Gestire i ruoli del contratto Enterprise di Azure
Per gestire l'utilizzo e la spesa dell'organizzazione, i clienti di Azure con un Contratto Enterprise possono assegnare i sei ruoli amministrativi distinti seguenti.
- Amministratore dell'organizzazione
- Amministratore aziendale (sola lettura)¹
- Addetto acquisti EA
- Amministratore del reparto
- Amministratore del reparto (sola lettura)
- Proprietario dell'account²
¹ Il contatto di fatturazione del contratto EA è in questo ruolo.
² Il contatto di fatturazione non può essere aggiunto o modificato nel portale di Azure. Esso viene aggiunto alla registrazione EA in base all'utente configurato come contatto di fatturazione a livello di contratto. Per cambiare il contatto per la fatturazione, è necessario effettuare una richiesta al Centro operativo regionale tramite un partner/software advisor.
Nota
Gli amministratori aziendali hanno le autorizzazioni per creare nuove sottoscrizioni in account di registrazione attivi. Per altre informazioni sulla creazione di nuove sottoscrizioni, vedere Aggiungere una nuova sottoscrizione.
Il primo amministratore della registrazione configurato durante il provisioning della registrazione determina il tipo di autenticazione dell'account del contatto per la fatturazione. Quando il contatto di fatturazione viene aggiunto al Portale di Azure come amministratore di sola lettura, ottiene l'autenticazione tramite account Microsoft.
Se ad esempio il tipo di autenticazione iniziale è impostato su Misto, il contratto Enterprise viene aggiunto come account Microsoft e il contatto di fatturazione avrà il privilegio di amministratore EA di sola lettura. Se l'amministratore EA non approva l'autorizzazione dell'account Microsoft per un contatto di fatturazione esistente, l'amministratore EA può eliminare l'utente in questione. È quindi possibile chiedere al cliente di aggiungere nuovamente l'utente come amministratore di sola lettura, con un account aziendale o dell'istituto di istruzione impostato solo a livello di registrazione nel portale di Azure.
Questi ruoli sono specifici per la gestione del Contratto Enterprise di Azure e si aggiungono ai ruoli predefiniti disponibili in Azure per controllare l'accesso alle risorse. Per altre informazioni, vedere Ruoli predefiniti di Azure.
Portale di Azure per Gestione dei costi e fatturazione
La gerarchia del portale di Azure per Gestione dei costi è costituita da:
Portale di Azure per la Gestione dei costi - Un portale di gestione online che consente di gestire i costi dei servizi del Contratto Enterprise di Azure. È possibile eseguire le attività riportate di seguito.
- Creare una gerarchia del Contratto Enterprise di Azure con reparti, account e sottoscrizioni.
- Riconciliare i costi dei servizi utilizzati, scaricare report di utilizzo e visualizzare i listini prezzi.
- Creare chiavi API per la registrazione.
Reparti: facilita la segmentazione dei costi in raggruppamenti logici. Tramite i reparti è possibile impostare un budget o una quota a livello di reparto.
Gli account sono unità organizzative nel portale di Azure per la Gestione dei costi. È possibile usare gli account per gestire le sottoscrizioni e accedere ai report.
Le sottoscrizioni sono le unità più piccole nel portale di Azure per la Gestione dei costi. Sono contenitori per i Servizi di Azure.
Il diagramma seguente illustra le semplici gerarchie di Azure EA.
Ruoli utente dell'organizzazione
L'iscrizione Enterprise include i seguenti ruoli utente amministrativi:
- Amministratore dell'organizzazione
- Addetto acquisti EA
- Amministratore del reparto
- Proprietario dell'account
- Contatto per le notifiche
Usare Gestione dei costi nel portale di Azure per gestire i ruoli del Contratto Enterprise di Azure.
I clienti di Contratti Enterprise diretto possono completare tutte le attività amministrative nel portale di Azure. È possibile usare il portale di Azure per gestire la fatturazione, i costi e i servizi di Azure.
I ruoli di fatturazione EA possono essere assegnati solo ai singoli account utente. L'assegnazione di questi ruoli ai gruppi di distribuzione e ai gruppi di sicurezza (SGS) non è supportata. Per convalidarne l'autenticità, è necessario che ogni utente abbia un account Microsoft, dell'istituto di istruzione o aziendale valido. Assicurarsi che ogni account sia associato a un indirizzo e-mail per monitorarlo attivamente. Le notifiche di registrazione vengono inviate all'indirizzo e-mail.
Nota
Il ruolo Proprietario dell'account viene spesso assegnato a un account del servizio che non ha un indirizzo e-mail monitorato attivamente.
Quando si configurano gli utenti, è possibile assegnare più account al ruolo di amministratore dell'organizzazione. Una registrazione può avere più proprietari dell'account, ad esempio uno per reparto. È anche possibile assegnare sia il ruolo di amministratore dell'organizzazione sia ruoli di proprietario dell'account a un singolo account.
Amministratore dell'organizzazione
Gli utenti con questo ruolo hanno il massimo livello di accesso alla registrazione. Possono eseguire le operazioni seguenti:
- Gestire account e proprietari di account.
- Gestire altri amministratori dell'organizzazione.
- Gestire amministratori di reparto.
- Gestire i contatti per le notifiche.
- Acquistare servizi di Azure, incluse le prenotazioni/i piani di risparmio.
- Visualizzare l'utilizzo in tutti gli account.
- Visualizzare gli addebiti non fatturati in tutti gli account.
- Creare nuove sottoscrizioni negli account di registrazione attivi.
- Visualizzare e gestire tutti gli ordini di prenotazioni/piani di risparmio e le prenotazioni/piani di risparmio applicabili al Contratto Enterprise.
- Il ruolo Amministratore dell'organizzazione (sola lettura) può visualizzare gli ordini di prenotazioni/piani di risparmio e le prenotazioni/i piani di risparmio. Non può gestirli.
In una registrazione Enterprise è possibile designare più amministratori dell'organizzazione. Agli amministratori dell'organizzazione è possibile concedere l'accesso in sola lettura.
Il ruolo di amministratore EA eredita automaticamente tutti gli accessi e i privilegi del ruolo di amministratore del reparto. Non è quindi necessario assegnare manualmente a un amministratore EA il ruolo di amministratore del reparto.
Il ruolo di amministratore aziendale può essere assegnato a più account.
Addetto acquisti EA
Gli utenti con questo ruolo hanno le autorizzazioni per acquistare i servizi di Azure, ma non sono autorizzati a gestire gli account. Possono eseguire le operazioni seguenti:
- Acquistare servizi di Azure, incluse le prenotazioni/i piani di risparmio.
- Visualizzare l'utilizzo in tutti gli account.
- Visualizzare gli addebiti non fatturati in tutti gli account.
- Visualizzare e gestire tutti gli ordini di prenotazioni/piani di risparmio e le prenotazioni/piani di risparmio applicabili al Contratto Enterprise.
Il ruolo di acquirente EA è attualmente abilitato solo per l'accesso basato su SPN. Per informazioni su come assegnare il ruolo a un nome dell'entità servizio, vedere Assegnare ruoli a nomi dell'entità servizio di Azure Enterprise Agreement.
Amministratore del reparto
Gli utenti con questo ruolo possono:
- Creare e gestire reparti.
- Creare nuovi proprietari di account.
- Visualizzare i dettagli d'uso per i reparti che gestiscono.
- Visualizzare i costi, se dispongono delle autorizzazioni necessarie.
In ogni registrazione Enterprise è possibile designare più amministratori del reparto.
È possibile concedere agli amministratori del reparto l'accesso in sola lettura quando si modifica o si crea un nuovo amministratore del reparto. Impostare l'opzione di sola lettura su Sì.
Proprietario dell'account
Gli utenti con questo ruolo possono:
- Creare e gestire sottoscrizioni.
- Gestire le assegnazioni di ruolo della sottoscrizione.
- Visualizzare l'utilizzo delle sottoscrizioni.
Ogni account richiede un account Microsoft, dell'istituto di istruzione o aziendale univoco. Per altre informazioni sui ruoli amministrativi del portale di Azure, vedere Informazioni sui ruoli amministrativi per il contratto Enterprise di Azure.
Può esistere un solo proprietario dell'account per ogni account. Tuttavia, è possibile avere più account in una registrazione EA. Ogni account ha un proprietario univoco dell'account.
Per diversi account Microsoft Entra, per applicare l'impostazione delle autorizzazioni sono necessari più di 30 minuti.
Contatto per le notifiche
Il contatto per le notifiche riceve le notifiche sull'utilizzo correlate alla registrazione.
Le sezioni seguenti descrivono i limiti e le funzionalità di ogni ruolo.
Limite di utenti per i ruoli di amministratore
Nella tabella seguente vengono descritti i limiti utente e le autorizzazioni per ogni ruolo amministrativo in un Contratto Enterprise.
Ruolo | Limite di utenti |
---|---|
Amministratore dell'organizzazione | Nessun limite |
Amministratore dell'organizzazione (sola lettura) | Nessun limite |
Addetto acquisti EA assegnato a un nome dell'entità servizio (SPN) | Nessun limite |
Amministratore del reparto | Nessun limite |
Amministratore del reparto (sola lettura) | Nessun limite |
Proprietario dell'account | 1 per account³ |
³ Ogni account richiede un account Microsoft univoco oppure un account aziendale o dell'istituto di istruzione.
Struttura dell'organizzazione e autorizzazioni in base al ruolo
Nella tabella seguente vengono illustrati i limiti utente e le autorizzazioni associati a ogni ruolo amministrativo.
Attività | Amministratore dell'organizzazione | Amministratore dell'organizzazione (sola lettura) | Addetto acquisti EA | Amministratore del reparto | Amministratore del reparto (sola lettura) | Proprietario dell'account | Partner |
---|---|---|---|---|---|---|---|
Visualizzare gli amministratori dell'organizzazione | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
Aggiungere o rimuovere gli amministratori dell'organizzazione | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
Visualizzare i contatti per le notifiche⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
Aggiungere o rimuovere i contatti per le notifiche⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
Creare e gestire i reparti | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
Visualizzare gli amministratore di reparto | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
Aggiungere o rimuovere gli amministratori di reparto | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
Visualizzare gli account nella registrazione | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
Aggiungere gli account alla registrazione e cambiare il proprietario dell'account | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
Acquistare prenotazioni/piani di risparmio | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
Creare e gestire le sottoscrizioni e le relative autorizzazioni | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ Ai contatti per le notifiche vengono inviate comunicazioni sul Contratto Enterprise di Azure tramite e-mail.
- ⁵ L'attività è limitata agli account nel reparto.
- ⁶ Un proprietario della sottoscrizione, un acquirente di prenotazioni o un acquirente del piano di risparmio può acquistare e gestire prenotazioni e piani di risparmio all'interno della sottoscrizione e solo se consentito dai flag abilitati per l'acquisto del piano di prenotazione/risparmio. Gli amministratori dell’organizzazione possono acquistare e gestire prenotazioni e piani di risparmio nell'account di fatturazione. Gli amministratori dell'organizzazione (di sola lettura) possono visualizzare tutte le prenotazioni e i piani di risparmio acquistati. Il flag di acquisto prenotazione/piano di risparmio abilitato non influisce sui ruoli di amministratore EA. Il titolare del ruolo amministratore dell’organizzazione (di sola lettura) non è autorizzato a effettuare acquisti. Tuttavia, se un utente con tale ruolo ha anche un'autorizzazione di proprietario della sottoscrizione o acquirente di prenotazioni o piani di risparmio, potrà acquistare prenotazioni e/o piani di risparmio, indipendentemente dal flag.
Aggiungere un nuovo amministratore dell'organizzazione
Gli amministratori dell'organizzazione hanno il maggior numero di privilegi per la gestione di una registrazione EA di Azure. Il primo amministratore EA di Azure è stato creato al momento della configurazione del contratto Enterprise Agreement. Tuttavia, è possibile aggiungere o rimuovere nuovi amministratori in qualsiasi momento. Gli amministratori già esistenti creano nuovi amministratori. Per altre informazioni sull'aggiunta di altri amministratori dell'organizzazione, vedere Creare un altro amministratore dell'organizzazione nel portale di Azure. Per altre informazioni sui ruoli e le attività del profilo di fatturazione, vedere Ruoli e attività del profilo di fatturazione.
Aggiornare lo stato del proprietario dell'account da in sospeso ad attivo
Quando vengono aggiunti nuovi proprietari di account a una registrazione EA di Azure per la prima volta, il relativo stato viene visualizzato come in sospeso. Quando un nuovo proprietario dell'account riceve il messaggio di posta elettronica di benvenuto per l'attivazione, può accedere per attivare il proprio account.
Nota
Se il proprietario dell'account è un account del servizio e non ha un indirizzo e-mail, usare una sessione privata per accedere al portale di Azure e passare a Gestione dei costi per visualizzare una richiesta di accettazione del messaggio e-mail di benvenuto dell’attivazione.
Dopo aver attivato il proprio account, lo stato dell'account viene aggiornato da In sospeso ad Attivo. Il proprietario dell'account deve leggere il contenuto e selezionare Sì, desidero continuare. Ai nuovi utenti potrebbe essere richiesto di immettere il nome e il nome della famiglia per creare un account commerciale. In tal caso, devono aggiungere le informazioni necessarie per continuare, quindi l'account viene attivato.
Nota
Una sottoscrizione è associata esclusivamente a un unico account. Il messaggio di avviso include i dettagli che segnalano al proprietario dell'account che l'accettazione dell'offerta sposterà le sottoscrizioni associate all'account alla nuova registrazione.
Aggiungere un amministratore del reparto
Dopo che un amministratore EA di Azure ha creato un reparto, l'amministratore dell'organizzazione di Azure può aggiungere amministratori di reparto e associare ognuno a un reparto. Un amministratore del reparto può creare nuovi account. I nuovi account sono necessari per la creazione di sottoscrizioni EA di Azure.
Gli amministratori diretti di EA possono aggiungere amministratori del reparto nel portale di Azure. Per altre informazioni, vedere Creare un amministratore di reparto EA di Azure.
Accesso all'utilizzo e ai costi per ruolo
Nella tabella seguente viene illustrato l'accesso a utilizzo e costi in base al ruolo amministrativo.
Attività | Amministratore dell'organizzazione | Amministratore dell'organizzazione (sola lettura) | Addetto acquisti EA | Amministratore del reparto | Amministratore del reparto (sola lettura) | Proprietario dell'account | Partner |
---|---|---|---|---|---|---|---|
Visualizzare il saldo del credito che include il pagamento anticipato di Azure | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
Visualizzare le quote di spesa del reparto | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
Impostare le quote di spesa del reparto | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
Visualizzare l'elenco prezzi per il Contratto Enterprise dell'organizzazione | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
Visualizzare i dettagli relativi a utilizzo e costi | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
Gestire le risorse nel portale di Azure | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ È necessario che l'amministratore dell'organizzazione abiliti il criterio Visualizzazione addebiti per amministratori di reparto nel portale di Azure. L'amministratore del reparto potrà quindi visualizzare i dettagli dei costi per il reparto.
- ⁸ È necessario che l'amministratore dell'organizzazione abiliti il criterio Visualizzazione addebiti per proprietari di account nel portale di Azure. Il proprietario dell'account può quindi visualizzare i dettagli dei costi per l'account.
Vedere i prezzi per i diversi ruoli utente
È possibile riscontrare differenze di prezzi nel portale di Azure a seconda del ruolo amministrativo e della modalità con cui l'amministratore dell'organizzazione ha impostato i criteri di visualizzazione degli addebiti. È possibile limitare l'abilitazione dei ruoli Amministratore del reparto e Proprietario dell'account per la visualizzazione degli addebiti limitando l'accesso alle informazioni di fatturazione.
Per informazioni su come impostare questi criteri, vedere Gestire l'accesso alle informazioni di fatturazione per Azure.
Nella tabella seguente è illustrata la relazione tra:
- Ruoli di amministratore per il Contratto Enterprise
- Criteri per la visualizzazione degli addebiti
- Ruolo di Azure nel portale di Azure
- Prezzi visualizzati nel portale di Azure
L'amministratore dell'organizzazione esamina i dettagli di utilizzo in base ai prezzi per il Contratto Enterprise dell'organizzazione. Tuttavia, l'amministratore di reparto e il proprietario dell'account vedono visualizzazioni dei prezzi diverse in base ai criteri di visualizzazione degli addebiti e al ruolo di Azure. Il ruolo di amministratore di reparto elencato nella tabella seguente si riferisce sia al ruolo Amministratore di reparto sia al ruolo Amministratore di reparto (sola lettura).
Ruolo di amministratore per il Contratto Enterprise | Criteri per la visualizzazione degli addebiti per ruolo | Ruolo di Azure | Visualizzazione dei prezzi |
---|---|---|---|
Proprietario dell'account OPPURE Amministratore del reparto | ✔ Abilitato | Proprietario | Prezzi per il Contratto Enterprise dell'organizzazione |
Proprietario dell'account OPPURE Amministratore del reparto | ✘ Disabilitato | Proprietario | Nessun prezzo |
Proprietario dell'account OPPURE Amministratore del reparto | ✔ Abilitato | none | Nessun prezzo |
Proprietario dell'account OPPURE Amministratore del reparto | ✘ Disabilitato | none | Nessun prezzo |
nessuno | Non applicabile | Proprietario | Nessun prezzo |
Si impostano il ruolo di amministratore dell'organizzazione e i criteri di visualizzazione degli addebiti nel portale di Azure. Il ruolo Controllo degli accessi in base al ruolo di Azure può essere aggiornato con informazioni in Assegnare ruoli di Azure tramite il portaledi Azure.