관리 그룹을 사용하여 Azure 구독을 대규모로 관리합니다.
조직에 구독이 많은 경우 해당 구독에 대한 액세스, 정책 및 규정 준수를 효율적으로 관리하는 방법이 필요할 수 있습니다. Azure 관리 그룹은 구독 이상의 범위 수준을 제공합니다. 구독을 관리 그룹이라고 하는 컨테이너에 구성하고 거버넌스 조건을 관리 그룹에 적용합니다. 관리 그룹에 속하는 모든 구독은 관리 그룹에 적용되는 조건을 자동으로 상속합니다.
관리 그룹은 보유한 구독 유형에 관계없이 대규모로 엔터프라이즈급 관리를 제공합니다. 관리 그룹에 대해 자세히 알아보려면 Azure 관리 그룹으로 리소스 구성을 참조하세요.
참고 항목
이 문서에서는 디바이스 또는 서비스에서 개인 데이터를 삭제하는 방법에 대한 단계를 제공하며 GDPR에 따라 의무를 지원하는 데 사용할 수 있습니다. GDPR에 대한 일반정인 정보는 Microsoft Trust Center의 GDPR 섹션 및 Service Trust 포털의 GDPR 섹션을 참조하세요.
Important
Azure Resource Manager 사용자 토큰 및 관리 그룹 캐시는 30분 동안 지속된 후 강제로 새로 고쳐집니다. 관리 그룹 또는 구독 이동과 같은 작업은 표시되는 데 최대 30분이 걸릴 수 있습니다. 업데이트를 더 빨리 보려면 브라우저를 새로 고치거나, 로그인하고 로그아웃하거나, 새 토큰을 요청하여 토큰을 업데이트해야 합니다.
이 문서에서 다룬 Azure PowerShell 작업의 경우 AzManagementGroup
관련 cmdlet은 -GroupId
가 -GroupName
매개 변수의 별칭임에 유의합니다.
둘 중 하나를 사용하여 관리 그룹 ID를 문자열 값으로 제공할 수 있습니다.
관리 그룹의 이름 변경
Azure Portal, Azure PowerShell 또는 Azure CLI를 사용하여 관리 그룹의 이름을 변경할 수 있습니다.
포털에서 이름 변경
Azure Portal에 로그인합니다.
모든 서비스를 선택합니다. 서비스 필터링 텍스트 상자에 관리 그룹을 입력하고 목록에서 선택합니다.
이름을 바꿀 관리 그룹을 선택합니다.
세부 정보를 선택합니다.
창 맨 위에서 그룹 이름 바꾸기 옵션을 선택합니다.
그룹 이름 바꾸기 창에서 표시할 새 이름을 입력합니다.
저장을 선택합니다.
Azure PowerShell에서 이름 변경
표시 이름을 업데이트하려면 Azure PowerShell에서 Update-AzManagementGroup
을 사용합니다. 예를 들어 Contoso IT에서 Contoso Group으로 관리 그룹의 표시 이름을 변경하려면 다음 명령을 실행합니다.
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Azure CLI에서 이름 변경
Azure CLI의 경우 update
명령을 사용합니다.
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
관리 그룹 삭제
관리 그룹을 삭제하려면 다음 요구 사항이 충족되어야 합니다.
관리 그룹 아래에 자식 관리 그룹 또는 구독이 없습니다. 구독 또는 관리 그룹을 다른 관리 그룹으로 이동하려면 이 문서 뒷부분에 나와 있는 관리 그룹 및 구독 이동을 참조하세요.
관리 그룹(소유자, 참가자 또는 관리 그룹 참가자)에 대한 쓰기 권한이 필요합니다. 보유하고 있는 사용 권한을 보려면 관리 그룹을 선택하고 IAM을 선택합니다. Azure 역할에 대해 자세히 알아보려면 Azure RBAC(Azure 역할 기반 액세스 제어)란?을 참조하세요.
포털에서 관리 그룹 삭제
Azure Portal에 로그인합니다.
모든 서비스를 선택합니다. 서비스 필터링 텍스트 상자에 관리 그룹을 입력하고 목록에서 선택합니다.
삭제할 관리 그룹을 선택합니다.
세부 정보를 선택합니다.
삭제를 선택합니다.
팁
삭제 단추를 사용할 수 없는 경우 단추 위로 마우스를 가져가면 그 이유가 표시됩니다.
대화 상자가 열리고 관리 그룹을 삭제할지 확인하라는 메시지가 표시됩니다.
예를 선택합니다.
Azure PowerShell에서 관리 그룹 삭제
관리 그룹을 삭제하려면 Azure PowerShell에서 Remove-AzManagementGroup
명령을 사용합니다.
Remove-AzManagementGroup -GroupId 'Contoso'
Azure CLI에서 관리 그룹 삭제
Azure CLI에서 az account management-group delete
명령을 사용합니다.
az account management-group delete --name 'Contoso'
관리 그룹 보기
직접 또는 상속된 Azure 역할이 있는 경우 모든 관리 그룹을 볼 수 있습니다.
포털에서 관리 그룹 보기
Azure Portal에 로그인합니다.
모든 서비스를 선택합니다. 서비스 필터링 텍스트 상자에 관리 그룹을 입력하고 목록에서 선택합니다.
관리 그룹 계층 구조 페이지가 표시됩니다. 이 페이지에서는 액세스 권한이 있는 모든 관리 그룹 및 구독을 살펴볼 수 있습니다. 그룹 이름을 선택하면 계층에서 한 수준 아래로 이동합니다. 탐색은 파일 탐색기처럼 작동합니다.
관리 그룹의 세부 정보를 보려면 관리 그룹의 제목 옆에 있는 (세부 정보) 링크를 선택합니다. 이 링크를 사용할 수 없으면 해당 관리 그룹을 볼 수 있는 권한이 없습니다.
Azure PowerShell에서 관리 그룹 보기
모든 그룹을 검색하려면 Get-AzManagementGroup
명령을 사용합니다. 관리 그룹에 대한 GET
PowerShell 명령의 전체 목록은 Az.Resources 모듈을 참조하세요.
Get-AzManagementGroup
단일 관리 그룹의 정보를 보려면 -GroupId
매개 변수를 사용합니다.
Get-AzManagementGroup -GroupId 'Contoso'
특정 관리 그룹 및 그 아래에 있는 계층 구조의 모든 수준을 반환하려면 -Expand
및 -Recurse
매개 변수를 사용합니다.
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Azure CLI에서 관리 그룹 보기
모든 그룹을 검색하려면 list
명령을 사용합니다.
az account management-group list
단일 관리 그룹의 정보를 보려면 show
명령을 사용합니다.
az account management-group show --name 'Contoso'
특정 관리 그룹 및 그 아래에 있는 계층 구조의 모든 수준을 반환하려면 -Expand
및 -Recurse
매개 변수를 사용합니다.
az account management-group show --name 'Contoso' -e -r
관리 그룹 및 구독 이동
관리 그룹을 만드는 한 가지 이유는 구독을 번들로 묶는 것입니다. 관리 그룹 및 구독만 다른 관리 그룹의 자식이 될 수 있습니다. 관리 그룹으로 이동되는 구독은 부모 관리 그룹에서 모든 사용자 액세스 및 정책을 상속합니다.
관리 그룹 간에 구독을 이동할 수 있습니다. 구독에는 부모 관리 그룹이 하나만 있을 수 있습니다.
관리 그룹 또는 구독을 다른 관리 그룹의 자식으로 이동하는 경우 세 가지 규칙이 true로 평가되어야 합니다.
이동 작업을 수행하는 경우 다음 각 계층에 대한 권한이 필요합니다.
- 자식 구독 또는 관리 그룹
Microsoft.management/managementgroups/write
Microsoft.management/managementgroups/subscriptions/write
(구독에만 해당)Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete
Microsoft.Management/register/action
- 대상 부모 관리 그룹
Microsoft.management/managementgroups/write
- 현재 부모 관리 그룹
Microsoft.management/managementgroups/write
예외가 있습니다. 대상 또는 기존 부모 관리 그룹이 루트 관리 그룹인 경우 권한 요구 사항이 적용되지 않습니다. 루트 관리 그룹은 모든 새 관리 그룹 및 구독의 기본 랜딩 스팟이므로 루트 관리 그룹에 대한 권한이 없어도 항목을 이동할 수 있습니다.
구독에 대한 소유자 역할이 현재 관리 그룹에서 상속되는 경우 이동 대상이 제한됩니다. 소유자 역할이 있는 다른 관리 그룹으로만 구독을 이동할 수 있습니다. 기여자 역할만 있는 관리 그룹으로는 구독을 이동할 수 없습니다. 구독의 소유권을 잃게 되기 때문입니다. 구독의 소유자 역할에 직접 할당된 경우 기여자 역할이 있는 모든 관리 그룹으로 이동할 수 있습니다.
Azure Portal에서 보유하고 있는 권한을 보려면 관리 그룹을 선택하고 IAM을 선택합니다. Azure 역할에 대해 자세히 알아보려면 Azure RBAC(Azure 역할 기반 액세스 제어)란?을 참조하세요.
포털에서 관리 그룹에 기존 구독 추가
Azure Portal에 로그인합니다.
모든 서비스를 선택합니다. 서비스 필터링 텍스트 상자에 관리 그룹을 입력하고 목록에서 선택합니다.
부모가 될 그룹을 선택합니다.
페이지 맨 위에서 구독 추가를 선택합니다.
구독 추가에서 올바른 ID를 사용해서 목록의 구독을 선택합니다.
저장을 선택합니다.
포털에서 관리 그룹의 구독 제거
Azure Portal에 로그인합니다.
모든 서비스를 선택합니다. 서비스 필터링 텍스트 상자에 관리 그룹을 입력하고 목록에서 선택합니다.
현재 부모인 관리 그룹을 선택합니다.
이동하려는 목록의 구독에 대한 행 끝에 있는 줄임표(
...
)를 선택합니다.이동을 선택합니다.
이동 창에서 새 부모 관리 그룹 ID 값을 선택합니다.
저장을 선택합니다.
Azure PowerShell에서 구독 이동
PowerShell에서 구독을 이동하려면 New-AzManagementGroupSubscription
명령을 사용합니다.
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
구독 및 관리 그룹 간의 링크를 제거하려면 Remove-AzManagementGroupSubscription
명령을 사용합니다.
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Azure CLI에서 구독 이동
Azure CLI에서 구독을 이동하려면 add
명령을 사용합니다.
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
관리 그룹에서 구독을 제거하려면 subscription remove
명령을 사용합니다.
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
ARM 템플릿에서 구독 이동
ARM 템플릿(Azure Resource Manager 템플릿)에서 구독을 이동하려면 다음 템플릿을 사용하고 테넌트 수준에 배포합니다.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
또는 다음 Bicep 파일을 사용해도 됩니다.
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
포털에서 관리 그룹 이동
Azure Portal에 로그인합니다.
모든 서비스를 선택합니다. 서비스 필터링 텍스트 상자에 관리 그룹을 입력하고 목록에서 선택합니다.
부모가 될 그룹을 선택합니다.
페이지 상단에서 만들기를 선택합니다.
관리 그룹 만들기 창에서 새 관리 그룹 또는 기존 관리 그룹을 사용할지 여부를 선택합니다.
- 새로 만들기를 선택하면 새 관리 그룹이 만들어집니다.
- 기존 항목 사용을 선택하면 이 관리 그룹으로 이동할 수 있는 모든 관리 그룹의 드롭다운 목록이 표시됩니다.
저장을 선택합니다.
Azure PowerShell에서 관리 그룹 이동
관리 그룹을 다른 그룹 아래로 이동하려면 PowerShell에서 Update-AzManagementGroup
명령을 사용합니다.
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Azure CLI에서 관리 그룹 이동
Azure CLI에서 관리 그룹을 이동하려면 update
명령을 사용합니다.
az account management-group update --name 'Contoso' --parent ContosoIT
활동 로그를 사용하여 관리 그룹 감사
관리 그룹은 Azure Monitor 활동 로그에서 지원됩니다. 다른 Azure 리소스와 동일한 중앙 위치에서 관리 그룹에 발생하는 모든 이벤트를 쿼리할 수 있습니다. 예를 들어 특정 관리 그룹에 이루어진 모든 역할 할당 또는 정책 할당 변경 내용을 볼 수 있습니다.
Azure Portal 외부의 관리 그룹에 대해 쿼리하려는 경우 관리 그룹의 대상 범위는 "/providers/Microsoft.Management/managementGroups/{yourMgID}"
와 같습니다.
다른 리소스 공급자의 관리 그룹 참조
다른 리소스 공급자 작업의 관리 그룹을 참조할 때 다음 경로를 범위로 사용합니다. 이 경로는 Azure PowerShell, Azure CLI 및 REST API를 사용하는 경우에 적용됩니다.
/providers/Microsoft.Management/managementGroups/{yourMgID}
예를 들어 Azure PowerShell에서 관리 그룹에 새 역할을 할당하는 경우 이 경로를 사용합니다.
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
관리 그룹에 대한 정책 정의를 검색하려면 동일한 범위 경로를 사용합니다.
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
관련 콘텐츠
관리 그룹에 대해 자세히 알아보려면 다음 항목을 참조하세요.