Beheergroepen
Gebruik beheergroepen om uw Azure-abonnementen te organiseren en te beheren. Naarmate het aantal abonnementen toeneemt, bieden beheergroepen een kritieke structuur voor uw Azure-omgeving en maken het eenvoudiger om uw abonnementen te beheren. Gebruik de volgende richtlijnen om een effectieve hiërarchie van beheergroepen tot stand te brengen en uw abonnementen te organiseren op basis van aanbevolen procedures.
Ontwerpoverwegingen voor beheergroepen
Beheergroepstructuren binnen een Microsoft Entra-tenant ondersteunen organisatietoewijzing. Houd rekening met de structuur van uw beheergroep wanneer uw organisatie de overstap naar Azure op schaal plant.
Bepaal hoe uw organisatie services scheidt die eigendom zijn van of werken met specifieke teams.
Bepaal of u specifieke functies hebt die u gescheiden moet houden om redenen zoals zakelijke vereisten, operationele vereisten, wettelijke vereisten, gegevenslocatie, gegevensbeveiliging of naleving van gegevenssoevereine.
Gebruik beheergroepen om beleids- en initiatieftoewijzingen te aggregeren via Azure Policy.
Schakel RBAC-autorisatie (op rollen gebaseerd toegangsbeheer) van Azure in voor beheergroepbewerkingen om de standaardautorisatie te overschrijven. Standaard kan elke principal, zoals een gebruikers-principal of service-principal, binnen een Microsoft Entra-tenant nieuwe beheergroepen maken. Zie Uw resourcehiërarchie beveiligen voor meer informatie.
Houd ook rekening met de volgende factoren:
Een beheergroepstructuur kan maximaal zes diepteniveaus ondersteunen. Het hoofdtenantniveau of het abonnementsniveau valt buiten deze limiet.
Alle nieuwe abonnementen worden standaard onder de hoofdbeheergroep van de tenant geplaatst.
Zie Beheergroepen voor meer informatie.
Aanbevelingen voor beheergroepen
Houd de hiërarchie van de beheergroep redelijk plat, idealiter met niet meer dan drie tot vier niveaus. Deze beperking vermindert de overhead en complexiteit van het beheer.
Dupliceer uw organisatiestructuur niet in een diep geneste beheergroephiërarchie. Gebruik beheergroepen voor beleidstoewijzing versus factureringsdoeleinden. Gebruik voor deze benadering beheergroepen voor hun beoogde doel in de conceptuele architectuur van de Azure-landingszone. Deze architectuur biedt Azure-beleid voor workloads waarvoor hetzelfde type beveiliging en naleving is vereist op hetzelfde niveau van de beheergroep.
Maak beheergroepen onder uw beheergroep op hoofdniveau om de typen workloads weer te geven die u host. Deze groepen zijn gebaseerd op de behoeften op het gebied van beveiliging, naleving, connectiviteit en functie van de workloads. Met deze groeperingsstructuur kunt u een set Azure-beleidsregels toepassen op het niveau van de beheergroep. Gebruik deze groeperingsstructuur voor alle workloads waarvoor dezelfde instellingen voor beveiliging, naleving, connectiviteit en functie zijn vereist.
Gebruik resourcetags om query's uit te voeren en horizontaal door de hiërarchie van de beheergroep te navigeren. U kunt Azure Policy gebruiken om resourcetags af te dwingen of toe te voegen. Vervolgens kunt u resources groeperen voor zoekbehoeften zonder dat er een complexe hiërarchie van beheergroepen hoeft te worden gebruikt.
Maak een sandbox-beheergroep op het hoogste niveau, zodat u direct kunt experimenteren met resources voordat u ze naar productieomgevingen verplaatst. De sandbox biedt isolatie van uw ontwikkel-, test- en productieomgeving.
Maak een platformbeheergroep onder de hoofdbeheergroep ter ondersteuning van gemeenschappelijk platformbeleid en Azure-roltoewijzingen. Deze groeperingsstructuur zorgt ervoor dat u verschillende beleidsregels kunt toepassen op de abonnementen in uw Azure-basis. Deze benadering centraliseert ook de facturering voor algemene resources in één set basisabonnementen.
Beperk het aantal Azure Policy-toewijzingen binnen het bereik van de hoofdbeheergroep. Door deze beperking is er minder foutopsporing nodig in overgenomen beleidsregels in beheergroepen op lagere niveaus.
Gebruik beleidsregels om nalevingsvereisten af te dwingen binnen het bereik van de beheergroep of het abonnement om beleidgestuurde governance te bereiken.
Zorg ervoor dat alleen bevoegde gebruikers beheergroepen in de tenant kunnen uitvoeren. Schakel Azure RBAC-autorisatie in de hiërarchie-instellingen van de beheergroep in om gebruikersbevoegdheden te verfijnen. Standaard kunnen alle gebruikers hun eigen beheergroepen maken onder de hoofdbeheergroep.
Configureer een standaard, toegewezen beheergroep voor nieuwe abonnementen. Deze groep zorgt ervoor dat er geen abonnementen onder de hoofdbeheergroep vallen. Deze groep is vooral belangrijk als gebruikers microsoft Developer Network (MSDN) of Voordelen en abonnementen van Visual Studio hebben. Een goede kandidaat voor dit type beheergroep is een sandbox-beheergroep. Zie Een standaardbeheergroep instellen voor meer informatie.
Maak geen beheergroepen voor productie-, test- en ontwikkelomgevingen. Scheid deze groepen indien nodig in verschillende abonnementen in dezelfde beheergroep. Zie voor meer informatie:
We raden u aan de standaardstructuur van de Azure-landingszonebeheergroep te gebruiken voor implementaties met meerdere regio's. Maak niet alleen beheergroepen om verschillende Azure-regio's te modelleren. Wijzig de structuur van uw beheergroep niet of vouw deze niet uit op basis van regio- of multiregiogebruik.
Als u wettelijke vereisten op basis van locaties hebt, zoals gegevenslocatie, gegevensbeveiliging of gegevenssoevereine, moet u een beheergroepstructuur maken op basis van locatie. U kunt deze structuur op verschillende niveaus implementeren. Zie Een Architectuur voor een Azure-landingszone wijzigen voor meer informatie.
Beheergroepen in de Azure-landingszoneversneller en ALZ-Bicep-opslagplaats
In het volgende voorbeeld ziet u een beheergroepstructuur. De beheergroepen in dit voorbeeld bevinden zich in de Azure-landingszoneversneller en de module beheergroepen van de ALZ-Bicep-opslagplaats.
Notitie
U kunt de hiërarchie van de beheergroep in de bicep-module van de Azure-landingszone wijzigen door managementGroups.bicep te bewerken.
Beheergroep | Beschrijving |
---|---|
Tussenliggende hoofdbeheergroep | Deze beheergroep bevindt zich rechtstreeks onder de hoofdgroep van de tenant. De organisatie biedt deze beheergroep een voorvoegsel, zodat ze de hoofdgroep niet hoeven te gebruiken. De organisatie kan bestaande Azure-abonnementen verplaatsen naar de hiërarchie. Met deze aanpak worden ook toekomstige scenario's ingesteld. Deze beheergroep is een bovenliggend element van alle andere beheergroepen die zijn gemaakt door de Azure-landingszoneversneller. |
Platform | Deze beheergroep bevat alle onderliggende beheergroepen van het platform, zoals beheer, connectiviteit en identiteit. |
Beheer | Deze beheergroep bevat een speciaal abonnement voor beheer, bewaking en beveiliging. Dit abonnement fungeert als host voor een Werkruimte voor Azure Monitor-logboeken, met inbegrip van gekoppelde oplossingen en een Azure Automation-account. |
Connectiviteit | Deze beheergroep bevat een toegewezen abonnement voor connectiviteit. Dit abonnement host de Azure-netwerkresources, zoals Azure Virtual WAN, Azure Firewall en Azure DNS-privézones, die het platform nodig heeft. U kunt verschillende resourcegroepen gebruiken om resources te bevatten, zoals virtuele netwerken, firewallexemplaren en gateways voor virtuele netwerken, die in verschillende regio's worden geïmplementeerd. Sommige grote implementaties hebben mogelijk abonnementsquotumbeperkingen voor connectiviteitsbronnen. U kunt toegewezen abonnementen maken in elke regio voor hun connectiviteitsbronnen. |
Identiteit | Deze beheergroep bevat een toegewezen abonnement voor identiteit. Dit abonnement is een tijdelijke aanduiding voor virtuele machines (AD DS) voor Active Directory-domein Services (VM's) of Microsoft Entra Domain Services. U kunt verschillende resourcegroepen gebruiken om resources te bevatten, zoals virtuele netwerken en VM's, die in verschillende regio's zijn geïmplementeerd. Het abonnement schakelt ook AuthN of AuthZ in voor workloads binnen de landingszones. Wijs specifieke Azure-beleidsregels toe om de resources in het identiteitsabonnement te beveiligen en te beheren. Sommige grote implementaties hebben mogelijk abonnementsquotumbeperkingen voor connectiviteitsbronnen. U kunt toegewezen abonnementen maken in elke regio voor hun connectiviteitsbronnen. |
Landingszones | De bovenliggende beheergroep die alle onderliggende beheergroepen van de landingszone bevat. Er is een workloadneutraal Azure-beleid toegewezen om ervoor te zorgen dat workloads veilig en compatibel zijn. |
Online | De toegewezen beheergroep voor online landingszones. Deze groep is bedoeld voor workloads waarvoor mogelijk directe inkomende of uitgaande internetconnectiviteit is vereist of voor workloads waarvoor mogelijk geen virtueel netwerk is vereist. |
Corp | De toegewezen beheergroep voor bedrijfslandingszones. Deze groep is bedoeld voor workloads waarvoor connectiviteit of hybride connectiviteit met het bedrijfsnetwerk is vereist via de hub in het connectiviteitsabonnement. |
Sandboxen | De toegewezen beheergroep voor abonnementen. Een organisatie maakt gebruik van sandboxes voor testen en verkennen. Deze abonnementen zijn veilig geïsoleerd van de bedrijfs- en onlinelandingszones. Sandboxes hebben ook een minder beperkende set beleidsregels toegewezen om testen, verkennen en configuratie van Azure-services mogelijk te maken. |
Buiten gebruik gesteld | De toegewezen beheergroep voor geannuleerde landingszones. U verplaatst geannuleerde landingszones naar deze beheergroep en vervolgens verwijdert Azure ze na 30-60 dagen. |
Notitie
Voor veel organisaties bieden de standaard Corp
- en Online
beheergroepen een ideaal uitgangspunt.
Sommige organisaties moeten meer beheergroepen toevoegen.
Als u de hiërarchie van de beheergroep wilt wijzigen, raadpleegt u De architectuur van de Azure-landingszone aanpassen om te voldoen aan de vereisten.
Machtigingen voor de Azure-landingszoneversneller
De Azure-landingszoneversneller:
Hiervoor is een speciale service-principalnaam (SPN) vereist voor het uitvoeren van beheergroepbewerkingen, abonnementsbeheerbewerkingen en roltoewijzingen. Gebruik een SPN om het aantal gebruikers met verhoogde rechten te verminderen en volg de richtlijnen voor minimale bevoegdheden.
Hiervoor is de rol gebruikerstoegang Beheer istrator vereist in het bereik van de hoofdbeheergroep om de SPN-toegang op het hoofdniveau te verlenen. Nadat de SPN machtigingen heeft, kunt u de rol Gebruikerstoegang Beheer istrator veilig verwijderen. Deze aanpak zorgt ervoor dat alleen de SPN is verbonden met de rol Van gebruikertoegang Beheer istrator.
Vereist de rol Inzender voor de SPN die eerder is vermeld in het bereik van de hoofdbeheergroep, waardoor bewerkingen op tenantniveau mogelijk zijn. Dit machtigingsniveau zorgt ervoor dat u de SPN kunt gebruiken om resources te implementeren en te beheren voor elk abonnement binnen uw organisatie.
Volgende stap
Meer informatie over het gebruik van abonnementen wanneer u een grootschalige overstap naar Azure plant.