إدارة مواردك باستخدام مجموعات الإدارة

  • مقالة
  • قراءة خلال 8 دقائق

إذا كان لدى مؤسستك العديد من الاشتراكات، فقد تحتاج إلى طريقة لإدارة الوصول والسياسات والامتثال لهذه الاشتراكات بكفاءة. توفر مجموعات إدارة Azure مستوى نطاق أعلى من الاشتراكات. تنظم الاشتراكات في حاويات باسم "مجموعات الإدارة" وتطبق شروط الحوكمة على مجموعات الإدارة. ترث جميع الاشتراكات داخل مجموعة الإدارة الشروط المطبقة على مجموعة الإدارة تلقائياً.

تمنحك مجموعات الإدارة إدارة على مستوى المؤسسة على نطاق واسع بغض النظر عن نوع الاشتراكات التي قد تحصل عليها. لمعرفة المزيد حول مجموعات الإدارة، راجع تنظيم مواردك باستخدام مجموعات إدارة Azure.

ملاحظة

توفر هذه المقالة خطوات حول كيفية حذف بيانات التعريف من الجهاز أو الخدمة ويمكن استخدامها لدعم التزاماتك بموجب القانون العام لحماية البيانات (GDPR). للحصول على معلومات عامة حول GDPR، راجع قسم GDPR من مركز ثقة Microsoftوقسم GDPR من بوابة خدمة الثقة.

هام

تستمر الرموز المميزة للمستخدم Resource Manager Azure وذاكرة التخزين المؤقت لمجموعة الإدارة لمدة 30 دقيقة قبل أن تضطر إلى التحديث. بعد اتخاذ أي إجراء مثل نقل مجموعة إدارة أو اشتراك، قد يستغرق العرض ما يصل إلى 30 دقيقة. للاطلاع على التحديثات في وقت أقرب ، تحتاج إلى تحديث الرمز المميز الخاص بك عن طريق تحديث المتصفح أو تسجيل الدخول والخروج أو طلب رمز مميز جديد.

هام

يذكر AzManagementGroup ذو الصلة Az PowerShell cmdlets أن - GroupId هو اسم مستعار للمعلمة -GroupName حتى نتمكن من استخدام أي منهما لتوفير معرف مجموعة الإدارة كقيمة سلسلة.

تغيير اسم مجموعة إدارة

يمكنك تغيير اسم مجموعة الإدارة باستخدام البوابة الإلكترونية أو PowerShell أو Azure CLI.

تغيير الاسم في البوابة الإلكترونية

  1. سجّل الدخول إلى مدخل Microsoft Azure.

  2. حدد كافة الخدماتمجموعات>الإدارة.

  3. حدد مجموعة الإدارة التي تريد إعادة تسميتها.

  4. حدد التفاصيل.

  5. حدد خيار إعادة تسمية المجموعة في أعلى الصفحة.

    Screenshot of the action bar and the 'Rename Group' button on the management group page.

  6. عند فتح القائمة، أدخل الاسم الجديد الذي ترغب في عرضه.

    Screenshot of the Rename Group window and options to rename a management group.

  7. حدد ⁧⁩حفظ⁧⁩.

تغيير الاسم في PowerShell

لتحديث اسم العرض استخدم Update-AzManagementGroup. على سبيل المثال، لتغيير اسم عرض مجموعات إدارة من "Contoso IT" إلى "مجموعة Contoso"، يمكنك تشغيل الأمر التالي:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

تغيير الاسم في Azure CLI

بالنسبة إلى Azure CLI، استخدم الأمر تحديث.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

حذف مجموعة إدارة

لحذف مجموعة إدارة، يجب استيفاء المتطلبات التالية:

  1. لا توجد مجموعات إدارة فرعية أو اشتراكات ضمن مجموعة الإدارة. لنقل اشتراك أو مجموعة إدارة إلى مجموعة إدارة أخرى، راجع نقل مجموعات الإدارة والاشتراكات في التدرج الهرمي.

  2. تحتاج إلى أذونات كتابة في مجموعة الإدارة ("المالك" أو "المساهم" أو "المساهم في مجموعة الإدارة"). لمعرفة الأذونات المتوفرة لديك، حدد مجموعة الإدارة ثم حدد IAM. لمعرفة المزيد حول أدوار Azure، راجع التحكم في الوصول المستند إلى دور Azure (Azure RBAC).

حذف في البوابة الإلكترونية

  1. سجّل الدخول إلى مدخل Microsoft Azure.

  2. حدد كافة الخدماتمجموعات>الإدارة.

  3. حدد مجموعة الإدارة التي تريد حذفها.

  4. حدد التفاصيل.

  5. حدد ⁧⁩حذف⁧

    Screenshot of the Management group page with the 'Delete' button highlighted.

    تلميح

    إذا تم تعطيل الرمز، فإن تمرير مؤشر الماوس فوق الرمز يوضح لك السبب.

  6. هناك نافذة تفتح تؤكد رغبتك في حذف مجموعة الإدارة.

    Screenshot of the 'Delete group' confirmation dialog for deleting a management group.

  7. حدد Yes.

حذف في PowerShell

استخدم الأمر إزالة-AzManagementGroup داخل PowerShell لحذف مجموعات الإدارة.

Remove-AzManagementGroup -GroupId 'Contoso'

Delete in Azure CLI

باستخدام Azure CLI، استخدم الأمر az account-management-group delete.

az account management-group delete --name 'Contoso'

عرض مجموعات الإدارة

يمكنك عرض أي مجموعة إدارة لديك دور Azure مباشر أو موروث فيها.

عرض في البوابة الإلكترونية

  1. سجّل الدخول إلى مدخل Microsoft Azure.

  2. حدد كافة الخدماتمجموعات>الإدارة.

  3. سيتم تحميل صفحة التدرج الهرمي لمجموعة الإدارة. هذه الصفحة هي المكان الذي يمكنك فيه استكشاف جميع مجموعات الإدارة والاشتراكات التي يمكنك الوصول إليها. يؤدي تحديد اسم المجموعة إلى نقلك إلى مستوى أدنى في التدرج الهرمي. يعمل التنقل بنفس الطريقة التي يعمل بها مستكشف الملفات.

  4. للاطلاع على تفاصيل مجموعة الإدارة، حدد الارتباط (التفاصيل) بجوار عنوان مجموعة الإدارة. إذا لم يكن هذا الرابط متاحا، فلن يكون لديك أذونات لعرض مجموعة الإدارة هذه.

    Screenshot of the Management groups page showing child management groups and subscriptions.

عرض في باور شيل

يمكنك استخدام الأمر Get-AzManagementGroup لاسترداد كافة المجموعات. راجع وحدات Az.Resources النمطية للحصول على القائمة الكاملة لأوامر مجموعة الإدارة GET PowerShell.

Get-AzManagementGroup

للحصول على معلومات حول مجموعة إدارة واحدة، استخدم المعلمة -GroupId

Get-AzManagementGroup -GroupId 'Contoso'

لإرجاع مجموعة إدارة معينة وجميع مستويات التدرج الهرمي تحتها، استخدم المعلمات -Expand و-Recurse.

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

View in Azure CLI

يمكنك استخدام الأمر "قائمة" لاسترداد كافة المجموعات.

az account management-group list

للحصول على معلومات حول مجموعة إدارة واحدة، استخدم الأمر إظهار

az account management-group show --name 'Contoso'

لإرجاع مجموعة إدارة معينة وجميع مستويات التدرج الهرمي تحتها، استخدم المعلمات -Expand و-Recurse.

az account management-group show --name 'Contoso' -e -r

نقل مجموعات الإدارة والاشتراكات

أحد أسباب إنشاء مجموعة إدارة هو تجميع الاشتراكات معا. يمكن فقط جعل مجموعات الإدارة والاشتراكات تابعة لمجموعة إدارة أخرى. يرث الاشتراك الذي ينتقل إلى مجموعة إدارة كل وصول المستخدم وسياساته من مجموعة الإدارة الرئيسية

عند نقل مجموعة إدارة أو اشتراك ليكون تابعا لمجموعة إدارة أخرى، يجب تقييم ثلاث قواعد على أنها صحيحة.

إذا كنت تقوم بإجراء النقل، فأنت بحاجة إلى إذن في كل طبقة من الطبقات التالية:

  • اشتراك الأطفال / مجموعة الإدارة
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscription/write (فقط للاشتراكات)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • مجموعة إدارة الوالدين المستهدفة
    • Microsoft.management/managementgroups/write
  • مجموعة الإدارة الرئيسية الحالية
    • Microsoft.management/managementgroups/write

⁩الاستثناء⁧⁩: إذا كان الهدف أو مجموعة الإدارة الأم الموجودة هي مجموعة إدارة الجذر، فلا تنطبق متطلبات الأذونات. نظرًا إلى أن مجموعة إدارة الجذر هي نقطة الهبوط الافتراضية لجميع مجموعات الإدارة والاشتراكات الجديدة، فلا تحتاج إلى أذونات لنقل أي عنصر.

إذا كان دور المالك على الاشتراك منقولاً من مجموعة الإدارة الحالية، فستُحدد أهداف النقل. يمكنك نقل الاشتراك إلى مجموعة إدارة أخرى فقط حيث يكون تتمتع بدور المالك. لا يمكنك نقل الاشتراك إلى مجموعة إدارة تكون فيها مساهما فقط لأنك ستفقد ملكية الاشتراك. إذا تم تعيينك مباشرة إلى دور المالك للاشتراك، يمكنك نقله إلى أي مجموعة إدارة تكون مساهما فيها.

لمعرفة الأذونات المتوفرة لديك في مدخل Azure، حدد مجموعة الإدارة ثم حدد IAM. لمعرفة المزيد حول أدوار Azure، راجع التحكم في الوصول المستند إلى دور Azure (Azure RBAC).

نقل الاشتراكات

إضافة اشتراك موجود إلى مجموعة إدارة في البوابة الإلكترونية

  1. سجّل الدخول إلى مدخل Microsoft Azure.

  2. حدد كافة الخدماتمجموعات>الإدارة.

  3. حدد مجموعة الإدارة التي تخطط لتكون الوالد.

  4. في أعلى الصفحة، حدد إضافة اشتراك.

  5. حدد الاشتراك في القائمة باستخدام المعرف الصحيح.

    Screenshot of the 'Add subscription' options for selecting an existing subscription to add to a management group.

  6. حدد "حفظ".

إزالة اشتراك من مجموعة إدارة في البوابة الإلكترونية

  1. سجّل الدخول إلى مدخل Microsoft Azure.

  2. حدد كافة الخدماتمجموعات>الإدارة.

  3. حدد مجموعة الإدارة التي تخطط لها والتي هي المجموعة الأم الحالية.

  4. حدد علامة الحذف في نهاية الصف للاشتراك في القائمة التي تريد نقلها.

    Screenshot of the alternative menu for a subscription to select the 'Move' option.

  5. حدد Move.

  6. في القائمة التي تفتح، حدد مجموعة إدارة الوالدين.

    Screenshot of the 'Move' window and options for moving a subscription to a different management group.

  7. حدد ⁧⁩حفظ⁧⁩.

نقل الاشتراكات في PowerShell

لنقل اشتراك في PowerShell، يمكنك استخدام الأمر New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

لإزالة الارتباط بين مجموعة الإدارة والاشتراك فيها، استخدم الأمر Remove-AzManagementGroupSubscription.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

نقل الاشتراكات في Azure CLI

لنقل اشتراك في CLI، يمكنك استخدام الأمر إضافة.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

لإزالة الاشتراك من مجموعة الإدارة، استخدم الأمر إزالة الاشتراك.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

نقل الاشتراكات في قالب ARM

لنقل اشتراك في قالب Azure Resource Manager (قالب ARM)، استخدم القالب التالي وانشره على مستوى المستأجر.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

أو ملف Bicep التالي.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

نقل مجموعات الإدارة

نقل مجموعات الإدارة في البوابة الإلكترونية

  1. سجّل الدخول إلى مدخل Microsoft Azure.

  2. حدد كافة الخدماتمجموعات>الإدارة.

  3. حدد مجموعة الإدارة التي تخطط لتكون الوالد.

  4. في أعلى الصفحة، حدد إضافة مجموعة إدارة.

  5. في القائمة التي تفتح، حدد ما إذا كنت تريد مجموعة إدارة جديدة أو تستخدم مجموعة إدارة حالية.

    • سيؤدي تحديد جديد إلى إنشاء مجموعة إدارة جديدة.
    • سيؤدي تحديد موجود إلى تزويدك بقائمة منسدلة بجميع مجموعات الإدارة التي يمكنك نقلها إلى مجموعة الإدارة هذه.

    Screenshot of the 'Add management group' options for creating a new management group.

  6. حدد ⁧⁩حفظ⁧⁩.

نقل مجموعات الإدارة في PowerShell

استخدم الأمر Update-AzManagementGroup في PowerShell لنقل مجموعة إدارة ضمن مجموعة مختلفة.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

نقل مجموعات الإدارة في Azure CLI

استخدم أمر التحديث لنقل مجموعة إدارة باستخدام Azure CLI.

az account management-group update --name 'Contoso' --parent ContosoIT

مجموعات إدارة التدقيق باستخدام سجلات الأنشطة

تُدعم مجموعات الإدارة داخل ⁧⁩سجل نشاط Azure⁧⁩. يمكنك الاستعلام عن جميع الأحداث التي تحدث لمجموعة إدارة في نفس الموقع المركزي مثل موارد Azure الأخرى. فعلى سبيل المثال، يمكنك مشاهدة تعيينات الأدوار أو تغييرات تعيين النهج التي تُجرى على أي مجموعة إدارة.

Screenshot of Activity Logs and operations related to the selected management group.

عند البحث عن الاستعلام عن مجموعات الإدارة خارج مدخل Azure، سيظهر النطاق المستهدف لمجموعات الإدارة كالتالي⁧⁩"/providers/Microsoft.Management/managementGroups/{yourMgID}".⁧

مجموعات إدارة المراجع من موفري الموارد الآخرين

عند الرجوع إلى مجموعات الإدارة من إجراءات موفر الموارد الأخرى، استخدم المسار التالي كنطاق. يتم استخدام هذا المسار عند استخدام واجهات برمجة تطبيقات PowerShell وAzure CLI وREST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

مثال على استخدام هذا المسار هو عند تعيين تعيين دور جديد لمجموعة إدارة في PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

يتم استخدام نفس مسار النطاق عند استرداد تعريف نهج في مجموعة إدارة.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

الخطوات التالية

لمعرفة المزيد حول مجموعات الإجراءات، راجع: