Správa předplatných Azure ve velkém měřítku pomocí skupin pro správu
Pokud má vaše organizace mnoho předplatných, můžete potřebovat způsob, jak efektivně u těchto předplatných spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu Azure poskytují úroveň oboru nad předplatnými. Předplatná uspořádáte do kontejnerů označovaných jako skupiny pro správu a použijete podmínky zásad správného řízení na skupiny pro správu. Všechna předplatná v rámci skupiny pro správu automaticky dědí podmínky, které se na příslušnou skupinu pro správu vztahují.
Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaký typ předplatného máte. Další informace oskupinách
Poznámka:
Tento článek obsahuje postup odstranění osobních údajů ze zařízení nebo služby a dá se použít k podpoře vašich povinností v rámci GDPR. Obecné informace o GDPR naleznete v části GDPR Centra zabezpečení společnosti Microsoft a části GDPR Service Trust Portal.
Důležité
Uživatelské tokeny Azure Resource Manageru a mezipaměť skupin pro správu trvají 30 minut, než se budou muset aktualizovat. Zobrazení jakékoli akce, jako je přesunutí skupiny pro správu nebo předplatného, může trvat až 30 minut. Pokud chcete aktualizace zobrazit dříve, musíte token aktualizovat tak, že aktualizujete prohlížeč, přihlásíte se nebo odhlásíte nebo požádáte o nový token.
U akcí Azure PowerShellu v tomto článku mějte na paměti, že AzManagementGroup
související rutiny zmiňují alias -GroupId
parametru -GroupName
.
K zadání ID skupiny pro správu jako řetězcové hodnoty můžete použít některý z nich.
Změna názvu skupiny pro správu
Název skupiny pro správu můžete změnit pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI.
Změna názvu na portálu
Přihlaste se k portálu Azure.
Vyberte Všechny služby. Do textového pole Filtrovat služby zadejte skupiny pro správu a vyberte je ze seznamu.
Vyberte skupinu pro správu, kterou chcete přejmenovat.
Vyberte podrobnosti.
V horní části podokna vyberte možnost Přejmenovat skupinu.
V podokně Přejmenovat skupinu zadejte nový název, který chcete zobrazit.
Zvolte Uložit.
Změna názvu v Azure PowerShellu
Pokud chcete aktualizovat zobrazovaný název, použijte Update-AzManagementGroup
v Azure PowerShellu. Pokud například chcete změnit zobrazovaný název skupiny pro správu z IT společnosti Contoso na skupinu Contoso, spusťte následující příkaz:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Změna názvu v Azure CLI
Pro Azure CLI použijte update
příkaz:
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Odstranění skupiny pro správu
Pokud chcete odstranit skupinu pro správu, musíte splnit následující požadavky:
Ve skupině pro správu nejsou žádné podřízené skupiny pro správu ani předplatná. Pokud chcete přesunout předplatné nebo skupinu pro správu do jiné skupiny pro správu, přečtěte si část Přesun skupin pro správu a předplatných dále v tomto článku.
Potřebujete oprávnění k zápisu do skupiny pro správu (vlastník, přispěvatel nebo přispěvatel skupiny pro správu). Pokud chcete zjistit, jaká oprávnění máte, vyberte skupinu pro správu a pak vyberte IAM. Další informace o rolích Azure najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?
Odstranění skupiny pro správu na portálu
Přihlaste se k portálu Azure.
Vyberte Všechny služby. Do textového pole Filtrovat služby zadejte skupiny pro správu a vyberte je ze seznamu.
Vyberte skupinu pro správu, kterou chcete odstranit.
Vyberte podrobnosti.
Vyberte Odstranit.
Tip
Pokud tlačítko Odstranit není k dispozici, najeďte myší na tlačítko a zobrazí se důvod.
Otevře se dialogové okno a požádá vás, abyste potvrdili, že chcete odstranit skupinu pro správu.
Vyberte Ano.
Odstranění skupiny pro správu v Azure PowerShellu
Pokud chcete odstranit skupinu pro správu, použijte příkaz v Azure PowerShellu Remove-AzManagementGroup
:
Remove-AzManagementGroup -GroupId 'Contoso'
Odstranění skupiny pro správu v Azure CLI
Pomocí Azure CLI použijte příkaz az account management-group delete
:
az account management-group delete --name 'Contoso'
Zobrazení skupin pro správu
Libovolnou skupinu pro správu můžete zobrazit, pokud máte přímou nebo zděděnou roli Azure.
Zobrazení skupin pro správu na portálu
Přihlaste se k portálu Azure.
Vyberte Všechny služby. Do textového pole Filtrovat služby zadejte skupiny pro správu a vyberte je ze seznamu.
Zobrazí se stránka hierarchie skupin pro správu. Na této stránce můžete prozkoumat všechny skupiny pro správu a předplatná, ke kterým máte přístup. Když vyberete název skupiny, přejdete v hierarchii na nižší úroveň. Navigace funguje stejně jako průzkumník souborů.
Pokud chcete zobrazit podrobnosti skupiny pro správu, vyberte odkaz (podrobnosti) vedle názvu skupiny pro správu. Pokud tento odkaz není dostupný, nemáte oprávnění k zobrazení této skupiny pro správu.
Zobrazení skupin pro správu v Azure PowerShellu
Příkaz slouží Get-AzManagementGroup
k načtení všech skupin. Úplný seznam příkazů PowerShellu GET
pro skupiny pro správu najdete v modulech Az.Resources .
Get-AzManagementGroup
Pro informace o jedné skupině pro správu použijte -GroupId
parametr:
Get-AzManagementGroup -GroupId 'Contoso'
Pokud chcete vrátit konkrétní skupinu pro správu a všechny úrovně hierarchie, použijte následující -Expand
parametry -Recurse
:
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Zobrazení skupin pro správu v Azure CLI
Pomocí příkazu načtete list
všechny skupiny:
az account management-group list
Informace o jedné skupině pro správu potřebujete pomocí show
příkazu:
az account management-group show --name 'Contoso'
Pokud chcete vrátit konkrétní skupinu pro správu a všechny úrovně hierarchie, použijte následující -Expand
parametry -Recurse
:
az account management-group show --name 'Contoso' -e -r
Přesun skupin pro správu a předplatných
Jedním z důvodů, proč vytvořit skupinu pro správu, je seskupit předplatná dohromady. Podřízené položky jiné skupiny pro správu můžou být pouze skupiny pro správu a předplatná. Předplatné, které se přesune do skupiny pro správu, dědí veškerý uživatelský přístup a zásady z nadřazené skupiny pro správu.
Předplatná můžete přesouvat mezi skupinami pro správu. Předplatné může mít pouze jednu nadřazenou skupinu pro správu.
Když přesunete skupinu pro správu nebo předplatné jako podřízenou jinou skupinu pro správu, je potřeba vyhodnotit tři pravidla jako true.
Pokud provádíte akci přesunutí, potřebujete oprávnění v každé z následujících vrstev:
- Podřízené předplatné nebo skupina pro správu
Microsoft.management/managementgroups/write
Microsoft.management/managementgroups/subscriptions/write
(jenom pro předplatná)Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete
Microsoft.Management/register/action
- Cílová nadřazená skupina pro správu
Microsoft.management/managementgroups/write
- Aktuální nadřazená skupina pro správu
Microsoft.management/managementgroups/write
Existuje výjimka: Pokud je cílem nebo existující nadřazenou skupinou pro správu kořenová skupina pro správu, požadavky na oprávnění se nevztahují. Vzhledem k tomu, že kořenová skupina pro správu je výchozím cílovým místem pro všechny nové skupiny pro správu a předplatná, nepotřebujete k přesunu položky oprávnění.
Pokud je role Vlastník v předplatném zděděna z aktuální skupiny pro správu, vaše cíle přesunu jsou omezené. Předplatné můžete přesunout jenom do jiné skupiny pro správu, kde máte roli Vlastník. Předplatné nemůžete přesunout do skupiny pro správu, kde jste jen přispěvatelem, protože ztratíte vlastnictví předplatného. Pokud máte pro předplatné přímo přiřazenou roli Vlastník, můžete ji přesunout do libovolné skupiny pro správu, ve které máte roli Přispěvatel.
Pokud chcete zjistit, jaká oprávnění máte na webu Azure Portal, vyberte skupinu pro správu a pak vyberte IAM. Další informace o rolích Azure najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?
Přidání existujícího předplatného do skupiny pro správu na portálu
Přihlaste se k portálu Azure.
Vyberte Všechny služby. Do textového pole Filtrovat služby zadejte skupiny pro správu a vyberte je ze seznamu.
Vyberte skupinu pro správu, kterou chcete být nadřazenou.
V horní části stránky vyberte Přidat předplatné.
V části Přidat předplatné vyberte předplatné v seznamu se správným ID.
Zvolte Uložit.
Odebrání předplatného ze skupiny pro správu na portálu
Přihlaste se k portálu Azure.
Vyberte Všechny služby. Do textového pole Filtrovat služby zadejte skupiny pro správu a vyberte je ze seznamu.
Vyberte skupinu pro správu, která je aktuální nadřazená.
V seznamu, který chcete přesunout, vyberte tři tečky (
...
) na konci řádku předplatného.Vyberte Přesunout.
V podokně Přesunout vyberte hodnotu pro ID nové nadřazené skupiny pro správu.
Zvolte Uložit.
Přesun předplatného v Azure PowerShellu
Pokud chcete předplatné přesunout v PowerShellu, použijte tento New-AzManagementGroupSubscription
příkaz:
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Pokud chcete odebrat propojení mezi předplatným a skupinou pro správu, použijte Remove-AzManagementGroupSubscription
příkaz:
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Přesun předplatného v Azure CLI
Pokud chcete přesunout předplatné v Azure CLI, použijte tento add
příkaz:
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Pokud chcete odebrat předplatné ze skupiny pro správu, použijte subscription remove
tento příkaz:
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Přesun předplatného v šabloně ARM
Pokud chcete přesunout předplatné v šabloně Azure Resource Manageru (šablona ARM), použijte následující šablonu a nasaďte ji na úrovni tenanta:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Nebo použijte následující soubor Bicep:
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Přesunutí skupiny pro správu na portálu
Přihlaste se k portálu Azure.
Vyberte Všechny služby. Do textového pole Filtrovat služby zadejte skupiny pro správu a vyberte je ze seznamu.
Vyberte skupinu pro správu, kterou chcete být nadřazenou.
V horní části stránky vyberte Vytvořit.
V podokně Vytvořit skupinu pro správu zvolte, jestli chcete použít novou nebo existující skupinu pro správu:
- Výběrem možnosti Vytvořit nový se vytvoří nová skupina pro správu.
- Když vyberete Možnost Použít existující , zobrazí se rozevírací seznam všech skupin pro správu, které můžete přesunout do této skupiny pro správu.
Zvolte Uložit.
Přesun skupiny pro správu v Azure PowerShellu
Pokud chcete přesunout skupinu pro správu do jiné skupiny, použijte příkaz v Azure PowerShellu Update-AzManagementGroup
:
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Přesun skupiny pro správu v Azure CLI
Pokud chcete přesunout skupinu pro správu v Azure CLI, použijte update
příkaz:
az account management-group update --name 'Contoso' --parent ContosoIT
Auditování skupin pro správu pomocí protokolů aktivit
Skupiny pro správu se podporují v protokolech aktivit služby Azure Monitor. Můžete se dotazovat na všechny události, ke kterým dochází ve skupině pro správu ve stejném centrálním umístění jako jiné prostředky Azure. Můžete například zobrazit všechna přiřazení rolí nebo změny přiřazení zásad provedené v konkrétní skupině pro správu.
Pokud chcete dotazovat na skupiny pro správu mimo azure Portal, cílový obor pro skupiny pro správu vypadá takto "/providers/Microsoft.Management/managementGroups/{yourMgID}"
.
Referenční skupiny pro správu od jiných poskytovatelů prostředků
Při odkazování na skupiny pro správu z akcí jiného poskytovatele prostředků použijte jako obor následující cestu. Tato cesta platí, když používáte Azure PowerShell, Rozhraní příkazového řádku Azure a rozhraní REST API.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Příkladem použití této cesty je přiřazení nové role ke skupině pro správu v Azure PowerShellu:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Stejnou cestu oboru použijete k načtení definice zásady pro skupinu pro správu:
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Související obsah
Další informace o řešeních pro správu najdete v následujících tématech: