管理 Microsoft 客户协议账单帐户中的租户

本文可帮助你了解和管理与Microsoft Customer Agreement计费帐户关联的租户。 使用这些信息来管理租户、转移订阅和管理计费所有权,同时确保对计费环境的访问是安全的。

什么是租户?

租户是组织的数字表示形式,主要与域(如 Azure.cn)相关联。 它是通过Microsoft Entra ID管理的环境,可用于分配用户权限来管理Azure资源和计费。

每个租户都是独特的,独立于其他租户。 可以使用以下方法之一,允许来自其他租户的用户access计费帐户:

  • 在租户中创建来宾用户并分配相应的计费角色。
  • 将其他租户与您的租户关联,并分配适当的计费角色。

什么是关联租户?

关联租户是指与您的主要计费租户的计费帐户相关联的租户。 可以将Microsoft 365订阅移动到这些租户。 还可以将计费帐户角色分配给关联的计费租户中的用户。 详细了解关联租户信息:使用关联计费租户跨多个租户管理计费

租户和订阅如何与计费帐户相关

使用Microsoft Customer Agreement(计费帐户)跟踪成本和管理计费。 每个计费帐户都至少有一个计费对象信息项。 计费档案允许您管理发票和付款方式。 各计费对象信息默认包含一个发票科目。 如果需要,可创建更多发票科目以跟踪和管理成本,并对成本进行分组。

  • 你的计费帐户与单个主要租户关联。 如果已分配相应的计费角色,则属于主租户或关联租户的一部分的用户可以访问您的计费帐户。
  • 当您为计费帐户创建新的 Azure 订阅时,该订阅会在您的租户或您有权限访问的其他租户中创建。 在创建订阅时您可以选择租户。
  • 你可以将订阅移动到其他租户。 你还可将其他租户的现有订阅链接到你的计费帐户。 借助此灵活性,你可通过一个租户集中管理计费,同时根据需要将资源和订阅保留在其他租户中。

下图显示了如何将计费帐户和订阅链接到租户。 假设 Contoso 希望通过 MCA 简化其计费管理。 Contoso MCA 计费帐户在租户 1 中,而 Contoso PAYG 帐户在租户 2 中。 他们可以使用计费所有权转让将订阅链接到其 MCA 计费帐户。 订阅及其资源仍与租户 2 关联,但通过 MCA 计费账户支付费用。

显示示例计费层次结构的关系图。

在单个Microsoft Customer Agreement中管理多个租户下的订阅

当计费所有者有针对计费帐户的适当权限时,他们可创建订阅。 默认情况下,在Microsoft Customer Agreement下创建的任何新订阅都位于当前用户的租户中。 从用户有权限访问的租户列表中,可以选择不同的租户来创建订阅。

  • 可以将来自其他租户的订阅链接到Microsoft Customer Agreement计费帐户。 获取订阅的计费所有权只会更改开票排列。 它不会影响服务租户或Azure RBAC 角色。

计费所有权转让

计费所有权转让只更改单个订阅的发票安排。 订阅的用户和资源管理不会更改。

计费所有权转移会执行两项操作:

  • 订阅的原始计费责任已被移除。
  • 订阅计费的所有权会被链接到目标计费账户,该账户可能位于另一个租户或目录中。

计费所有权转让不会影响以下项:

  • 用户
  • 资源
  • Azure RBAC 权限

将角色分配给用户以符合 Microsoft 客户协议

有三种方法具有计费所有者访问权限的用户可以为用户分配角色到 MCA。

了解 Azure 门户中的来宾用户

来宾用户(也称为来宾用户或 B2B 用户)是受邀访问Azure Active Directory(Azure AD)租户中的资源的外部用户。 通常,此用户在另一Azure AD 租户或标识提供者中具有主要标识,并通过 Azure AD B2B(企业到企业)协作功能接收访问权限。 邀请后,来宾用户会显示在邀请组织的目录中,并且可以像任何其他用户一样分配角色和权限。

访问Azure门户

来宾用户必须使用自己的组织的凭据登录到 Azure 门户。 身份验证成功后,如果他们是多个租户的成员,则应从Azure门户中右上角的用户菜单中选择主机目录(客户端组织)。

进入客户端目录后,来宾用户将看到根据其分配的角色可用的资源和功能。 他们可以导航到:

  • 成本管理 + 计费:所有与计费相关任务的主界面。
  • 计费帐户、配置文件和发票部分:根据访问权限可见。

将来宾用户添加到 Microsoft 客户协议租户中

必须将添加到 Microsoft Customer Agreement 计费租户的用户作为来宾邀请,以便管理来自不同租户的计费责任。

用户要邀请某人作为来宾,其电子邮件地址的域名必须与 Microsoft Entra 域不同。 Microsoft Entra ID向来宾用户发送一封电子邮件,其中包含身份验证链接。

显示一个示例电子邮件邀请的屏幕截图。

选择 Accept 邀请链接时,系统会提示他们使用 Azure 进行身份验证。

截图显示需要使用 Azure 进行身份验证的提示。

然后,他们选择“接受”。

显示接受邀请的提示的屏幕截图。

接受后,他们可以查看成本管理 + 计费下的Microsoft Customer Agreement计费帐户。

截图显示的是在计费账户列表中的 Microsoft Customer Agreement。

邀请来宾用户的授权由Microsoft Entra设置控制。 在“组织关系”页的“设置”下显示设置的值。 确保选择该设置,否则,邀请会失败。

显示外部协作设置的屏幕截图。

重要

来宾用户可以访问 Microsoft Customer Agreement 租户, 这可能会带来安全隐患。

排查来宾用户的常见问题

  • 访问被拒绝错误:确保分配正确的角色,并且访客已接受邀请。
  • 找不到目录:指示用户在Azure门户中切换目录。
  • 资源可见性:确认用户角色与适当的计费文件或发票部分匹配。

在Microsoft Entra租户下管理多个Azure云服务

可以在单个Microsoft Entra租户下为组织管理多个云服务。 所有Microsoft云服务的用户帐户都存储在Microsoft Entra租户中,其中包含用户帐户和组。 下图显示了一个组织的示例,该组织使用包含帐户的常见 Microsoft Entra 租户来管理多个服务。 每个服务都有自己的门户(用蓝色文本表示),用户在其中管理自己的服务。

此图显示了一个组织的示例,该组织使用一个包含账户的公共 Microsoft Entra 租户,拥有多个服务。

相关内容

阅读以下文章,了解如何管理灵活的计费所有权并确保对Microsoft Customer Agreement的安全访问。

  • Last updated on