation. Pour plus d’informations, consultez Gérer les stratégies d’abonnement Azure.
Configurez votre stratégie d’abonnement en fournissant une liste d’utilisateurs exemptés. Les utilisateurs exemptés sont autorisés à ignorer les restrictions définies par la stratégie.
Important
Une liste d’utilisateurs exemptés n’est pas une Azure Policy.
Déterminez si vous devez permettre aux utilisateurs qui ont des abonnements Visual Studio ou MSDN Azure de transférer leur abonnement vers ou depuis votre locataire Microsoft Entra.
Seuls les utilisateurs qui ont le rôle Administrateur général Microsoft Entra peuvent configurer les paramètres de transfert de locataire. Ces utilisateurs doivent avoir un accès élevé pour modifier la stratégie.
- Vous pouvez spécifier seulement des comptes d’utilisateur individuels comme utilisateurs exemptés, et non des groupes Microsoft Entra.
Important
Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Tous les utilisateurs ayant accès à Azure peuvent voir la stratégie définie pour votre locataire Microsoft Entra.
Les utilisateurs ne peuvent pas voir votre liste d’utilisateurs exemptés.
Les utilisateurs peuvent voir les administrateurs généraux au sein de votre locataire Microsoft Entra.
Les abonnements Azure que vous transférez vers un locataire Microsoft Entra sont placés dans le groupe d’administration par défaut de ce locataire.
Si votre organisation l’approuve, votre équipe d’application peut définir un processus qui permet de transférer les abonnements Azure vers un locataire Microsoft Entra ou en dehors de celui-ci.
Considérations relatives à la conception de la gestion des coûts
Toute grande entreprise doit relever le défi de la transparence des coûts. Cette section explore les aspects clés pour obtenir la transparence des coûts dans les grands environnements Azure.
Vous devrez peut-être partager des modèles de facturation interne, tels que App Service Environment et Azure Kubernetes Service (AKS), pour obtenir une densité plus élevée. Les modèles de facturation interne peuvent affecter les ressources partagées de platform as a service (PaaS).
Utilisez une planification d’arrêt pour les charges de travail autres que de production pour optimiser les coûts.
Utilisez Azure Advisor pour obtenir des recommandations d’optimisation des coûts.
Établissez un modèle de rétrofacturation pour une meilleure distribution des coûts au sein de votre organisation.
Mettez en place une stratégie afin que les utilisateurs ne puissent pas déployer des ressources non autorisées dans l’environnement de votre entreprise.
Établissez une planification et une cadence régulières pour examiner les coûts et dimensionner les ressources en fonction des charges de travail.
Recommandations en matière d’abonnement
Les sections suivantes contiennent des recommandations pour vous aider à planifier et créer des abonnements pour Azure.
Recommandations en matière d’organisation et de gouvernance
Traitez les abonnements comme une unité d’administration qui s’aligne sur vos besoins et priorités de l’entreprise.
Informez les propriétaires d’abonnements de leurs rôles et responsabilités.
Effectuez une révision d’accès trimestrielle ou annuelle dans Microsoft Entra Privileged Identity Management (PIM) pour vérifier que les privilèges ne prolifèrent pas lorsque les utilisateurs se déplacent au sein de votre organisation.
Prenez pleinement en charge les dépenses budgétaires et les ressources.
Veillez au respect de la stratégie et prenez des mesures correctives si nécessaire.
Lorsque vous identifiez les exigences pour les nouveaux abonnements, référez-vous aux principes suivants :
Limites d’échelle : Les abonnements servent d’unité d’échelle pour que les charges de travail des composants soient mises à l’échelle dans les limites des abonnements de la plateforme. Les charges de travail spécialisées volumineuses, telles que le calcul haute performance, l’IoT et SAP, doivent utiliser des abonnements séparés pour éviter d’atteindre ces limites.
Limite de gestion : les abonnements fournissent une limite de gestion pour la gouvernance et l’isolation, ce qui permet une séparation claire des problèmes. Différents environnements, tels que les environnements de développement, de test et de production, sont souvent supprimés du point de vue de l’administration.
Limite de stratégie : les abonnements servent de limite pour les attributions d’Azure Policy. Par exemple, des charges de travail sécurisées, telles que les charges de travail PCI, requièrent généralement d’autres stratégies pour assurer la conformité. L’autre surcharge n’est pas prise en compte si vous utilisez un abonnement distinct. Les environnements de développement ont des exigences de stratégie plus strictes que les environnements de production.
Topologie de réseau cible : Les réseaux virtuels ne peuvent pas être partagés entre les abonnements, mais vous pouvez les connecter à différentes technologies, comme le peering de réseaux virtuels ou ExpressRoute. Lorsque vous décidez si vous avez besoin d’un nouvel abonnement, il est important de prendre en compte les charges de travail qui doivent communiquer entre elles.
Regroupez les abonnements sous des groupes d’administration qui sont alignés sur votre structure de groupe d’administration et les exigences de stratégie. Regroupez les abonnements pour vous assurer que les abonnements avec le même jeu de stratégies et d’attributions de rôles Azure proviennent du même groupe d’administration.
Établissez un abonnement dédié à la gestion dans votre groupe d’administration
Platform
qui permet de prendre en charge des fonctionnalités de gestion globales, comme des espaces de travail des journaux Azure Monitor et des runbooks Automation.Établissez un abonnement d’identité dédié dans votre groupe d’administration
Platform
pour héberger des contrôleurs de domaine Windows Server Active Directory si nécessaire.Établissez un abonnement de connectivité dédié dans votre groupe d’administration
Platform
pour héberger un hub Virtual WAN, un DNS privé, un circuit ExpressRoute et d’autres ressources réseau. Un abonnement dédié garantit que toutes vos ressources réseau de base sont facturées ensemble et isolées des autres charges de travail.Évitez un modèle d’abonnement rigide. Optez plutôt pour un ensemble de critères flexibles pour regrouper des abonnements dans votre organisation. Cette flexibilité garantit qu’à mesure que la structure et la composition des charges de travail de votre organisation évoluent, vous pourrez créer des groupes d’abonnements au lieu d’utiliser un ensemble fixe d’abonnements existants. Une taille unique ne convient pas pour tous les abonnements et ce qui fonctionne pour une unité commerciale peut ne pas fonctionner pour une autre. Certaines applications peuvent coexister au sein de l’abonnement de la même zone d’atterrissage, tandis que d’autres peuvent nécessiter leur propre abonnement.
Pour plus d’informations, consultez Gérer les zones d’atterrissage de charge de travail dev/test/production.
Recommandations pour plusieurs régions
Ne créez des abonnements supplémentaires pour chaque région que si vous avez des exigences de gouvernance et de gestion spécifiques à la région, par exemple la souveraineté des données ou le dépassement des limites de quota.
Si la mise à l’échelle n’est pas une préoccupation pour un environnement de géo-reprise d’activité après sinistre qui s’étend sur plusieurs régions, utilisez le même abonnement pour les ressources de la région principale et de la région secondaire. Certains services Azure, en fonction de la stratégie et des outils de continuité d’activité et reprise d’activité (BCDR) que vous adoptez, peuvent avoir besoin d’utiliser le même abonnement. Dans un scénario actif-actif, où les déploiements sont gérés indépendamment ou ont des cycles de vie différents, nous vous recommandons d’utiliser des abonnements différents.
La région où vous créez un groupe de ressources et la région des ressources contenues doivent correspondre pour ne pas affecter la résilience et la fiabilité.
Un même groupe de ressources ne doit pas contenir des ressources provenant de différentes régions. Cette approche peut entraîner des problèmes de gestion et de disponibilité des ressources.
Recommandations de quota et de capacité
Utilisez les abonnements comme des unités d’échelle, et effectuez un scale-out des ressources et des abonnements en fonction des besoins. Votre charge de travail peut alors utiliser les ressources requises pour la montée en puissance parallèle sans atteindre les limites d’abonnement dans la plateforme Azure.
Utilisez des réservations de capacité pour gérer la capacité dans certaines régions. Votre charge de travail peut alors avoir la capacité requise pour les ressources à forte demande dans une région spécifique.
Établissez un tableau de bord comportant des vues personnalisées pour surveiller les niveaux de capacité utilisés et configurez des alertes si la capacité approche des niveaux critiques, tels que 90 % d’utilisation de l’UC.
Élevez les demandes de support pour les augmentations de quotas sous l’approvisionnement d’abonnement, par exemple, le nombre total de cœurs de machines virtuelles disponibles dans un abonnement. Assurez-vous que vos limites de quota sont définies avant que vos charges de travail ne dépassent les limites par défaut.
Vérifiez que les services et fonctionnalités requis sont disponibles dans vos régions de déploiement choisies.
Recommandations d’automatisation
- Créez un processus de distributeur d’abonnements afin d’automatiser la création d’abonnements pour les équipes d’application via un workflow de demandes. Pour plus d’informations, voir Distributeur d’abonnements.
Recommandations en matière de restriction de transfert de locataire
Configurez les paramètres suivants pour empêcher les utilisateurs de transférer des abonnements Azure vers votre locataire Microsoft Entra ou en dehors de celui-ci :
Définissez Abonnement sortant d’un annuaire Microsoft Entra sur
Permit no one
.Définissez Abonnement entrant dans un annuaire Microsoft Entra sur
Permit no one
.
Configurez une liste limitée d’utilisateurs exemptés.
Incluez les membres d’une équipe d’exploitation de la plateforme Azure.
Incluez des comptes de secours dans la liste des utilisateurs exemptés.