Ochrana hierarchie prostředků

Vaše prostředky, skupiny prostředků, předplatná, skupiny pro správu a tenant společně tvoří vaši hierarchii prostředků. Nastavení v kořenové skupině pro správu, jako jsou vlastní role Azure nebo přiřazení zásad Azure Policy, můžou mít vliv na každý prostředek v hierarchii prostředků. Je důležité chránit hierarchii prostředků před změnami, které by mohly negativně ovlivnit všechny prostředky.

Skupiny pro správu teď mají nastavení hierarchie, která správci tenanta umožňují řídit toto chování. Tento článek se zabývá jednotlivými dostupnými nastaveními hierarchie a jejich nastavením.

Oprávnění Azure RBAC pro nastavení hierarchie

Konfigurace libovolného nastavení hierarchie vyžaduje následující dvě operace poskytovatele prostředků v kořenové skupině pro správu:

• Microsoft.Management/managementgroups/settings/write
• Microsoft.Management/managementgroups/settings/read

Tyto operace umožňují uživateli pouze číst a aktualizovat nastavení hierarchie. Operace neposkytují žádný jiný přístup k hierarchii skupin pro správu ani k prostředkům v hierarchii. Obě tyto operace jsou k dispozici ve správci nastavení hierarchie předdefinované role Azure.

Nastavení – výchozí skupina pro správu

Ve výchozím nastavení se nové předplatné přidané v rámci tenanta přidá jako člen kořenové skupiny pro správu. Pokud jsou přiřazení zásad, řízení přístupu na základě role v Azure (Azure RBAC) a další konstruktory zásad správného řízení přiřazené kořenové skupině pro správu, okamžitě se tato nová předplatná projeví. Z tohoto důvodu mnoho organizací tyto konstruktory nepoužívá v kořenové skupině pro správu, i když je to požadované místo pro jejich přiřazení. V jiných případech je pro nová předplatná žádoucí přísnější sada ovládacích prvků, ale neměla by se přiřazovat ke všem předplatným. Toto nastavení podporuje oba případy použití.

Díky tomu, že je možné definovat výchozí skupinu pro správu pro nová předplatná, je možné v kořenové skupině pro správu použít konstruktor zásad správného řízení pro celou organizaci a definovat samostatnou skupinu pro správu s přiřazeními zásad nebo přiřazeními rolí Azure, které jsou vhodnější pro nové předplatné.

Nastavení výchozí skupiny pro správu na portálu

Chcete-li nakonfigurovat toto nastavení v Azure Portal, postupujte takto:

1. Pomocí vyhledávacího panelu vyhledejte a vyberte skupiny pro správu.

2. V kořenové skupině pro správu vyberte podrobnosti vedle názvu skupiny pro správu.

3. V části Nastavení vyberte Nastavení hierarchie.

4. Vyberte tlačítko Změnit výchozí skupinu pro správu .

   Poznámka

   Pokud je tlačítko Změnit výchozí skupinu pro správu zakázané, zobrazená skupina pro správu není kořenovou skupinou pro správu nebo váš objekt zabezpečení nemá potřebná oprávnění ke změně nastavení hierarchie.

5. V hierarchii vyberte skupinu pro správu a použijte tlačítko Vybrat .

Nastavení výchozí skupiny pro správu pomocí rozhraní REST API

Pokud chcete nakonfigurovat toto nastavení pomocí rozhraní REST API, volá se koncový bod Nastavení hierarchie . K tomu použijte následující identifikátor URI a základní formát rozhraní REST API. Nahraďte {rootMgID} id kořenové skupiny pro správu a {defaultGroupID} ID skupiny pro správu, abyste se stali výchozí skupinou pro správu:

• Identifikátor URI v REST API

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Text požadavku

  {
      "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
      }
  }
  

Pokud chcete nastavit výchozí skupinu pro správu zpět na kořenovou skupinu pro správu, použijte stejný koncový bod a nastavte defaultManagementGroup na hodnotu /providers/Microsoft.Management/managementGroups/{rootMgID}.

Nastavení – Vyžadovat autorizaci

Každý uživatel může ve výchozím nastavení vytvářet nové skupiny pro správu v rámci tenanta. Správci tenanta mohou chtít tato oprávnění poskytnout pouze konkrétním uživatelům, aby byla zachována konzistence a shoda v hierarchii skupin pro správu. Pokud je tato možnost povolená, uživatel vyžaduje Microsoft.Management/managementGroups/write operaci v kořenové skupině pro správu k vytvoření nových podřízených skupin pro správu.

Nastavení vyžadování autorizace na portálu

Chcete-li nakonfigurovat toto nastavení v Azure Portal, postupujte takto:

1. Pomocí vyhledávacího panelu vyhledejte a vyberte skupiny pro správu.

2. V kořenové skupině pro správu vyberte podrobnosti vedle názvu skupiny pro správu.

3. V části Nastavení vyberte Nastavení hierarchie.

4. Přepněte možnost Vyžadovat oprávnění pro vytváření nových skupin pro správu na zapnuto.

   Poznámka

   Pokud je přepínač Vyžadovat oprávnění k vytváření nových skupin pro správu zakázaný, zobrazená skupina pro správu není kořenovou skupinou pro správu nebo váš objekt zabezpečení nemá potřebná oprávnění ke změně nastavení hierarchie.

Nastavení vyžadování autorizace pomocí rozhraní REST API

Pokud chcete nakonfigurovat toto nastavení pomocí rozhraní REST API, volá se koncový bod Nastavení hierarchie . K tomu použijte následující identifikátor URI a základní formát rozhraní REST API. Tato hodnota je logická, proto zadejte hodnotu true nebo false . Hodnota true umožňuje tuto metodu ochrany hierarchie skupin pro správu:

• Identifikátor URI v REST API

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Text požadavku

  {
      "properties": {
          "requireAuthorizationForGroupCreation": true
      }
  }
  

Pokud chcete nastavení znovu vypnout, použijte stejný koncový bod a nastavte requireAuthorizationForGroupCreation na hodnotu false.

Ukázka PowerShellu

PowerShell neobsahuje příkaz Az pro nastavení výchozí skupiny pro správu nebo nastavení vyžadující autorizaci, ale jako alternativní řešení můžete použít rozhraní REST API s ukázkou PowerShellu níže:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Další kroky

Další informace o řešeních pro správu najdete v následujících tématech:

• Vytváření skupin pro správu pro organizaci prostředků Azure
• Jak měnit, odstraňovat nebo spravovat skupiny pro správu