通过

管理 Microsoft 客户协议计费帐户中的租户

本文可帮助你了解和管理与你的 Microsoft 客户协议计费帐户关联的租户。 在确保对计费环境进行安全访问的同时,使用这些信息来管理租户、转移订阅和管理计费所有权。

什么是租户?

租户是组织的数字表示形式,主要与域(如 Azure.cn)相关联。 它是一个通过 Microsoft Entra ID 管理的环境,使你能够向用户分配用于管理 Azure 资源和计费的权限。

每个租户都是独特的,独立于其他租户。 可以通过以下方法之一允许其他租户中的用户访问你的计费帐户:

  • 在租户中创建来宾用户并分配相应的计费角色。
  • 将另一租户关联到你的租户,并分配相应的计费角色。

什么是关联租户?

关联租户是指链接到主要计费租户的计费帐户的租户。 可以将 Microsoft 365 订阅移至这些租户。 还可以将计费帐户角色分配给关联的计费租户中的用户。 阅读有关关联租户的详细信息:使用关联的计费租户跨多个租户管理计费

租户和订阅如何与计费帐户相关

你使用自己的 Microsoft 客户协议(计费帐户)来跟踪成本和管理计费。 每个计费帐户都至少有一个计费对象信息项。 通过计费对象信息,可管理发票和付款方式。 各计费对象信息默认包含一个发票科目。 如果需要,可创建更多发票科目以跟踪和管理成本,并对成本进行分组。

  • 你的计费帐户与单个主要租户关联。 属于主要租户或属于关联租户的用户在分配有适当的计费角色时可以访问你的计费帐户。
  • 为计费帐户创建新的 Azure 订阅时,会在你的租户或你有权访问的其他租户之一中创建该订阅。 在创建订阅时您可以选择租户。
  • 你可以将订阅移动到其他租户。 你还可将其他租户的现有订阅链接到你的计费帐户。 借助此灵活性,你可通过一个租户集中管理计费,同时根据需要将资源和订阅保留在其他租户中。

下图显示了如何将计费帐户和订阅链接到租户。 假设 Contoso 希望通过 MCA 简化其计费管理。 Contoso MCA 计费帐户在租户 1 中,而 Contoso PAYG 帐户在租户 2 中。 他们可以使用计费所有权转让将订阅链接到其 MCA 计费帐户。 订阅及其资源仍与租户 2 关联,但使用 MCA 计费帐户对它们付费。

显示示例计费层次结构的关系图。

在单个 Microsoft 客户协议中管理多个租户下的订阅

当计费所有者有针对计费帐户的适当权限时,他们可创建订阅。 默认情况下,在 Microsoft 客户协议下创建的任何新订阅都位于当前用户的租户中。 可以从用户有权创建订阅的租户列表中选择不同的租户。

  • 可将其他租户的订阅链接到你的 Microsoft 客户协议计费帐户。 获取订阅的计费所有权只会更改开票排列。 这不会影响服务租户或 Azure RBAC 角色。

计费所有权转让

计费所有权转让只更改单个订阅的发票安排。 订阅的用户和资源管理不会更改。

计费所有权转让执行两件事:

  • 删除订阅的原始计费所有权。
  • 将订阅计费所有权链接到可能位于不同的租户/目录中的目标计费帐户。

计费所有权转让不会影响以下项:

  • 用户
  • 资源
  • Azure RBAC 权限

为 Microsoft 客户协议的用户分配角色

具有计费所有者访问权限的用户可以通过三种方式向 MCA 的用户分配角色

了解 Azure 门户中的来宾用户

来宾用户(也称为来宾用户或 B2B 用户)是受邀访问 Azure Active Directory (Azure AD) 租户中的资源的外部用户。 通常,此用户在另一个 Azure AD 租户或标识提供者中具有主要标识,并通过 Azure AD B2B(企业到企业)协作功能接收访问权限。 邀请后,来宾用户会显示在邀请组织的目录中,并且可以像任何其他用户一样分配角色和权限。

访问 Azure 门户

来宾用户必须使用自己的组织的凭据登录到 Azure 门户 。 身份验证成功后,他们应从 Azure 门户中右上角的用户菜单中选择主机目录(客户端组织),如果他们是多个租户的成员。

进入客户端目录后,来宾用户将看到根据其分配的角色可用的资源和功能。 他们可以导航到:

  • 成本管理 + 计费:所有与计费相关任务的主界面。
  • 计费帐户、用户档案和发票部分:根据访问权限可见。

向 Microsoft 客户协议租户添加来宾用户

添加到你的 Microsoft 客户协议计费租户的用户必须被邀请为来宾,才能管理不同租户中的计费职责。

若要邀请某用户作为来宾,该用户必须有一个现有电子邮件地址,该地址的域与你的 Microsoft Entra 域不同。 Microsoft Entra ID 向来宾用户发送一封电子邮件,其中包含用于身份验证的链接。

显示一个示例电子邮件邀请的屏幕截图。

在他们选择“接受邀请”链接时,系统将提示他们在 Azure 上进行身份验证。

显示在 Azure 上进行身份验证的提示的屏幕截图。

然后,他们选择“接受”。

显示接受邀请的提示的屏幕截图。

接受后,他们可在“成本管理 + 计费”下查看 Microsoft 客户协议计费帐户

在计费帐户列表中显示 Microsoft 客户协议的屏幕截图。

邀请来宾用户的授权由 Microsoft Entra 设置控制。 “组织关系”页上的“设置”下显示了设置的值 。 确保选择该设置,否则,邀请会失败。

显示外部协作设置的屏幕截图。

重要

来宾用户获取了对 Microsoft 客户协议租户的访问权限,这可能会带来安全问题。

排查来宾用户的常见问题

  • 访问被拒错误:请确保已分配正确的角色,并确保访客已接受邀请。
  • 找不到目录:指示用户切换 Azure 门户中的目录。
  • 资源可见性:确认用户角色与适当的计费文件或发票部分匹配。

在 Microsoft Entra 租户下管理多个 Azure 云服务

可在单个 Microsoft Entra 租户下为组织管理多个云服务。 所有 Microsoft 云产品/服务的用户帐户都存储在 Microsoft Entra 租户中,该租户包含用户帐户和组。 下图显示了具有多个服务(使用包含帐户的公共 Microsoft Entra 租户)的组织的示例。 每个服务都有自己的门户(用蓝色文本表示),用户在其中管理自己的服务。

显示具有多个服务(使用包含帐户的公共 Microsoft Entra 租户)的组织示例的示意图。

相关内容

阅读以下文章,了解如何管理灵活的计费所有权,并确保对你的 Microsoft 客户协议的安全访问。