管理 Azure Enterprise 合約角色
為了協助管理組織的使用量和支出,具有 Enterprise 合約 的 Azure 客戶可以指派下列六個不同的系統管理角色。
- 企業系統管理員
- 企業系統管理員 (唯讀)¹
- EA 購買者
- 部門系統管理員
- 部門系統管理員 (唯讀)
- 帳戶擁有者²
¹ EA 合約的帳單連絡人屬於此角色。
² 無法在 Azure 入口網站中新增或變更帳單連絡人。 系統會根據在合約層級上設定為「帳單連絡人」的使用者,將其新增至 EA 註冊。 若要變更帳單連絡人,必須透過合作夥伴/軟體顧問向區域營運中心 (ROC) 提出要求。
注意
Enterprise 管理員有權在使用中註冊帳戶下建立新的訂用帳戶。 如需建立新訂用帳戶的詳細資訊,請參閱新增訂用帳戶。
註冊佈建期間所設定的第一個註冊管理員,會決定帳單連絡人帳戶的驗證類型。 帳單連絡人以唯讀管理員的身分新增至 Azure 入口網站時,系統會為其指定 Microsoft 帳戶驗證。
例如,如果初始驗證類型設定為「混合」,則 EA 會新增為 Microsoft 帳戶,而帳單連絡人會擁有唯讀 EA 管理員權限。 如果 EA 管理員未核准現有帳單連絡人的 Microsoft 帳戶授權,EA 管理員可以刪除有問題的使用者。 然後,他們可以要求客戶將使用者重新新增為唯讀系統管理員,並在 Azure 入口網站中的註冊層級設定「僅公司或學校帳戶」。
這些角色專門用來管理 Azure Enterprise 合約,而 Azure 必須控制資源存取權的內建角色除外。 如需詳細資訊,請參閱 Azure 內建角色。
適用於成本管理和計費的 Azure 入口網站
成本管理的 Azure 入口網站階層包含:
Azure 成本管理入口網站 - 可協助您管理 Azure EA 服務成本的線上管理入口網站。 您可以執行下列工作。
- 建立 Azure EA 階層,其中包含部門、帳戶和訂用帳戶。
- 協調已取用服務的成本、下載使用量報告,以及查看價格清單。
- 建立用於註冊的 API 金鑰。
部門可協助您將成本劃分成邏輯群組。 部門可讓您設定部門層級的預算或配額。
帳戶是 Azure 成本管理入口網站中的組織單位。 您可以使用帳戶來管理訂用帳戶和存取報告。
訂用帳戶 是 Azure 成本管理入口網站中的最小單位。 它們是適用於 Azure 服務的容器。
下圖說明簡單的 Azure EA 階層。
企業使用者角色
下列系統管理使用者角色是您企業註冊的一部分:
- 企業系統管理員
- EA 購買者
- 部門系統管理員
- 帳戶擁有者
- 通知連絡人
在 Azure 入口網站中使用成本管理,以便管理 Azure Enterprise 合約角色。
直接 EA 客戶可以在 Azure 入口網站中完成所有系統管理工作。 您可以使用 Azure 入口網站來管理帳單、成本和 Azure 服務。
EA 計費角色只能指派給個別用戶帳戶。 不支援將這些角色指派給通訊群組(DG)和安全組(SG)。 若要驗證使用者的真確性,每位使用者都必須擁有有效的公司、學校或 Microsoft 帳戶。 請確保每個帳戶都與一個電子郵件地址相關聯,以主動加以監控。 註冊通知會傳送至該電子郵件地址。
注意
帳戶擁有者角色通常會指派給沒有主動監視電子郵件的服務帳戶。
設定使用者時,您可以將多個帳戶指派給企業系統管理員角色。 註冊可以有多個帳戶擁有者,例如每個部門一個。 此外,您可以將企業系統管理員和帳戶擁有者角色指派給單一帳戶。
企業系統管理員
此角色的使用者具有註冊的最高層級存取權。 他們可以:
- 管理帳戶和帳戶擁有者。
- 管理其他企業系統管理員。
- 管理部門系統管理員。
- 管理通知連絡人。
- 購買 Azure 服務,包括保留/節省方案。
- 檢視所有帳戶上的使用量。
- 檢視所有帳戶上未開立帳單的費用。
- 在使用中註冊帳戶下建立新的訂用帳戶。
- 檢視並管理適用於 Enterprise 合約的所有保留/節省方案訂單和保留/節省方案。
- 企業系統管理員 (唯讀) 可以檢視保留/節省方案訂單和保留/節省方案。 但他們無法進行管理。
一個企業註冊中可以有多個企業系統管理員。 您可以將唯讀存取權授與企業系統管理員。
EA 管理員角色會自動繼承部門管理員角色的所有存取權和權限。 因此,不需要手動為 EA 管理員提供部門管理員角色。
企業系統管理員角色可以指派給多個帳戶。
EA 購買者
此角色的使用者具有購買 Azure 服務的權限,但不允許管理帳戶。 他們可以:
- 購買 Azure 服務,包括保留/節省方案。
- 檢視所有帳戶上的使用量。
- 檢視所有帳戶上未開立帳單的費用。
- 檢視並管理適用於 Enterprise 合約的所有保留/節省方案訂單和保留/節省方案。
EA 購買者角色目前僅針對 SPN 型存取啟用。 若要了解如何將角色指派給服務主體名稱,請參閱將角色指派給 Azure Enterprise 合約服務主體名稱。
部門系統管理員
具有此角色的使用者可以:
- 建立和管理部門。
- 建立新的帳戶擁有者。
- 針對他們所管理的部門檢視使用量詳細資料。
- 檢視成本 (若已具備必要權限)。
每個企業註冊可以有多個部門系統管理員。
當您編輯或建立新的部門系統管理員時,您可以授與部門系統管理員唯讀存取權。 將 [唯讀] 選項設為 [是]。
帳戶擁有者
具有此角色的使用者可以:
- 建立及管理訂用帳戶。
- 管理訂用帳戶角色指派。
- 檢視訂用帳戶的使用量。
每個帳戶都需要唯一的公司、學校或 Microsoft 帳戶。 如需有關 Azure 入口網站系統管理角色的詳細資訊,請參閱了解 Azure 中的 Azure Enterprise 合約系統管理角色。
每個帳戶只能有一個帳戶擁有者。 不過,EA 註冊中可能會有多個帳戶。 每個帳戶有唯一的帳戶擁有者。
權限設定可能需要 30 分鐘以上才能生效,實際時間因不同的 Microsoft Entra 帳戶而異。
通知連絡人
通知連絡人可接收與註冊相關的使用量通知。
下列各節說明每個角色的限制和功能。
系統管理員角色的使用者限制
下表概述 Enterprise 合約 中每個系統管理角色的使用者限制和許可權。
角色 | 使用者限制 |
---|---|
企業系統管理員 | 不限定 |
企業系統管理員 (唯讀) | 不限定 |
指派給服務主體名稱 (SPN) 的 EA 購買者 | 不限定 |
部門系統管理員 | 不限定 |
部門系統管理員 (唯讀) | 不限定 |
帳戶擁有者 | 每個帳戶 1 個³ |
³ 每個帳戶都需要唯一的 Microsoft 帳戶,或是公司或學校帳戶。
組織結構及依權限的角色
下表顯示與每個系統管理角色相關聯的使用者限制和許可權。
工作 | 企業系統管理員 | 企業系統管理員 (唯讀) | EA 購買者 | 部門系統管理員 | 部門系統管理員 (唯讀) | 帳戶擁有者 | Partner |
---|---|---|---|---|---|---|---|
檢視企業系統管理員 | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
新增或移除企業系統管理員 | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
檢視通知連絡人⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
新增或移除通知連絡人⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
建立和管理部門 | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
檢視部門系統管理員 | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
新增或移除部門系統管理員 | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
在註冊中檢視帳戶 | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
將帳戶新增至註冊,然後變更帳戶擁有者 | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
購買保留/節省方案 | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
建立和管理訂用帳戶及訂用帳戶權限 | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ 有關 Azure Enterprise 合約的電子郵件通訊將會傳送給通知連絡人。
- ⁵ 工作僅限於您部門中的帳戶。
- ⁶ 訂用帳戶擁有者、保留購買者或儲蓄方案購買者可以在訂用帳戶內購買及管理保留和節省方案,且只有在保留/節省方案購買已啟用旗標時才允許。 企業管理員可以在計費帳戶中購買和管理保留及節省方案。 企業管理員 (唯讀) 可以檢視所有已購買的保留和節省方案。 已啟用保留/節省方案購買旗標不會影響 EA 管理員角色。 不允許企業管理員 (唯讀) 角色持有者進行購買。 不過,如果該角色的使用者也持有訂用帳戶擁有者、保留購買者或節省方案購買者權限,則不論旗標為何,使用者都可以購買保留和/或節省方案。
新增企業系統管理員
在管理 Azure EA 註冊上,企業系統管理員擁有最多權限。 設定 EA 合約時會建立最初的 Azure EA 系統管理員。 不過,您可以隨時新增或移除系統管理員。 現有管理員會建立新的管理員。 如需有關新增其他企業管理員的詳細資訊,請參閱在 Azure 入口網站上建立另一個企業系統管理員。 如需有關帳單設定檔角色和工作的詳細資訊,請參閱帳單設定檔角色和工作。
將帳戶擁有者狀態從擱置更新為使用中
當新的帳戶擁有者 (AO) 第一次新增至 Azure EA 註冊時,其狀態會顯示為 [擱置]。 當新的帳戶擁有者收到用於啟用的歡迎電子郵件時,他們就可以登入來啟用其帳戶。
注意
如果帳戶擁有者是服務帳戶,而且沒有電子郵件,請使用 In-Private 工作階段登入 Azure 入口網站並瀏覽至 [成本管理],系統會提示您接受啟用歡迎電子郵件。
啟用其帳戶之後,帳戶狀態會從 [擱置 ] 更新為 [作用中]。 帳戶擁有者必須讀取內容,然後選取 [ 是],我想要繼續。 新使用者可能會提示您輸入其第一個和姓氏來建立商務帳戶。 若是如此,他們必須新增必要的資訊才能繼續,然後帳戶才會啟用。
注意
訂用帳戶只會與一個帳戶相關聯。 警告訊息包含詳細資料,警告接受供應項目的帳戶擁有者會將與帳戶相關聯的訂用帳戶移至新的註冊。
新增部門系統管理員
Azure EA 系統管理員建立部門之後,Azure 企業系統管理員就可以新增部門系統管理員,並將其與部門產生關聯。 部門系統管理員可以建立新的帳戶。 必須有新帳戶,才能建立 Azure EA 訂用帳戶。
直接 EA 系統管理員可以在 Azure 入口網站中新增部門系統管理員。 如需詳細資訊,請參閱建立 Azure EA 部門系統管理員。
依角色存取的使用方式和成本
下表顯示依系統管理角色的使用量和成本存取。
工作 | 企業系統管理員 | 企業系統管理員 (唯讀) | EA 購買者 | 部門系統管理員 | 部門系統管理員 (唯讀) | 帳戶擁有者 | Partner |
---|---|---|---|---|---|---|---|
檢視包括 Azure 預付款在內的信用額度餘額 | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
檢視部門費用配額 | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
設定部門費用配額 | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
檢視組織的 EA 價位表 | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
檢視使用方式和成本詳細資料 | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
管理 Azure 入口網站的資源 | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ 企業系統管理員必須在 Azure 入口網站中啟用 DA 檢視費用原則。 部門系統管理員接著可以查看部門的成本詳細資料。
- ⁸ 企業系統管理員必須在 Azure 入口網站中啟用 AO 檢視費用原則。 帳戶擁有者接著可以查看帳戶的成本詳細資料。
請參閱不同使用者角色的定價
根據您的系統管理角色,以及企業系統管理員設定檢視費用原則的方式,您可能會在 Azure 入口網站中看到不同的價格。 透過限制對計費資訊的存取,可以限制啟用部門系統管理員和帳戶擁有者角色檢視費用。
若要了解如何設定這些原則,請參閱管理對 Azure 帳單資訊的存取。
下表顯示下列項目之間的關聯性:
- Enterprise 合約系統管理員角色
- 檢視費用原則
- Azure 入口網站中的 Azure 角色
- 您在 Azure 入口網站中看到的定價
企業系統管理員所看到的使用方式詳細資料一律會以組織的 EA 價格為依據。 不過,部門系統管理員和帳戶擁有者會根據檢視費用原則及其 Azure 角色而看到不同的價格檢視。 下表所列的部門系統管理員角色是指部門系統管理員和部門系統管理員 (唯讀) 角色。
Enterprise 合約系統管理員角色 | 角色的檢視費用原則 | Azure 角色 | 價格檢視 |
---|---|---|---|
帳戶擁有者或部門系統管理員 | ✔ 已啟用 | 擁有者 | 組織的 EA 價格 |
帳戶擁有者或部門系統管理員 | ✘ 已停用 | 擁有者 | 沒有價格 |
帳戶擁有者或部門系統管理員 | ✔ 已啟用 | 無 | 沒有價格 |
帳戶擁有者或部門系統管理員 | ✘ 已停用 | 無 | 沒有價格 |
None | 不適用 | 擁有者 | 沒有價格 |
您會在 Azure 入口網站中設定企業系統管理員角色和檢視費用原則。 可以透過使用 Azure 入口網站指派 Azure 角色中的資訊,來更新 Azure 角色型存取控制 (RBAC) 角色。