Ochrona hierarchii zasobów

Zasoby, grupy zasobów, subskrypcje, grupy zarządzania i dzierżawa tworzą hierarchię zasobów. Ustawienia w głównej grupie zarządzania, takiej jak role niestandardowe platformy Azure lub przypisania zasad, mogą mieć wpływ na każdy zasób w hierarchii zasobów. Ważne jest, aby chronić hierarchię zasobów przed zmianami, które mogą negatywnie wpłynąć na wszystkie zasoby.

Grupy zarządzania mają ustawienia hierarchii, które umożliwiają administratorowi dzierżawy kontrolowanie tych zachowań. W tym artykule opisano każde z dostępnych ustawień hierarchii i sposób ich ustawiania.

Uprawnienia RBAC platformy Azure dla ustawień hierarchii

Konfigurowanie ustawień hierarchii wymaga następujących operacji dostawcy zasobów w głównej grupie zarządzania:

• Microsoft.Management/managementgroups/settings/write
• Microsoft.Management/managementgroups/settings/read

Te operacje reprezentują uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure. Zezwalają tylko użytkownikowi na odczytywanie i aktualizowanie ustawień hierarchii. Nie zapewniają one żadnego innego dostępu do hierarchii grup zarządzania ani zasobów w hierarchii.

Obie te operacje są dostępne w ramach wbudowanej roli Administrator ustawień hierarchii platformy Azure.

Ustawienie: Zdefiniuj domyślną grupę zarządzania

Domyślnie nowa subskrypcja dodana w dzierżawie staje się członkiem głównej grupy zarządzania. W przypadku przypisywania przypisań zasad, kontroli dostępu opartej na rolach platformy Azure i innych konstrukcji ładu do głównej grupy zarządzania mają one natychmiastowy wpływ na te nowe subskrypcje. Z tego powodu wiele organizacji nie stosuje tych konstrukcji w głównej grupie zarządzania, mimo że jest to odpowiednie miejsce do ich przypisania. W innych przypadkach organizacja chce bardziej restrykcyjnego zestawu kontrolek dla nowych subskrypcji, ale nie chce przypisywać ich do wszystkich subskrypcji. To ustawienie obsługuje oba przypadki użycia.

Zezwalając na zdefiniowanie domyślnej grupy zarządzania dla nowych subskrypcji, można zastosować konstrukcje ładu dla całej organizacji w głównej grupie zarządzania. Możesz zdefiniować oddzielną grupę zarządzania z przypisaniami zasad lub przypisaniami ról platformy Azure, które są bardziej odpowiednie dla nowej subskrypcji.

Definiowanie domyślnej grupy zarządzania w portalu

1. Zaloguj się w witrynie Azure Portal.

2. Użyj paska wyszukiwania, aby wyszukać i wybrać pozycję Grupy zarządzania.

3. Wybierz główną grupę zarządzania.

4. Wybierz pozycję Ustawienia po lewej stronie.

5. Wybierz przycisk Zmień domyślną grupę zarządzania.

   Jeśli przycisk Zmień domyślną grupę zarządzania jest niedostępny, przyczyną jest jeden z następujących warunków:

   • Wyświetlana grupa zarządzania nie jest główną grupą zarządzania.
   • Podmiot zabezpieczeń nie ma niezbędnych uprawnień do zmiany ustawień hierarchii.

6. Wybierz grupę zarządzania z hierarchii, a następnie wybierz przycisk Wybierz .

Definiowanie domyślnej grupy zarządzania przy użyciu interfejsu API REST

Aby zdefiniować domyślną grupę zarządzania przy użyciu interfejsu API REST, należy wywołać punkt końcowy Ustawienia hierarchii. Użyj następującego identyfikatora URI interfejsu API REST i formatu treści. Zastąp {rootMgID} element identyfikatorem głównej grupy zarządzania. Zastąp {defaultGroupID} element identyfikatorem grupy zarządzania, która stanie się domyślną grupą zarządzania.

• Identyfikator URI interfejsu API REST:

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Treść żądania:

  {
      "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
      }
  }
  

Aby ustawić domyślną grupę zarządzania z powrotem na główną grupę zarządzania, użyj tego samego punktu końcowego i ustaw wartość defaultManagementGroup /providers/Microsoft.Management/managementGroups/{rootMgID}.

Ustawienie: Wymagaj autoryzacji

Każdy użytkownik domyślnie może tworzyć nowe grupy zarządzania w dzierżawie. Administratorzy dzierżawy mogą chcieć zapewnić te uprawnienia tylko określonym użytkownikom, aby zachować spójność i zgodność w hierarchii grup zarządzania. Aby utworzyć podrzędne grupy zarządzania, użytkownik wymaga Microsoft.Management/managementGroups/write operacji w głównej grupie zarządzania.

Wymagaj autoryzacji w portalu

1. Zaloguj się w witrynie Azure Portal.

2. Użyj paska wyszukiwania, aby wyszukać i wybrać pozycję Grupy zarządzania.

3. Wybierz główną grupę zarządzania.

4. Wybierz pozycję Ustawienia po lewej stronie.

5. Włącz przełącznik Uprawnienia do tworzenia nowych grup zarządzania.

   Jeśli przełącznik Wymagaj uprawnień do zapisu do tworzenia nowych grup zarządzania jest niedostępny, przyczyną jest jeden z następujących warunków:

   • Wyświetlana grupa zarządzania nie jest główną grupą zarządzania.
   • Podmiot zabezpieczeń nie ma niezbędnych uprawnień do zmiany ustawień hierarchii.

Wymagaj autoryzacji przy użyciu interfejsu API REST

Aby wymagać autoryzacji przy użyciu interfejsu API REST, wywołaj punkt końcowy Ustawienia hierarchii. Użyj następującego identyfikatora URI interfejsu API REST i formatu treści. Ta wartość jest wartością logiczną, dlatego podaj true wartość lub false . Wartość true umożliwia tę metodę ochrony hierarchii grup zarządzania.

• Identyfikator URI interfejsu API REST:

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Treść żądania:

  {
      "properties": {
          "requireAuthorizationForGroupCreation": true
      }
  }
  

Aby wyłączyć to ustawienie, użyj tego samego punktu końcowego i ustaw requireAuthorizationForGroupCreation wartość .false

Przykład programu Azure PowerShell

Program Azure PowerShell nie ma Az polecenia służącego do definiowania domyślnej grupy zarządzania ani wymagania autoryzacji. Aby obejść ten problem, możesz użyć interfejsu API REST z następującym przykładem programu Azure PowerShell:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Powiązana zawartość

Aby dowiedzieć się więcej na temat grup zarządzania, zobacz:

• Tworzenie grup zarządzania w celu organizowania zasobów platformy Azure
• Zmienianie, usuwanie grup zarządzania lub zarządzanie nimi