通过

管理 Microsoft Customer Agreement 计费账户中的租户

本文可帮助你了解和管理与Microsoft Customer Agreement计费帐户关联的租户。 使用这些信息来管理租户、转移订阅和管理计费所有权,同时确保对计费环境的访问是安全的。

什么是租户?

租户是组织的数字表示形式,主要与域(如 Azure.cn)相关联。 它是通过Microsoft Entra ID管理的环境,可用于分配用户权限来管理Azure资源和计费。

每个租户都是独特的,独立于其他租户。 可以使用以下方法之一,允许来自其他租户的用户access计费帐户:

  • 在租户中创建来宾用户并分配相应的计费角色。
  • 将其他租户与您的租户关联,并分配适当的计费角色。

什么是关联租户?

关联租户是指与您的主要计费租户的计费帐户相关联的租户。 可以将Microsoft 365订阅移动到这些租户。 还可以将计费帐户角色分配给关联的计费租户中的用户。 详细了解关联租户信息:使用关联计费租户跨多个租户管理计费

租户和订阅如何与计费帐户相关

使用Microsoft Customer Agreement(计费帐户)跟踪成本和管理计费。 每个计费帐户都至少有一个计费对象信息项。 计费档案允许您管理发票和付款方式。 各计费对象信息默认包含一个发票科目。 如果需要,可创建更多发票科目以跟踪和管理成本,并对成本进行分组。

  • 你的计费帐户与单个主要租户关联。 如果已分配相应的计费角色,则属于主租户或关联租户的一部分的用户可以访问您的计费帐户。
  • 为它的计费帐户创建新 Azure 订阅时,该订阅会在您的租户或您有权访问的其他租户中创建。 在创建订阅时您可以选择租户。
  • 你可以将订阅移动到其他租户。 你还可将其他租户的现有订阅链接到你的计费帐户。 借助此灵活性,你可通过一个租户集中管理计费,同时根据需要将资源和订阅保留在其他租户中。

下图显示了如何将计费帐户和订阅链接到租户。 假设 Contoso 希望通过 MCA 简化其计费管理。 Contoso MCA 计费帐户在租户 1 中,而 Contoso PAYG 帐户在租户 2 中。 他们可以使用计费所有权转让将订阅链接到其 MCA 计费帐户。 订阅及其资源仍与租户 2 关联,但通过 MCA 计费账户支付费用。

显示示例计费层次结构的关系图。

在单个 Microsoft Customer Agreement 中管理多个租户的订阅

当计费所有者有针对计费帐户的适当权限时,他们可创建订阅。 默认情况下,在Microsoft Customer Agreement下创建的任何新订阅都位于当前用户的租户中。 从用户有权限访问的租户列表中,可以选择不同的租户来创建订阅。

  • 可以将来自其他租户的订阅链接到Microsoft Customer Agreement计费帐户。 获取订阅的计费所有权只会更改开票排列。 它不会影响服务租户或Azure RBAC 角色。

计费所有权转让

计费所有权转让只更改单个订阅的发票安排。 订阅的用户和资源管理不会更改。

计费所有权转移会执行两项操作:

  • 订阅的原始计费责任已被移除。
  • 订阅计费的所有权会被链接到目标计费账户,该账户可能位于另一个租户或目录中。

计费所有权转让不会影响以下项:

  • 用户
  • 资源
  • Azure RBAC 权限

将角色分配给您的用户以用于Microsoft客户协议

有三种方法具有计费所有者访问权限的用户可以为用户分配角色到 MCA。

了解 Azure portal 中的来宾用户

来宾用户(也称为 guested 用户或 B2B 用户)是受邀访问 Azure 活动目录(Azure AD)租户中的资源的外部用户。 通常,此用户在另一 Azure AD 租户或标识提供者中具有主要标识时,通过 Azure AD B2B(企业对企业)协作功能接收访问权限。 邀请后,来宾用户会显示在邀请组织的目录中,并且可以像任何其他用户一样分配角色和权限。

访问Azure portal

来宾用户必须使用自己的组织的凭据登录到 Azure portal。 身份验证成功后,他们应从Azure portal右上角的用户菜单中选择主机目录(客户端组织),如果他们是多个租户的成员。

进入客户端目录后,来宾用户将看到根据其分配的角色可用的资源和功能。 他们可以导航到:

  • 成本管理 + 计费:所有与计费相关任务的主界面。
  • 计费帐户、配置文件和发票部分:根据访问权限可见。

将来宾用户添加到 Microsoft Customer Agreement 租户

添加到 Microsoft 客户协议计费租户的用户,若需管理来自不同租户的计费责任,则必须以来宾身份被邀请。

若要邀请某用户作为来宾,该用户必须有一个现有电子邮件地址,该地址的域与你的 Microsoft Entra 域不同。 Microsoft Entra ID向来宾用户发送一封电子邮件,其中包含身份验证链接。

显示一个示例电子邮件邀请的屏幕截图。

选择 Accept 邀请链接时,系统会提示他们使用 Azure 进行身份验证。

截图显示身份验证 Azure 的提示。

然后,他们选择“接受”。

显示接受邀请的提示的屏幕截图。

接受后,他们可以查看成本管理 + 计费下的Microsoft Customer Agreement计费帐户。

截图显示在计费帐户列表中的 Microsoft 客户协议。

邀请来宾用户的授权由 Microsoft Entra 设置控制。 在“组织关系”页的“设置”下显示设置的值。 确保选择该设置,否则,邀请会失败。

显示外部协作设置的屏幕截图。

重要

来宾用户可以访问Microsoft Customer Agreement租户,这可能会带来安全隐患。

排查来宾用户的常见问题

  • 访问被拒绝错误:确保分配正确的角色,并且访客已接受邀请。
  • 找不到目录:指示用户切换Azure portal中的目录。
  • 资源可见性:确认用户角色与适当的计费文件或发票部分匹配。

在 Microsoft Entra 租户下管理多个 Azure 云服务

可以在单个 Microsoft Entra 租户下为组织管理多个cloud services。 所有 Microsoft 云产品/服务的用户帐户都存储在 Microsoft Entra 租户中,该租户包含用户帐户和组。 下图展示了一个组织的示例,该组织的多个服务共用一个包含帐户的 Microsoft Entra 租户。 每个服务都有自己的门户(用蓝色文本表示),用户在其中管理自己的服务。

图表显示了一个组织的示例,其中多个服务使用包含账户的公共 Microsoft Entra 租户。

相关内容

阅读以下文章,了解如何管理灵活的账单所有权,并确保您对 Microsoft 客户协议的访问安全。

  • Last updated on