Partilhar via


Grupos de gestão

Use grupos de gerenciamento para organizar e governar suas assinaturas do Azure. À medida que o número de suas assinaturas aumenta, os grupos de gerenciamento fornecem estrutura crítica para seu ambiente do Azure e facilitam o gerenciamento de suas assinaturas. Use as diretrizes a seguir para estabelecer uma hierarquia de grupo de gerenciamento eficaz e organizar suas assinaturas de acordo com as práticas recomendadas.

Considerações de design do grupo de gerenciamento

As estruturas do grupo de gerenciamento dentro de um locatário do Microsoft Entra suportam o mapeamento organizacional. Considere completamente a estrutura do seu grupo de gerenciamento quando sua organização planeja sua adoção do Azure em escala.

  • Determine como sua organização separa os serviços que equipes específicas possuem ou operam.

  • Determine se você tem funções específicas que precisa manter separadas por motivos como requisitos de negócios, requisitos operacionais, requisitos regulamentares, residência de dados, segurança de dados ou conformidade com soberania de dados.

  • Use grupos de gerenciamento para agregar atribuições de políticas e iniciativas por meio da Política do Azure.

  • Habilite a autorização RBAC (controle de acesso baseado em função) do Azure para operações de grupo de gerenciamento para substituir a autorização padrão. Por padrão, qualquer entidade de segurança, como uma entidade de usuário ou entidade de serviço, dentro de um locatário do Microsoft Entra pode criar novos grupos de gerenciamento. Para obter mais informações, consulte Como proteger sua hierarquia de recursos.

Considere também os seguintes fatores:

  • Uma árvore de grupo de gerenciamento pode suportar até seis níveis de profundidade. Este limite não inclui o nível de raiz do inquilino ou o nível de subscrição.

  • Todas as novas assinaturas são colocadas no grupo de gerenciamento raiz do locatário por padrão.

Para obter mais informações, consulte Grupos de gerenciamento.

Recomendações do grupo de gestão

  • Mantenha a hierarquia do grupo de gestão razoavelmente plana, idealmente com não mais do que três a quatro níveis. Essa restrição reduz a sobrecarga e a complexidade do gerenciamento.

  • Não duplique sua estrutura organizacional em uma hierarquia de grupo de gerenciamento profundamente aninhada. Use grupos de gerenciamento para atribuição de políticas versus fins de cobrança. Para essa abordagem, use grupos de gerenciamento para a finalidade pretendida na arquitetura conceitual da zona de aterrissagem do Azure. Essa arquitetura fornece políticas do Azure para cargas de trabalho que exigem o mesmo tipo de segurança e conformidade no mesmo nível de grupo de gerenciamento.

  • Crie grupos de gerenciamento em seu grupo de gerenciamento de nível raiz para representar os tipos de cargas de trabalho que você hospeda. Esses grupos são baseados nas necessidades de segurança, conformidade, conectividade e recursos das cargas de trabalho. Com essa estrutura de agrupamento, você pode ter um conjunto de políticas do Azure aplicadas no nível do grupo de gerenciamento. Use essa estrutura de agrupamento para todas as cargas de trabalho que exigem as mesmas configurações de segurança, conformidade, conectividade e recursos.

  • Use marcas de recursos para consultar e navegar horizontalmente pela hierarquia do grupo de gerenciamento. Você pode usar a Política do Azure para impor ou acrescentar tags de recursos. Em seguida, pode agrupar recursos para as necessidades de pesquisa sem ter de utilizar uma hierarquia de grupo de gestão complexa.

  • Crie um grupo de gerenciamento de área restrita de nível superior para que você possa experimentar recursos imediatamente antes de movê-los para ambientes de produção. O sandbox fornece isolamento dos seus ambientes de produção, teste e desenvolvimento.

  • Crie um grupo de gerenciamento de plataforma sob o grupo de gerenciamento raiz para dar suporte a políticas de plataforma comuns e atribuições de função do Azure. Essa estrutura de agrupamento garante que você possa aplicar várias políticas às assinaturas em sua fundação do Azure. Essa abordagem também centraliza o faturamento de recursos comuns em um conjunto de assinaturas fundamentais.

  • Limite o número de atribuições da Política do Azure no escopo do grupo de gerenciamento raiz. Esta limitação minimiza a depuração das políticas herdadas em grupos de gestão de nível inferior.

  • Use políticas para impor requisitos de conformidade no grupo de gerenciamento ou no escopo da assinatura para obter governança orientada por políticas.

  • Certifique-se de que apenas usuários privilegiados possam operar grupos de gerenciamento no locatário. Habilite a autorização do RBAC do Azure nas configurações de hierarquia do grupo de gerenciamento para refinar os privilégios do usuário. Por padrão, todos os usuários podem criar seus próprios grupos de gerenciamento no grupo de gerenciamento raiz.

  • Configure um grupo de gerenciamento dedicado padrão para novas assinaturas. Esse grupo garante que nenhuma assinatura fique sob o grupo de gerenciamento raiz. Esse grupo é especialmente importante se os usuários tiverem benefícios e assinaturas do Microsoft Developer Network (MSDN) ou do Visual Studio. Um bom candidato para esse tipo de grupo de gerenciamento é um grupo de gerenciamento de área restrita. Para obter mais informações, consulte Definir um grupo de gerenciamento padrão.

  • Não crie grupos de gerenciamento para ambientes de produção, teste e desenvolvimento. Se necessário, separe esses grupos em assinaturas diferentes no mesmo grupo de gerenciamento. Para obter mais informações, consulte:

  • Recomendamos que você use a estrutura padrão do grupo de gerenciamento de zona de aterrissagem do Azure para implantações de várias regiões. Não crie grupos de gerenciamento apenas para modelar diferentes regiões do Azure. Não altere ou expanda a estrutura do grupo de gerenciamento com base no uso da região ou de várias regiões.

    Se você tiver requisitos regulatórios baseados em localização, como residência de dados, segurança de dados ou soberania de dados, crie uma estrutura de grupo de gerenciamento com base na localização. Você pode implementar essa estrutura em vários níveis. Para obter mais informações, consulte Modificar uma arquitetura de zona de aterrissagem do Azure.

Grupos de gerenciamento no acelerador de zona de aterrissagem do Azure e no repositório ALZ-Bicep

O exemplo a seguir mostra uma estrutura de grupo de gerenciamento. Os grupos de gerenciamento neste exemplo estão no acelerador de zona de aterrissagem do Azure e no módulo de grupos de gerenciamento do repositório ALZ-Bicep.

Nota

Você pode modificar a hierarquia do grupo de gerenciamento no módulo bicep da zona de aterrissagem do Azure editando managementGroups.bicep.

Diagrama que mostra a estrutura do grupo de gerenciamento do acelerador de zona de aterrissagem do Azure.

Grupo de gestão Description
Grupo de gerenciamento de raiz intermediário Esse grupo de gerenciamento está diretamente sob o grupo raiz do locatário. A organização fornece a esse grupo de gerenciamento um prefixo para que eles não precisem usar o grupo raiz. A organização pode mover assinaturas existentes do Azure para a hierarquia. Esta abordagem também define cenários futuros. Esse grupo de gerenciamento é pai de todos os outros grupos de gerenciamento criados pelo acelerador de zona de aterrissagem do Azure.
Plataforma Esse grupo de gerenciamento contém todos os grupos de gerenciamento filho da plataforma, como gerenciamento, conectividade e identidade.
Gestão Este grupo de gestão contém uma subscrição dedicada para gestão, monitorização e segurança. Esta assinatura hospeda um espaço de trabalho de Logs do Azure Monitor, incluindo soluções associadas e uma conta de Automação do Azure.
Conetividade Este grupo de gestão contém uma subscrição dedicada para conectividade. Esta subscrição aloja os recursos de rede do Azure, como a WAN Virtual do Azure, a Firewall do Azure e as zonas privadas do DNS do Azure, que a plataforma exige.

Você pode usar vários grupos de recursos para conter recursos, como redes virtuais, instâncias de firewall e gateways de rede virtual, que são implantados em regiões diferentes. Algumas implantações grandes podem ter restrições de cota de assinatura para recursos de conectividade. Você pode criar assinaturas dedicadas em cada região para seus recursos de conectividade.
Identidade Este grupo de gestão contém uma subscrição dedicada para identidade. Esta subscrição é um marcador de posição para máquinas virtuais (VMs) dos Serviços de Domínio Ative Directory (AD DS) ou Serviços de Domínio Microsoft Entra. Você pode usar vários grupos de recursos para conter recursos, como redes virtuais e VMs, que são implantados em regiões diferentes.

A assinatura também permite AuthN ou AuthZ para cargas de trabalho dentro das zonas de pouso. Atribua políticas específicas do Azure para proteger e gerenciar os recursos na assinatura de identidade. Algumas implantações grandes podem ter restrições de cota de assinatura para recursos de conectividade. Você pode criar assinaturas dedicadas em cada região para seus recursos de conectividade.
Zonas de desembarque O grupo de gerenciamento pai que contém todos os grupos de gerenciamento filho da zona de aterrissagem. Ele tem políticas do Azure agnósticas de carga de trabalho atribuídas para garantir que as cargas de trabalho sejam seguras e compatíveis.
Online O grupo de gestão dedicado às zonas de aterragem online. Esse grupo é para cargas de trabalho que podem exigir conectividade direta de entrada ou saída da Internet ou para cargas de trabalho que podem não exigir uma rede virtual.
Corp O grupo de gestão dedicado às zonas de desembarque corporativo. Esse grupo é para cargas de trabalho que exigem conectividade ou conectividade híbrida com a rede corporativa por meio do hub na assinatura de conectividade.
Caixas de areia O grupo de gerenciamento dedicado para assinaturas. Uma organização usa sandboxes para testes e exploração. Essas assinaturas são isoladas com segurança das zonas de destino corporativas e online. As sandboxes também têm um conjunto menos restritivo de políticas atribuídas para permitir o teste, a exploração e a configuração dos serviços do Azure.
Descomissionado O grupo de gestão dedicado às zonas de desembarque canceladas. Você move zonas de aterrissagem canceladas para esse grupo de gerenciamento e, em seguida, o Azure as exclui após 30 a 60 dias.

Nota

Para muitas organizações, os grupos padrão Corp e Online de gerenciamento fornecem um ponto de partida ideal. Algumas organizações precisam adicionar mais grupos de gerenciamento.

Se você quiser alterar a hierarquia do grupo de gerenciamento, consulte Adaptar a arquitetura da zona de aterrissagem do Azure para atender aos requisitos.

Permissões para o acelerador de zona de aterrissagem do Azure

O acelerador de zona de aterrissagem do Azure:

  • Requer um SPN (nome da entidade de serviço) dedicado para executar operações de grupo de gerenciamento, operações de gerenciamento de assinatura e atribuições de função. Use um SPN para reduzir o número de usuários com direitos elevados e seguir as diretrizes de privilégios mínimos.

  • Requer a função de Administrador de Acesso de Usuário no escopo do grupo de gerenciamento raiz para conceder acesso ao SPN no nível raiz. Depois que o SPN tiver permissões, você poderá remover com segurança a função de Administrador de Acesso de Usuário. Essa abordagem garante que apenas o SPN esteja conectado à função de Administrador de Acesso de Usuário.

  • Requer a função de Colaborador para o SPN mencionado anteriormente no escopo do grupo de gerenciamento raiz, que permite operações no nível do locatário. Esse nível de permissão garante que você possa usar o SPN para implantar e gerenciar recursos para qualquer assinatura em sua organização.

Próximo passo

Saiba como usar assinaturas ao planejar uma adoção em grande escala do Azure.