Udostępnij za pośrednictwem

Co to są grupy zarządzania platformy Azure?

  • Artykuł

Jeśli twoja organizacja ma wiele subskrypcji platformy Azure, może być konieczne efektywne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania zapewniają zakres ładu powyżej subskrypcji. Podczas organizowania subskrypcji w grupy zarządzania warunki ładu stosowane kaskadowo przez dziedziczenie do wszystkich skojarzonych subskrypcji.

Grupy zarządzania zapewniają zarządzanie klasy korporacyjnej na dużą skalę, niezależnie od typu subskrypcji, które mogą istnieć. Jednak wszystkie subskrypcje w ramach jednej grupy zarządzania muszą ufać tej samej dzierżawie firmy Microsoft Entra.

Można na przykład zastosować zasady do grupy zarządzania, która ogranicza regiony dostępne dla tworzenia maszyn wirtualnych. Te zasady będą stosowane do wszystkich zagnieżdżonych grup zarządzania, subskrypcji i zasobów, aby umożliwić tworzenie maszyn wirtualnych tylko w autoryzowanych regionach.

Hierarchia grup zarządzania i subskrypcji

Można utworzyć elastyczną strukturę grup zarządzania i subskrypcji w celu organizowania zasobów w hierarchię na potrzeby ujednoliconego zarządzania zasadami i dostępem. Na poniższym diagramie przedstawiono przykład tworzenia hierarchii dla nadzoru przy użyciu grup zarządzania.

Diagram przykładowej hierarchii grup zarządzania.

Można utworzyć hierarchię, która stosuje zasady, na przykład, ograniczające lokalizacje maszyn wirtualnych do regionu Zachodnich Stanów Zjednoczonych w grupie zarządzania o nazwie Corp. Zasady te dziedziczą wszystkie subskrypcje Enterprise Agreement (EA), które są podrzędne względem tej grupy zarządzania i stosują się do wszystkich maszyn wirtualnych w ramach tych subskrypcji. Właściciel zasobu lub subskrypcji nie może zmienić tych zasad zabezpieczeń, aby umożliwić lepsze zarządzanie.

Uwaga

Grupy zarządzania nie są obecnie obsługiwane w funkcjach zarządzania kosztami dla subskrypcji Umowa z Klientem Microsoft (MCA).

Innym scenariuszem, w którym można użyć grup zarządzania, jest zapewnienie użytkownikom dostępu do wielu subskrypcji. Przenosząc wiele subskrypcji do grupy zarządzania, można utworzyć jedno przypisanie roli Azure w ramach grupy zarządzania. Rola dziedziczy ten dostęp do wszystkich subskrypcji. Jedno przypisanie w grupie zarządzania może umożliwić użytkownikom dostęp do wszystkiego, czego potrzebują, zamiast tworzenia skryptów dla kontroli dostępu opartej na rolach (RBAC) platformy Azure w różnych subskrypcjach.

Ważne fakty dotyczące grup zarządzania

  • Pojedynczy katalog może obsługiwać 10 000 grup zarządzania.

  • Drzewo grupy zarządzania może obsługiwać maksymalnie sześć poziomów głębokości.

    Ten limit nie obejmuje poziomu głównego lub poziomu subskrypcji.

  • Każda grupa zarządzania i subskrypcja może mieć tylko jednego rodzica.

  • Każda grupa zarządzania może mieć wiele grup podrzędnych.

  • Wszystkie subskrypcje i grupy zarządzania znajdują się w jednej hierarchii w każdym katalogu. Aby uzyskać więcej informacji, zobacz Ważne fakty dotyczące głównej grupy zarządzania w dalszej części tego artykułu.

Główna grupa zarządzania dla każdego katalogu

Każdy katalog ma pojedynczą grupę zarządzania najwyższego poziomu nazywaną główną grupą zarządzania. Główna grupa zarządzania jest wbudowana w hierarchię, aby wszystkie grupy zarządzania i subskrypcje do niej należały.

Główna grupa zarządzania umożliwia stosowanie globalnych zasad i przypisań ról platformy Azure na poziomie katalogu. Początkowo podnieś dostęp do zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania do roli Administratora dostępu w tej głównej grupie podstawowej. Po podwyższeniu poziomu dostępu administrator dzierżawy może przypisać dowolną rolę platformy Azure innym użytkownikom katalogu lub grupom w celu zarządzania hierarchią. Jako administrator możesz przypisać swoje konto jako właściciela głównej grupy zarządzania.

Ważne fakty dotyczące głównej grupy zarządzania

  • Domyślnie nazwa wyświetlana głównej grupy zarządzania to Grupa główna dzierżawcy i działa samodzielnie jako grupa zarządzania. Identyfikator jest tą samą wartością co identyfikator dzierżawy Microsoft Entra.
  • Aby zmienić nazwę wyświetlaną, twoje konto musi mieć rolę Właściciela lub Kontrybutora w nadrzędnej grupie zarządzania. Aby uzyskać więcej informacji, zobacz Zmienianie nazwy grupy zarządzania.
  • Głównej grupy zarządzania nie można przenieść ani usunąć, w odróżnieniu od innych grup zarządzania.
  • Wszystkie subskrypcje i grupy zarządzania łączą się w jedną główną grupę zarządzania w ramach katalogu.
    • Wszystkie zasoby w katalogu są zintegrowane do głównej grupy zarządzania w celu zarządzania globalnego.
    • Nowe subskrypcje są automatycznie domyślne dla głównej grupy zarządzania po ich utworzeniu.
  • Główna grupa zarządzania jest widoczna dla wszystkich klientów platformy Azure, ale nie wszyscy klienci mają dostęp do zarządzania tą główną grupą zarządzania.
    • Każdy, kto ma dostęp do subskrypcji, może zobaczyć kontekst, w którym ta subskrypcja znajduje się w hierarchii.
    • Nikt nie ma domyślnego dostępu do głównej grupy zarządzania. Administratorzy globalni firmy Microsoft Entra są jedynymi użytkownikami, którzy mogą podnieść poziom uprawnień, aby uzyskać dostęp. Po dokonaniu dostępu do głównej grupy zarządzania mogą przypisać dowolną rolę platformy Azure innym użytkownikom, aby zarządzać grupą.

Ważne

Każde przypisanie dostępu użytkownika lub zasad w głównej grupie zarządzania ma zastosowanie do wszystkich zasobów w katalogu. Ze względu na ten poziom dostępu wszyscy klienci powinni ocenić potrzebę posiadania elementów zdefiniowanych w tym zakresie. Przypisania dostępu użytkowników i zasad powinny mieć wartość "musi mieć" tylko w tym zakresie.

Konfiguracja początkowa grup zarządzania

Gdy dowolny użytkownik zacznie korzystać z grup zarządzania, następuje początkowy proces konfiguracji. Pierwszym krokiem jest utworzenie głównej grupy zarządzania w katalogu. Wszystkie istniejące subskrypcje istniejące w katalogu stają się elementami podrzędnymi głównej grupy zarządzania.

Celem tego procesu jest upewnienie się, że istnieje tylko jedna hierarchia grup zarządzania w katalogu. Pojedyncza hierarchia w katalogu umożliwia klientom administracyjnym stosowanie globalnego dostępu i polityk, które inni klienci w katalogu nie mogą obejść.

Wszystko przypisane do głównej ma zastosowanie do całej hierarchii. Oznacza to, że dotyczy wszystkich grup zarządzania, subskrypcji, grup zasobów i zasobów w ramach dzierżawy Microsoft Entra.

Dostęp do grupy zarządzania

Grupy zarządzania platformy Azure obsługują kontrolę dostępu opartą na rolach (RBAC) platformy Azure dla wszystkich dostępów do zasobów i definicji ról. Zasoby podrzędne, które istnieją w hierarchii, dziedziczą te uprawnienia. Dowolną rolę platformy Azure można przypisać do grupy zarządzania, która dziedziczy uprawnienia w dół hierarchii do zasobów.

Możesz na przykład przypisać rolę współautora maszyny wirtualnej w platformie Azure do grupy zarządzania. Ta rola nie ma żadnego działania na grupę zarządzania, ale jej uprawnienia są dziedziczone przez wszystkie maszyny wirtualne w ramach tej grupy zarządzania.

Na poniższej tabeli przedstawiono listę ról i obsługiwane działania w grupach zarządzania.

Nazwa roli platformy Azure Utwórz Zmień nazwę Przenoszenie** Usuń Przypisywanie dostępu Przypisz politykę Przeczytaj
Właściciel X X X X X X X
Współautor X X X X X
Współpracownik grupy zarządzania X X Szczegóły przeprowadzki X X
Czytelnik X
Czytelnik grup zarządzania* X
Osoba współtworząca politykę zasobów X
Administrator dostępu użytkowników X X

*: Te role umożliwiają użytkownikom wykonywanie określonych akcji tylko w zakresie grupy zarządzania.

**: Przypisania ról w głównej grupie zarządzania nie są wymagane do przeniesienia subskrypcji ani grupy zarządzania do i z niej.

Przenoszenie subskrypcji i grup zarządzania

Przeniesienie subskrypcji i grup zarządzania wymaga zastosowania różnych przypisań ról. Aby przenieść subskrypcję podrzędną lub grupę zarządzania, potrzebne są następujące uprawnienia:

  • Subskrypcja podrzędna lub grupa zarządzania, która jest przenoszona
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (tylko w przypadku subskrypcji)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Docelowa nadrzędna grupa zarządzająca
    • Microsoft.management/managementgroups/write
  • Bieżąca nadrzędna grupa zarządzająca
    • Microsoft.management/managementgroups/write

Aby uzyskać więcej informacji na temat przenoszenia elementów w hierarchii, zobacz Zarządzanie zasobami przy użyciu grup zarządzania.

Niestandardowa definicja i przypisanie roli platformy Azure

Grupę zarządzania można zdefiniować jako zakres możliwy do przypisania w niestandardowej definicji roli platformy Azure. Rola niestandardowa platformy Azure może być przypisana do dowolnej grupy zarządzania, subskrypcji, grupy zasobów lub zasobu w tej grupie zarządzania. Rola niestandardowa dziedziczy hierarchię tak jak każda wbudowana rola.

Aby uzyskać informacje o ograniczeniach dotyczących ról niestandardowych i grup zarządzania, zobacz Ograniczenia w dalszej części tego artykułu.

Przykładowa definicja

Definiowanie i tworzenie roli niestandardowej nie zmienia się wraz z dołączeniem grup zarządzania. Użyj pełnej ścieżki, aby zdefiniować grupę zarządzania: /providers/Microsoft.Management/managementgroups/{_groupId_}.

Użyj identyfikatora grupy zarządzania, a nie nazwy wyświetlanej grupy zarządzania. Ten typowy błąd występuje, ponieważ oba te pola są niestandardowymi polami zdefiniowanymi podczas tworzenia grupy zarządzającej.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementGroups/delete",
    "Microsoft.Management/managementGroups/read",
    "Microsoft.Management/managementGroups/write",
    "Microsoft.Management/managementGroups/subscriptions/delete",
    "Microsoft.Management/managementGroups/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problemy z przerywaniem definicji roli i ścieżki hierarchii przypisań

Zakresy przypisania definicji ról mogą być określane w dowolnym miejscu w hierarchii grup zarządzania. Definicja roli może znajdować się w nadrzędnej grupie zarządzającej, natomiast rzeczywiste przypisanie roli istnieje w subskrypcji podrzędnej. Ponieważ istnieje relacja między dwoma elementami, pojawi się błąd, jeśli spróbujesz oddzielić przypisanie od jego definicji.

Rozważmy na przykład poniższy przykład małej sekcji hierarchii.

Diagram podzestawu przykładowej hierarchii grup zarządzania.

Załóżmy, że niestandardowa rola jest zdefiniowana w grupie zarządzania sandbox. Ta niestandardowa rola jest następnie przypisywana w dwóch subskrypcjach testowych.

Jeśli spróbujesz przenieść jedną z tych subskrypcji jako podrzędną jednostkę grupy zarządzania korporacją, może to powodować przerwanie ścieżki z przypisania roli subskrypcji do definicji roli dla grupy zarządzania typu piaskownica. W tym scenariuszu zostanie wyświetlony komunikat o błędzie informujący, że przeniesienie nie jest dozwolone, ponieważ przerywa tę relację.

Aby rozwiązać ten scenariusz, dostępne są następujące opcje:

  • Usuń przypisanie roli z subskrypcji przed przeniesieniem subskrypcji do nowej nadrzędnej grupy zarządzania.
  • Dodaj subskrypcję do zakresu, w którym można przypisać definicję roli.
  • Zmień zakres możliwy do przypisania w definicji roli. W tym przykładzie można zaktualizować przypisywalne zakresy z grupy zarządzania sandboxa do głównej grupy zarządzania, aby obie gałęzie hierarchii mogły uzyskać dostęp do definicji.
  • Tworzenie innej roli niestandardowej jest definiowane w innej gałęzi. Ta nowa rola wymaga również, abyś zmienił rolę w subskrypcji.

Ograniczenia

Istnieją ograniczenia dotyczące używania ról niestandardowych w grupach zarządzania:

  • W przypisanych zakresach nowej roli można zdefiniować tylko jedną grupę zarządzania. To ograniczenie ma na celu zmniejszenie liczby sytuacji, w których definicje ról i przypisania ról są rozłączone. Taka sytuacja występuje, gdy subskrypcja lub grupa zarządzania z przypisaniem roli zostanie przeniesiona do innego podmiotu nadrzędnego, który nie ma definicji roli.
  • Ról niestandardowych z elementem DataActions nie można przypisywać do zakresu grupy zarządzania. Aby uzyskać więcej informacji, zobacz Niestandardowe limity ról.
  • Usługa Azure Resource Manager nie weryfikuje istnienia grupy zarządzania w zakresie możliwym do przypisania określonym w definicji roli. Jeśli istnieje literówka lub nieprawidłowy identyfikator grupy zarządzania, definicja roli jest nadal tworzona.

Przenoszenie grup zarządzania i subskrypcji

Aby przenieść grupę zarządzania lub subskrypcję jako dziecko innej grupy zarządzania, potrzebujesz:

  • Uprawnienia do zapisu dla grupy zarządzania oraz uprawnienia do zapisu dotyczące przypisywania ról w podrzędnej subskrypcji lub grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel
  • Dostęp do zapisu grupy zarządzania w docelowej nadrzędnej grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania
  • Uprawnienia do zapisu dla grupy zarządzania w istniejącej nadrzędnej grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania

Istnieje wyjątek: jeśli element docelowy lub istniejąca nadrzędna grupa zarządzania jest główną grupą zarządzania, wymagania dotyczące uprawnień nie mają zastosowania. Ponieważ główna grupa zarządzania jest domyślnym miejscem docelowym dla wszystkich nowych grup zarządzania i subskrypcji, nie potrzebujesz uprawnień do przeniesienia elementu.

Jeśli rola Właściciel subskrypcji jest dziedziczona z bieżącej grupy zarządzania, opcje przenoszenia są ograniczone. Subskrypcję można przenieść tylko do innej grupy zarządzania, w której masz rolę właściciela. Nie można przenieść subskrypcji do grupy zarządzania, w której jesteś tylko współautorem, ponieważ utracisz własność subskrypcji. Jeśli masz bezpośrednio przypisaną rolę Właściciela dla subskrypcji, możesz przenieść ją do dowolnej grupy zarządzania, w której masz rolę Współpracownika.

Ważne

Usługa Azure Resource Manager buforuje szczegóły hierarchii grup zarządzania przez maksymalnie 30 minut. W związku z tym witryna Azure Portal może nie od razu pokazać, że grupa zarządzania została przeniesiona.

Inspekcja grup zarządzania przy użyciu dzienników aktywności

Grupy zarządzania są obsługiwane w dziennikach aktywności usługi Azure Monitor. Możesz wykonywać zapytania dotyczące wszystkich zdarzeń, które mają miejsce w grupie zarządzania w tej samej centralnej lokalizacji co inne zasoby platformy Azure. Można na przykład zobaczyć wszystkie przypisania ról lub zmiany przypisania zasad wprowadzone w określonej grupie zarządczej.

Zrzut ekranu przedstawiający dzienniki aktywności i operacje związane z wybraną grupą zarządzania.

Jeśli chcesz wykonać zapytanie dotyczące grup zarządzania poza witryną Azure Portal, zakres docelowy grup zarządzania wygląda następująco: "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Uwaga

Za pomocą interfejsu API REST usługi Azure Resource Manager można włączyć ustawienia diagnostyczne w grupie zarządzania w celu wysyłania powiązanych wpisów dziennika aktywności usługi Azure Monitor do obszaru roboczego usługi Log Analytics, usługi Azure Storage lub usługi Azure Event Hubs. Aby uzyskać więcej informacji, zobacz Ustawienia diagnostyczne grupy zarządzania: Tworzenie lub aktualizowanie.

Powiązana zawartość

Aby dowiedzieć się więcej na temat grup zarządzania, zobacz: