管理 Azure 企业协议角色
为协助管理组织的使用情况和开支,签署了企业协议的 Azure 客户可以分配以下六个不同的管理角色。
- 企业管理员
- 企业管理员(只读)¹
- EA 买方
- 部门管理员
- 部门管理员(只读)
- 帐户所有者²
¹ EA 合同的“收票方”联系人在此角色下。
² 无法在 Azure 门户中添加或更改“收票方”联系人。 它将根据协议级别上设置为“收票方”联系人的用户添加到 EA 注册。 若要更改“收票方”联系人,需要通过合作伙伴/软件顾问向区域运营中心 (ROC) 发出请求。
由注册预配期间设置的第一位注册管理员确定“收票方”联系人帐户的身份验证类型。 当“收票方”联系人作为只读管理员添加到 Azure 门户时,将进行 Microsoft 帐户身份验证。
例如,如果初始身份验证类型设置为“混合”,则 EA 会添加为 Microsoft 帐户,而“收票方”联系人具有只读 EA 管理员权限。 如果 EA 管理员未批准现有“收票方”联系人的 Microsoft 帐户授权,EA 管理员可以删除有问题的用户。 然后,他们可以要求客户将该用户重新添加为只读管理员,并在 Azure 门户中的注册级别设置“仅限工作或学校帐户”。
这些角色专用于管理 Azure 企业协议,是在 Azure 用于控制资源访问权限的内置角色的基础上添加的。 有关详细信息,请参阅 Azure 内置角色。
Azure 成本管理和计费门户
用于成本管理的 Azure 门户层次结构包括:
Azure 成本管理门户 - 一个在线管理门户,可帮助你管理 Azure EA 服务的成本。 可执行以下任务。
- 创建包含部门、帐户和订阅的 Azure EA 层次结构。
- 核对所用服务的成本、下载使用情况报表,以及查看价目表。
- 创建用于注册的 API 密钥。
“部门”可帮助你将成本细分为逻辑分组。 使用部门可在部门级别设置预算或配额。
帐户是 Azure 成本管理门户中的组织单位。 可以使用帐户来管理订阅和访问报表。
订阅是 Azure 成本管理门户中的最小单位。 它们是 Azure 服务的容器。
下图演示了简单的 Azure EA 层次结构。
企业用户角色
以下管理用户角色是企业注册的一部分:
- 企业管理员
- EA 买方
- 部门管理员
- 帐户所有者
- 通知联系人
使用 Azure 门户中的“成本管理”,以便可管理 Azure 企业协议角色。
直接 EA 客户可以完成 Azure 门户中的所有管理任务。 可以使用 Azure 门户管理账单、成本和 Azure 服务。
用户角色与用户帐户相关联。 为了验证用户真实性,每个用户必须具有有效的工作、学校或 Microsoft 帐户。 请确保每个帐户都与主动监视它的电子邮件地址相关联。 注册通知将发送到该电子邮件地址。
注意
帐户所有者角色通常会分配给没有主动监视电子邮件的服务帐户。
设置用户时,可将多个帐户分配到企业管理员角色。 一个注册可以有多个帐户所有者,例如,每个部门一个帐户所有者。 此外,可向单个帐户同时分配企业管理员和帐户所有者角色。
企业管理员
具有此角色的用户拥有对注册的最高级别访问权限。 他们可以:
- 管理帐户和帐户所有者。
- 管理其他企业管理员。
- 管理部门管理员。
- 管理通知联系人。
- 购买 Azure 服务,包括预留/节省计划。
- 查看所有帐户的使用情况。
- 查看所有帐户的未开单费用。
- 在活动注册帐户下创建新订阅。
- 查看并管理企业协议适用的所有预留/节省计划订单和预留/节省计划。
- 企业管理员(只读)可以查看预留/节省计划订单和预留/节省计划。 他们不能对其进行管理。
可以在一个企业注册中分配多个企业管理员。 可以向企业管理员授予只读访问权限。
EA 管理员角色自动继承部门管理员角色的所有访问权限和特权。 因此,无需手动为 EA 管理员提供部门管理员角色。
企业管理员角色可以分配到多个帐户。
EA 买方
具有此角色的用户有权购买 Azure 服务,但无权管理帐户。 他们可以:
- 购买 Azure 服务,包括预留/节省计划。
- 查看所有帐户的使用情况。
- 查看所有帐户的未开单费用。
- 查看并管理企业协议适用的所有预留/节省计划订单和预留/节省计划。
目前仅对基于 SPN 的访问启用 EA 买方角色。 若要了解如何将角色分配给服务主体名称,请参阅将角色分配给 Azure 企业协议服务主体名称。
部门管理员
具有此角色的用户可以:
- 创建和管理部门。
- 创建新的帐户所有者。
- 查看他们所管理的部门的使用情况详细信息。
- 查看成本(如果拥有所需的权限)。
可为每个企业注册分配多个部门管理员。
编辑或新建部门管理员时,可以向部门管理员授予只读访问权限。 将只读选项设置为“是”。
帐户所有者
具有此角色的用户可以:
- 创建和管理订阅。
- 管理订阅角色分配。
- 查看订阅的使用情况。
每个帐户需要唯一的工作、学校或 Microsoft 帐户。 有关 Azure 门户管理角色的详细信息,请参阅了解 Azure 中的 Azure 企业协议管理角色。
每个帐户只能有一个帐户所有者。 但在 EA 注册中可以有多个帐户。 每个帐户都有一个独一无二的帐户所有者。
对于不同的 Microsoft Entra 帐户,权限设置可能需要超过 30 分钟才能生效。
通知联系人
通知联系人接收注册相关的使用情况通知。
以下部分介绍每个角色的限制和功能。
管理员角色的用户限制
下表概述了企业协议中每个管理角色的用户限制和权限。
角色 | 用户限制 |
---|---|
企业管理员 | 无限制 |
企业管理员(只读) | 无限制 |
分配给服务主体名称 (SPN) 的 EA 购买者 | 无限制 |
部门管理员 | 无限制 |
部门管理员(只读) | 无限制 |
帐户所有者 | 每个帐户一个³ |
³ 每个帐户需要唯一的 Microsoft 帐户,或者工作或学校帐户。
组织结构和权限(按角色)
下表显示了与每个管理角色关联的用户限制和权限。
任务 | 企业管理员 | 企业管理员(只读) | EA 买方 | 部门管理员 | 部门管理员(只读) | 帐户所有者 | Partner |
---|---|---|---|---|---|---|---|
查看企业管理员 | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
添加或删除企业管理员 | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
查看通知联系人⁴ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
添加或删除通知联系人⁴ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
创建并管理部门 | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
查看部门管理员 | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
添加或删除部门管理员 | ✔ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ |
查看注册的帐户 | ✔ | ✔ | ✔ | ✔⁵ | ✔⁵ | ✘ | ✔ |
将帐户添加到注册并更改帐户所有者 | ✔ | ✘ | ✘ | ✔⁵ | ✘ | ✘ | ✘ |
购买预留/节省计划 | ✔ | ✘⁶ | ✔ | ✘ | ✘ | ✘ | ✘ |
创建并管理订阅和订阅权限 | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁴ 将会向通知联系人发送有关 Azure 企业协议的电子邮件通信。
- ⁵ 任务局限于部门中的帐户。
- ⁶ 只有在通过预留/节省计划购买启用标志获得允许的情况下,订阅所有者、预留购买者或节省计划购买者才可以在订阅中购买并管理预留和节省计划。 企业管理员可以在整个计费帐户中购买并管理预留和节省计划。 企业管理员(只读)可以查看所有购买的预留和节省计划。 预留/节省计划购买启用标志不影响 EA 管理员角色。 不允许企业管理员(只读)角色持有者进行购买。 但是,如果具有该角色的用户还持有订阅所有者、预留购买者或节省计划购买者权限,则无论标志如何,该用户都可以购买预留和/或节省计划。
添加新的企业管理员
企业管理员拥有管理 Azure EA 注册的大部分特权。 设置 EA 协议时,会创建初始的 Azure EA 管理员。 但是,你随时可以添加或删除新管理员。 现有管理员可创建新的管理员。 若要详细了解如何添加更多企业管理员,请参阅在 Azure 门户中创建另一个企业管理员。 有关计费配置文件角色和任务的详细信息,请参阅计费配置文件角色和任务。
将帐户所有者状态从“挂起”更新为“活动”
首次将新的帐户所有者 (AO) 添加到 Azure EA 注册时,其状态将显示为“挂起”。 当新帐户所有者收到激活欢迎电子邮件时,他们可以登录以激活其帐户。
注意
如果帐户所有者是一个服务帐户,并且没有电子邮件,请使用 In-Private 会话登录到 Azure 门户并导航到“成本管理”以查看系统提供的接受激活欢迎电子邮件的提示。
激活帐户后,其帐户状态将从“挂起”更新为“可用”。 帐户所有者需要阅读内容并选择“是,我希望继续”。 系统可能会提示新用户输入其名字和姓氏来创建商务帐户。 如果出现此提示,他们必须添加所需的信息以继续,然后其帐户将会激活。
备注
每个订阅有且只有一个关联帐户。 警告消息中包含详尽的说明,用于告知帐户所有者接受套餐会导致将与帐户关联的订阅移动到新注册。
添加部门管理员
Azure EA 管理员创建部门后,Azure 企业管理员可以添加部门管理员并将每个管理员关联到某个部门。 部门管理员可以创建新帐户。 需要添加新帐户才能创建 Azure EA 订阅。
直接 EA 管理员可以在 Azure 门户中添加部门管理员。 有关详细信息,请参阅创建 Azure EA 部门管理员。
按角色访问使用情况和成本
下表显示了按管理角色划分的对使用情况和成本的权限。
任务 | 企业管理员 | 企业管理员(只读) | EA 买方 | 部门管理员 | 部门管理员(只读) | 帐户所有者 | Partner |
---|---|---|---|---|---|---|---|
查看额度余额(包括 Azure 预付款) | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
查看部门支出配额 | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
设置部门支出配额 | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ |
查看组织的 EA 价目表 | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ |
查看使用情况和成本详细信息 | ✔ | ✔ | ✔ | ✔⁷ | ✔⁷ | ✔⁸ | ✔ |
管理 Azure 门户中的资源 | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
- ⁷ 要求企业管理员在 Azure 门户中启用“DA 查看费用”策略。 然后,部门管理员就可以查看部门的成本详细信息。
- ⁸ 要求企业管理员在 Azure 门户中启用“AO 查看费用”策略。 然后,帐户所有者就可以查看帐户的成本详细信息。
请参阅不同用户角色的定价
可能会在 Azure 门户中看到不同的定价,具体取决于你的管理角色以及企业管理员设置“查看费用”策略的方式。 可以通过限制对计费信息的访问来仅允许部门管理员和帐户所有者角色查看费用。
若要了解如何设置这些策略,请参阅管理 Azure 账单信息的访问权限。
下图显示了以下项之间的关系:
- 企业协议管理员角色
- “查看费用”策略
- Azure 门户中的 Azure 角色
- 你在 Azure 门户中看到的定价
企业管理员始终可以查看基于组织的 EA 定价的使用情况详细信息。 但是,部门管理员和帐户所有者看到的定价视图并不相同,具体取决于视图费用策略以及二者的 Azure 角色。 下表中列出的部门管理员角色是指部门管理员角色和部门管理员(只读)角色。
企业协议管理员角色 | 角色的视图费用策略 | Azure 角色 | 定价视图 |
---|---|---|---|
帐户所有者或部门管理员 | ✔ 已启用 | “所有者” | 组织的 EA 定价 |
帐户所有者或部门管理员 | ✘ 已禁用 | 所有者 | 无定价 |
帐户所有者或部门管理员 | ✔ 已启用 | none | 无定价 |
帐户所有者或部门管理员 | ✘ 已禁用 | none | 无定价 |
无 | 不适用 | 所有者 | 无定价 |
在 Azure 门户中设置企业管理员角色和“查看费用”策略。 可用使用 Azure 门户分配 Azure 角色中的信息来更新 Azure 基于角色的访问控制 (RBAC) 角色。