Udostępnij za pośrednictwem


Co to są grupy zarządzania platformy Azure?

Jeśli twoja organizacja ma wiele subskrypcji platformy Azure, może być konieczne efektywne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania zapewniają zakres ładu powyżej subskrypcji. Podczas organizowania subskrypcji w grupy zarządzania warunki ładu stosowane kaskadowo przez dziedziczenie do wszystkich skojarzonych subskrypcji.

Grupy zarządzania zapewniają zarządzanie klasy korporacyjnej na dużą skalę, niezależnie od typu subskrypcji, które mogą istnieć. Jednak wszystkie subskrypcje w ramach jednej grupy zarządzania muszą ufać tej samej dzierżawie firmy Microsoft Entra.

Można na przykład zastosować zasady do grupy zarządzania, która ogranicza regiony dostępne dla tworzenia maszyn wirtualnych. Te zasady będą stosowane do wszystkich zagnieżdżonych grup zarządzania, subskrypcji i zasobów, aby umożliwić tworzenie maszyn wirtualnych tylko w autoryzowanych regionach.

Hierarchia grup zarządzania i subskrypcji

Można utworzyć elastyczną strukturę grup zarządzania i subskrypcji w celu organizowania zasobów w hierarchię na potrzeby ujednoliconego zarządzania zasadami i dostępem. Na poniższym diagramie przedstawiono przykład tworzenia hierarchii dla nadzoru przy użyciu grup zarządzania.

Diagram przykładowej hierarchii grup zarządzania.

Diagram głównej grupy zarządzania, która zawiera zarówno grupy zarządzania, jak i subskrypcje. Niektóre podrzędne grupy zarządzania przechowują grupy zarządzania, niektóre przechowują subskrypcje, a niektóre przechowują obie. Jednym z przykładów w przykładowej hierarchii jest cztery poziomy grup zarządzania z wszystkimi subskrypcjami na poziomie podrzędnym.

Można utworzyć hierarchię, która stosuje zasady, na przykład ograniczające lokalizacje maszyn wirtualnych do regionu Zachodnie stany USA w grupie zarządzania o nazwie Corp. Te zasady dziedziczą wszystkie subskrypcje Umowa Enterprise (EA), które są elementami podrzędnymi tej grupy zarządzania i mają zastosowanie do wszystkich maszyn wirtualnych w ramach tych subskrypcji. Właściciel zasobu lub subskrypcji nie może zmienić tych zasad zabezpieczeń, aby umożliwić lepsze zarządzanie.

Uwaga

Grupy zarządzania nie są obecnie obsługiwane w funkcjach zarządzania kosztami dla subskrypcji Umowa z Klientem Microsoft (MCA).

Innym scenariuszem, w którym można użyć grup zarządzania, jest zapewnienie użytkownikom dostępu do wielu subskrypcji. Przeniesienie wielu subskrypcji w grupie zarządzania umożliwia utworzenie jednego przypisania roli platformy Azure w grupie zarządzania. Rola dziedziczy ten dostęp do wszystkich subskrypcji. Jedno przypisanie w grupie zarządzania może umożliwić użytkownikom dostęp do wszystkiego, czego potrzebują, zamiast wykonywać skrypty kontroli dostępu na podstawie ról (RBAC) platformy Azure w różnych subskrypcjach.

Ważne fakty dotyczące grup zarządzania

  • Pojedynczy katalog może obsługiwać 10 000 grup zarządzania.

  • Drzewo grupy zarządzania może obsługiwać maksymalnie sześć poziomów głębokości.

    Ten limit nie obejmuje poziomu głównego lub poziomu subskrypcji.

  • Każda grupa zarządzania i subskrypcja może obsługiwać tylko jeden element nadrzędny.

  • Każda grupa zarządzania może mieć wiele elementów podrzędnych.

  • Wszystkie subskrypcje i grupy zarządzania znajdują się w jednej hierarchii w każdym katalogu. Aby uzyskać więcej informacji, zobacz Ważne fakty dotyczące głównej grupy zarządzania w dalszej części tego artykułu.

Główna grupa zarządzania dla każdego katalogu

Każdy katalog ma pojedynczą grupę zarządzania najwyższego poziomu nazywaną główną grupą zarządzania. Główna grupa zarządzania jest wbudowana w hierarchię, aby wszystkie grupy zarządzania i subskrypcje zostały złożone.

Główna grupa zarządzania umożliwia stosowanie globalnych zasad i przypisań ról platformy Azure na poziomie katalogu. Początkowo podwyższony poziom dostępu do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania do roli Administrator dostępu użytkowników tej grupy głównej. Po podwyższeniu poziomu dostępu administrator dzierżawy może przypisać dowolną rolę platformy Azure innym użytkownikom katalogu lub grupom w celu zarządzania hierarchią. Jako administrator możesz przypisać swoje konto jako właściciela głównej grupy zarządzania.

Ważne fakty dotyczące głównej grupy zarządzania

  • Domyślnie nazwa wyświetlana głównej grupy zarządzania to Grupa główna dzierżawy i działa jako grupa zarządzania. Identyfikator jest taką samą wartością jak identyfikator dzierżawy firmy Microsoft Entra.
  • Aby zmienić nazwę wyświetlaną, konto musi mieć rolę Właściciel lub Współautor w głównej grupie zarządzania. Aby uzyskać więcej informacji, zobacz Zmienianie nazwy grupy zarządzania.
  • Głównej grupy zarządzania nie można przenieść ani usunąć, w odróżnieniu od innych grup zarządzania.
  • Wszystkie subskrypcje i grupy zarządzania składają się w jedną główną grupę zarządzania w katalogu.
    • Wszystkie zasoby w katalogu składają się do głównej grupy zarządzania dla globalnego zarządzania.
    • Nowe subskrypcje są automatycznie domyślne dla głównej grupy zarządzania po ich utworzeniu.
  • Główna grupa zarządzania jest widoczna dla wszystkich klientów platformy Azure, ale nie wszyscy klienci mają dostęp do zarządzania tą główną grupą zarządzania.
    • Każdy, kto ma dostęp do subskrypcji, może zobaczyć kontekst, w którym ta subskrypcja znajduje się w hierarchii.
    • Nikt nie ma domyślnego dostępu do głównej grupy zarządzania. Administratorzy globalni firmy Microsoft Entra są jedynymi użytkownikami, którzy mogą podnieść poziom uprawnień, aby uzyskać dostęp. Po dokonaniu dostępu do głównej grupy zarządzania mogą przypisać dowolną rolę platformy Azure innym użytkownikom, aby zarządzać grupą.

Ważne

Każde przypisanie dostępu użytkownika lub zasad w głównej grupie zarządzania ma zastosowanie do wszystkich zasobów w katalogu. Ze względu na ten poziom dostępu wszyscy klienci powinni ocenić potrzebę posiadania elementów zdefiniowanych w tym zakresie. Przypisania dostępu użytkowników i zasad powinny mieć wartość "musi mieć" tylko w tym zakresie.

Konfiguracja początkowa grup zarządzania

Gdy dowolny użytkownik zacznie korzystać z grup zarządzania, następuje początkowy proces konfiguracji. Pierwszym krokiem jest utworzenie głównej grupy zarządzania w katalogu. Wszystkie istniejące subskrypcje istniejące w katalogu stają się elementami podrzędnymi głównej grupy zarządzania.

Celem tego procesu jest upewnienie się, że istnieje tylko jedna hierarchia grup zarządzania w katalogu. Pojedyncza hierarchia w katalogu umożliwia klientom administracyjnym klientom stosowanie globalnego dostępu i zasad, których inni klienci w katalogu nie mogą obejść.

Wszystkie elementy przypisane do katalogu głównego mają zastosowanie do całej hierarchii. Oznacza to, że dotyczy wszystkich grup zarządzania, subskrypcji, grup zasobów i zasobów w ramach tej dzierżawy firmy Microsoft Entra.

Dostęp do grupy zarządzania

Grupy zarządzania platformy Azure obsługują kontrolę dostępu na podstawie ról platformy Azure dla wszystkich definicji dostępu do zasobów i ról. Zasoby podrzędne, które istnieją w hierarchii, dziedziczą te uprawnienia. Dowolną rolę platformy Azure można przypisać do grupy zarządzania, która dziedziczy hierarchię do zasobów.

Możesz na przykład przypisać współautora maszyny wirtualnej roli platformy Azure do grupy zarządzania. Ta rola nie ma żadnej akcji w grupie zarządzania, ale dziedziczy wszystkie maszyny wirtualne w ramach tej grupy zarządzania.

Na poniższym wykresie przedstawiono listę ról i obsługiwane akcje na grupach zarządzania.

Nazwa roli platformy Azure Utworzenie Zmień nazwę Przenoszenie** Delete Przypisywanie dostępu Przypisz zasadę Przeczytaj
Właściciel X X X X X X X
Współautor X X X X X
Współautor grupy zarządzania* X X Przenoszenie szczegółów X X
Czytelnik X
Czytelnik grup zarządzania* X
Współautor zasad zasobów X
Administrator dostępu użytkowników X X

*: Te role umożliwiają użytkownikom wykonywanie określonych akcji tylko w zakresie grupy zarządzania.

**: Przypisania ról w głównej grupie zarządzania nie są wymagane do przeniesienia subskrypcji ani grupy zarządzania do i z niej.

Przenoszenie subskrypcji i grup zarządzania

Przeniesienie subskrypcji i grup zarządzania wymaga zastosowania różnych przypisań ról. Aby przenieść subskrypcję podrzędną lub grupę zarządzania, potrzebne są następujące uprawnienia:

  • Subskrypcja podrzędna lub grupa zarządzania, która jest przenoszona
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (tylko w przypadku subskrypcji)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Docelowa nadrzędna grupa zarządzania
    • Microsoft.management/managementgroups/write
  • Bieżąca nadrzędna grupa zarządzania
    • Microsoft.management/managementgroups/write

Aby uzyskać więcej informacji na temat przenoszenia elementów w hierarchii, zobacz Zarządzanie zasobami przy użyciu grup zarządzania.

Niestandardowa definicja i przypisanie roli platformy Azure

Grupę zarządzania można zdefiniować jako zakres możliwy do przypisania w niestandardowej definicji roli platformy Azure. Rola niestandardowa platformy Azure jest dostępna do przypisania w tej grupie zarządzania i dowolnej grupie zarządzania, subskrypcji, grupie zasobów lub zasobie. Rola niestandardowa dziedziczy hierarchię tak jak każda wbudowana rola.

Aby uzyskać informacje o ograniczeniach dotyczących ról niestandardowych i grup zarządzania, zobacz Ograniczenia w dalszej części tego artykułu.

Przykładowa definicja

Definiowanie i tworzenie roli niestandardowej nie zmienia się wraz z dołączeniem grup zarządzania. Użyj pełnej ścieżki, aby zdefiniować grupę zarządzania: /providers/Microsoft.Management/managementgroups/{_groupId_}.

Użyj identyfikatora grupy zarządzania, a nie nazwy wyświetlanej grupy zarządzania. Ten typowy błąd występuje, ponieważ oba te pola są polami zdefiniowanymi niestandardowymi podczas tworzenia grupy zarządzania.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementGroups/delete",
    "Microsoft.Management/managementGroups/read",
    "Microsoft.Management/managementGroups/write",
    "Microsoft.Management/managementGroups/subscriptions/delete",
    "Microsoft.Management/managementGroups/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problemy z przerywaniem definicji roli i ścieżki hierarchii przypisań

Definicje ról są przypisywanymi zakresami w dowolnym miejscu w hierarchii grup zarządzania. Definicja roli może znajdować się w nadrzędnej grupie zarządzania, natomiast rzeczywiste przypisanie roli istnieje w subskrypcji podrzędnej. Ponieważ istnieje relacja między dwoma elementami, błąd jest wyświetlany, jeśli próbujesz oddzielić przypisanie od jego definicji.

Rozważmy na przykład poniższy przykład małej sekcji hierarchii.

Diagram podzestawu przykładowej hierarchii grup zarządzania.

Diagram koncentruje się na głównej grupie zarządzania z podrzędnymi strefami docelowymi i grupami zarządzania piaskownicą. Grupa zarządzania stref docelowych ma dwie podrzędne grupy zarządzania o nazwach Corp i Online, natomiast grupa zarządzania piaskownicą ma dwie subskrypcje podrzędne.

Załóżmy, że rola niestandardowa jest zdefiniowana w grupie zarządzania piaskownicą. Ta rola niestandardowa jest następnie przypisywana w dwóch subskrypcjach piaskownicy.

Jeśli spróbujesz przenieść jedną z tych subskrypcji jako element podrzędny grupy zarządzania Corp, spowoduje to przerwanie ścieżki z przypisania roli subskrypcji do definicji roli dla grupy zarządzania piaskownicą. W tym scenariuszu zostanie wyświetlony komunikat o błędzie informujący, że przeniesienie nie jest dozwolone, ponieważ przerywa tę relację.

Aby rozwiązać ten scenariusz, dostępne są następujące opcje:

  • Usuń przypisanie roli z subskrypcji przed przeniesieniem subskrypcji do nowej nadrzędnej grupy zarządzania.
  • Dodaj subskrypcję do możliwego do przypisania zakresu definicji roli.
  • Zmień zakres możliwy do przypisania w definicji roli. W tym przykładzie można zaktualizować możliwe do przypisania zakresy z grupy zarządzania piaskownicą do głównej grupy zarządzania, aby obie gałęzie hierarchii mogły osiągnąć definicję.
  • Tworzenie innej roli niestandardowej jest definiowane w innej gałęzi. Ta nowa rola wymaga również zmiany roli w subskrypcji.

Ograniczenia

Istnieją ograniczenia dotyczące używania ról niestandardowych w grupach zarządzania:

  • W przypisanych zakresach nowej roli można zdefiniować tylko jedną grupę zarządzania. To ograniczenie ma na celu zmniejszenie liczby sytuacji, w których definicje ról i przypisania ról są rozłączone. Taka sytuacja występuje, gdy subskrypcja lub grupa zarządzania z przypisaniem roli zostanie przeniesiona do innego elementu nadrzędnego, który nie ma definicji roli.
  • Ról niestandardowych z elementem DataActions nie można przypisywać do zakresu grupy zarządzania. Aby uzyskać więcej informacji, zobacz Niestandardowe limity ról.
  • Usługa Azure Resource Manager nie weryfikuje istnienia grupy zarządzania w zakresie możliwym do przypisania określonym w definicji roli. Jeśli istnieje literówka lub nieprawidłowy identyfikator grupy zarządzania, definicja roli jest nadal tworzona.

Przenoszenie grup zarządzania i subskrypcji

Aby przenieść grupę zarządzania lub subskrypcję jako element podrzędny innej grupy zarządzania, potrzebne są następujące elementy:

  • Uprawnienia do zapisu grupy zarządzania i uprawnienia do zapisu przypisania ról w podrzędnej subskrypcji lub grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel
  • Dostęp do zapisu grupy zarządzania w docelowej nadrzędnej grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania
  • Dostęp do zapisu grupy zarządzania w istniejącej nadrzędnej grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania

Istnieje wyjątek: jeśli element docelowy lub istniejąca nadrzędna grupa zarządzania jest główną grupą zarządzania, wymagania dotyczące uprawnień nie mają zastosowania. Ponieważ główna grupa zarządzania jest domyślnym miejscem docelowym dla wszystkich nowych grup zarządzania i subskrypcji, nie potrzebujesz uprawnień do przeniesienia elementu.

Jeśli rola Właściciel subskrypcji jest dziedziczona z bieżącej grupy zarządzania, cele przenoszenia są ograniczone. Subskrypcję można przenieść tylko do innej grupy zarządzania, w której masz rolę Właściciel. Nie można przenieść subskrypcji do grupy zarządzania, w której jesteś tylko współautorem, ponieważ utracisz własność subskrypcji. Jeśli masz bezpośrednio przypisaną rolę Właściciel dla subskrypcji, możesz przenieść ją do dowolnej grupy zarządzania, w której masz rolę Współautor.

Ważne

Usługa Azure Resource Manager buforuje szczegóły hierarchii grup zarządzania przez maksymalnie 30 minut. W związku z tym witryna Azure Portal może nie od razu pokazać, że grupa zarządzania została przeniesiona.

Inspekcja grup zarządzania przy użyciu dzienników aktywności

Grupy zarządzania są obsługiwane w dziennikach aktywności usługi Azure Monitor. Możesz wykonywać zapytania dotyczące wszystkich zdarzeń, które mają miejsce w grupie zarządzania w tej samej centralnej lokalizacji co inne zasoby platformy Azure. Można na przykład zobaczyć wszystkie przypisania ról lub zmiany przypisania zasad wprowadzone w określonej grupie zarządzania.

Zrzut ekranu przedstawiający dzienniki aktywności i operacje związane z wybraną grupą zarządzania.

Jeśli chcesz wykonać zapytanie dotyczące grup zarządzania poza witryną Azure Portal, zakres docelowy grup zarządzania wygląda następująco: "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Uwaga

Za pomocą interfejsu API REST usługi Azure Resource Manager można włączyć ustawienia diagnostyczne w grupie zarządzania w celu wysyłania powiązanych wpisów dziennika aktywności usługi Azure Monitor do obszaru roboczego usługi Log Analytics, usługi Azure Storage lub usługi Azure Event Hubs. Aby uzyskać więcej informacji, zobacz Ustawienia diagnostyczne grupy zarządzania: Tworzenie lub aktualizowanie.

Aby dowiedzieć się więcej na temat grup zarządzania, zobacz: