Sdílet prostřednictvím

Ochrana hierarchie prostředků

  • Článek

Vaše prostředky, skupiny prostředků, předplatná, skupiny pro správu a tenanta tvoří vaši hierarchii prostředků. Nastavení v kořenové skupině pro správu, jako jsou vlastní role Azure nebo přiřazení zásad, můžou ovlivnit všechny prostředky v hierarchii prostředků. Je důležité chránit hierarchii prostředků před změnami, které by mohly negativně ovlivnit všechny prostředky.

Skupiny pro správu mají nastavení hierarchie, která správci tenanta umožňují řídit toto chování. Tento článek se zabývá jednotlivými dostupnými nastaveními hierarchie a jejich nastavením.

Oprávnění Azure RBAC pro nastavení hierarchie

Konfigurace nastavení hierarchie vyžaduje následující operace poskytovatele prostředků v kořenové skupině pro správu:

  • Microsoft.Management/managementgroups/settings/write
  • Microsoft.Management/managementgroups/settings/read

Tyto operace představují oprávnění řízení přístupu na základě role v Azure (Azure RBAC). Povolí uživateli jen číst a aktualizovat nastavení hierarchie. Neposkytují žádný jiný přístup k hierarchii skupin pro správu ani k prostředkům v hierarchii.

Obě tyto operace jsou k dispozici v integrovaném správci nastavení hierarchie hierarchie v Azure.

Nastavení: Definování výchozí skupiny pro správu

Ve výchozím nastavení se nové předplatné, které přidáte do tenanta, stane členem kořenové skupiny pro správu. Pokud přiřadíte přiřazení zásad, Azure RBAC a další konstruktory zásad správného řízení kořenové skupině pro správu, okamžitě ovlivní tato nová předplatná. Z tohoto důvodu mnoho organizací tyto konstrukce nepoužívá v kořenové skupině pro správu, i když je to požadované místo pro jejich přiřazení. V jiných případech chce organizace více omezující sadu ovládacích prvků pro nová předplatná, ale nechce je přiřazovat ke všem předplatným. Toto nastavení podporuje oba případy použití.

Když povolíte definování výchozí skupiny pro správu pro nová předplatná, můžete použít konstruktory zásad správného řízení pro celou organizaci v kořenové skupině pro správu. Můžete definovat samostatnou skupinu pro správu s přiřazeními zásad nebo přiřazeními rolí Azure, které jsou vhodnější pro nové předplatné.

Definování výchozí skupiny pro správu na portálu

  1. Přihlaste se k portálu Azure.

  2. Pomocí panelu hledání vyhledejte a vyberte skupiny pro správu.

  3. Vyberte kořenovou skupinu pro správu.

  4. Na levé straně stránky vyberte Nastavení .

  5. Vyberte tlačítko Změnit výchozí skupinu pro správu.

    Pokud tlačítko Změnit výchozí skupinu pro správu není k dispozici, příčinou je jedna z těchto podmínek:

    • Skupina pro správu, kterou si prohlížíte, není kořenovou skupinou pro správu.
    • Váš objekt zabezpečení nemá potřebná oprávnění ke změně nastavení hierarchie.

  6. Vyberte skupinu pro správu z vaší hierarchie a pak zvolte tlačítko Vybrat .

Definování výchozí skupiny pro správu pomocí rozhraní REST API

Pokud chcete definovat výchozí skupinu pro správu pomocí rozhraní REST API, musíte volat koncový bod Nastavení hierarchie. Použijte následující identifikátor URI rozhraní REST API a základní formát. Nahraďte {rootMgID} ID kořenové skupiny pro správu. Nahraďte {defaultGroupID} ID skupiny pro správu, která se stane výchozí skupinou pro správu.

  • Identifikátor URI rozhraní REST API:

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01

  • Text požadavku:

    {
    "properties": {
        "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
    }
}

Pokud chcete nastavit výchozí skupinu pro správu zpět do kořenové skupiny pro správu, použijte stejný koncový bod a nastavte defaultManagementGroup hodnotu /providers/Microsoft.Management/managementGroups/{rootMgID}.

Nastavení: Vyžadovat autorizaci

Každý uživatel může ve výchozím nastavení vytvářet nové skupiny pro správu v tenantovi. Správci tenanta můžou chtít tato oprávnění poskytnout jenom konkrétním uživatelům, aby zachovali konzistenci a shodu v hierarchii skupin pro správu. K vytvoření podřízených skupin pro správu vyžaduje Microsoft.Management/managementGroups/write uživatel operaci v kořenové skupině pro správu.

Vyžadování autorizace na portálu

  1. Přihlaste se k portálu Azure.

  2. Pomocí panelu hledání vyhledejte a vyberte skupiny pro správu.

  3. Vyberte kořenovou skupinu pro správu.

  4. Na levé straně stránky vyberte Nastavení .

  5. Zapněte přepínač Oprávnění pro vytváření nových skupin pro správu.

    Pokud přepínač Vyžadovat oprávnění k zápisu pro vytváření nových skupin pro správu není k dispozici, je příčinou jedna z těchto podmínek:

    • Skupina pro správu, kterou si prohlížíte, není kořenovou skupinou pro správu.
    • Váš objekt zabezpečení nemá potřebná oprávnění ke změně nastavení hierarchie.

Vyžadování autorizace pomocí rozhraní REST API

Pokud chcete vyžadovat autorizaci pomocí rozhraní REST API, zavolejte koncový bod Nastavení hierarchie. Použijte následující identifikátor URI rozhraní REST API a základní formát. Tato hodnota je logická hodnota, takže zadejte hodnotu true nebo false hodnotu. Hodnota umožňuje tuto metodu true ochrany hierarchie skupin pro správu.

  • Identifikátor URI rozhraní REST API:

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01

  • Text požadavku:

    {
    "properties": {
        "requireAuthorizationForGroupCreation": true
    }
}

Pokud chcete toto nastavení vypnout, použijte stejný koncový bod a nastavte requireAuthorizationForGroupCreation hodnotu false.

Ukázka Azure PowerShellu

Azure PowerShell nemá Az příkaz k definování výchozí skupiny pro správu nebo k vyžadování autorizace. Jako alternativní řešení můžete použít rozhraní REST API s následující ukázkou Azure PowerShellu:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Související obsah

Další informace o řešeních pro správu najdete v následujících tématech: