Condividi tramite

Pianificare la registrazione del Contratto Enterprise

  • Articolo

La registrazione del Contratto Enterprise rappresenta la relazione commerciale tra Microsoft e il modo in cui l'organizzazione usa Azure. Fornisce le basi di fatturazione per le sottoscrizioni e la modalità di amministrazione del digital estate. Il pannello Gestione costi Microsoft nel portale di Azure consente di gestire la registrazione di Enterprise Agreement. Un’iscrizione rappresenta spesso la gerarchia di un'organizzazione, inclusi reparti, account e sottoscrizioni. Questa gerarchia rappresenta i centri di costo all'interno di un'organizzazione.

Nota

L'EA Portal di Azure https://ea.azure.com è stato ritirato il 15 febbraio 2024. I clienti devono ora usare il pannello Gestione costi nel portale di Azure per gestire le registrazioni, come descritto più avanti in:

Diagramma che mostra le gerarchie del Contratto Enterprise di Azure.

  • I reparti consentono di segmentare i costi in raggruppamenti logici e di impostare un budget o una quota a livello di reparto. La quota non viene applicata stabilmente. Viene usata per la creazione di report.

  • Gli account sono unità organizzative nel pannello Gestione costi del portale di Azure. È possibile usarli per gestire le sottoscrizioni e accedere ai report.

  • Le sottoscrizioni sono le unità più piccole nel portale di Azure. Si tratta di contenitori per i servizi di Azure gestiti da un amministratore del servizio. È il posto in cui l'organizzazione distribuisce i servizi di Azure.

  • I ruoli di iscrizione Enterprise collegano gli utenti al proprio ruolo funzionale. Questi ruoli sono:

    • Amministratore dell'organizzazione
    • Amministratore del reparto
    • Proprietario dell'account
    • Amministratore del servizio
    • Notification Contact

Relazione tra un’iscrizione Enterprise Agreement, Microsoft Entra ID e il controllo degli accessi di Azure

Quando l'organizzazione usa un’iscrizione Enterprise per le sottoscrizioni di Azure, è importante comprendere i vari limiti di autenticazione e autorizzazione e la relazione tra questi limiti.

Esiste una relazione di trust intrinseca tra le sottoscrizioni di Azure e un tenant Microsoft Entra, descritta più avanti in Associare o aggiungere una sottoscrizione di Azure al tenant Microsoft Entra. Un’iscrizione Enterprise Agreement può anche usare un tenant Microsoft Entra come provider di identità, a seconda del livello di autenticazione impostato per la registrazione e dell'opzione selezionata al momento della creazione del proprietario dell'account di registrazione. Tuttavia, oltre al proprietario dell'account, i ruoli di iscrizione Enterprise Agreement non forniscono l’accesso a Microsoft Entra ID o alle sottoscrizioni di Azure all'interno della registrazione.

Ad esempio, a un utente finanziario viene concesso un ruolo di amministratore dell'organizzazione nella registrazione del Contratto Enterprise. Si tratta di un utente standard senza autorizzazioni elevate o ruoli assegnati in Microsoft Entra ID o in qualsiasi gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa di Azure. L'utente finanziario può eseguire solo i ruoli elencati in Gestione dei ruoli del Contratto Enterprise di Azure e non può accedere alle sottoscrizioni di Azure nella registrazione. L’unico ruolo del Contratto Enterprise con accesso alle sottoscrizioni di Azure è il proprietario dell'account perché questa autorizzazione è stata concessa al momento della creazione della sottoscrizione.

Diagramma che mostra la relazione tra Enterprise Agreement di Azure, Microsoft Entra ID e il controllo degli accessi in base al ruolo.

Considerazioni relative alla progettazione

  • La registrazione offre una struttura organizzativa gerarchica per gestire la modalità di gestione delle sottoscrizioni. Per altre informazioni, vedere Gestione dei ruoli del Contratto Enterprise di Azure.

  • È possibile assegnare un intervallo di amministratori a una singola registrazione.

  • Ogni sottoscrizione deve avere un proprietario dell'account designato. Consultare guida all'amministrazione EA di Azure per informazioni dettagliate su come modificare questa impostazione, se necessario.

  • Ogni proprietario dell'account è un proprietario della sottoscrizione per tutte le sottoscrizioni di cui è stato effettuato il provisioning con tale account.

  • Una sottoscrizione può appartenere a un solo account alla volta.

  • È possibile usare un set specifico di criteri per determinare se una sottoscrizione deve essere sospesa.

  • I reparti e gli account possono filtrare i report di fatturazione e utilizzo dell’iscrizione.

  • Per altre informazioni sulle limitazioni delle sottoscrizioni del Contratto Enterprise, vedere Creare sottoscrizioni del Contratto Enterprise di Azure a livello di codice con le API più recenti.

Avviso

Non sarà possibile creare nuove sottoscrizioni o trasferire sottoscrizioni esistenti da un account di registrazione se l'UPN associato viene eliminato da Microsoft Entra ID.

Suggerimenti per la progettazione

  • Usare il tipo di autenticazione Work or school account solo per tutti i tipi di account. Evitare di usare Microsoft account (MSA) come tipo di account.

  • Configurare un indirizzo di posta elettronica di contatto per le notifiche per assicurarsi che le notifiche siano inviate a una cassetta postale di gruppo appropriata.

  • Un'organizzazione può avere varie strutture, tra cui strutture funzionali, di divisione, geografiche, di matrice o di team. L'uso di reparti e account per eseguire il mapping tra la struttura dell'organizzazione e la gerarchia di registrazione, che può essere utile per separare la fatturazione.

  • Usare report e visualizzazioni di Gestione costi, che possono usare i metadati di Azure (ad esempio tag e posizione) per esplorare e analizzare i costi dell'organizzazione.

  • Limitare e ridurre al minimo il numero di proprietari di account all'interno dell’iscrizione per limitare l'accesso amministratore alle sottoscrizioni e alle risorse di Azure associate.

  • Assegnare un budget per ogni reparto e account e stabilire un avviso associato al budget.

  • Creare nuovi reparti per il settore IT solo se i domini aziendali corrispondenti dispongono di funzionalità IT indipendenti.

  • Se si usano più tenant Microsoft Entra, verificare che il proprietario dell'account sia associato allo stesso tenant in cui viene effettuato il provisioning delle sottoscrizioni per l'account.

  • Per i carichi di lavoro di sviluppo/test (sviluppo/test), usare l’offerta Sviluppo/test Enterprise, se disponibile. Assicurarsi di rispettare le condizioni per l'utilizzo.

  • Non ignorare i messaggi di notifica inviati all'indirizzo di posta elettronica dell'account di notifica. Microsoft invia a questo account importanti richieste del Contratto Enterprise.

  • Non spostare, rinominare o eliminare l'utente Entra ID associato all'account di registrazione EA.

  • Controllare periodicamente il pannello Gestione costi nel portale di Azure per verificare chi può accedere e, se possibile, evitare di usare un account Microsoft.

  • Abilitare sia DA View Charges che AO View Charges per ogni iscrizione a Enterprise Agreement per consentire agli utenti con le autorizzazioni corrette di visualizzare i dati di Gestione costi.

  • Qualsiasi utente con autorizzazioni per la creazione di sottoscrizioni, come descritto qui, deve essere protetto con l'autenticazione a più fattori, perché qualsiasi altro account con privilegi deve essere documentato qui