Vytvoření segmentace pomocí skupin pro správu

Skupiny pro správu mohou spravovat prostředky v různých předplatných konzistentně a efektivně. Vzhledem ke své flexibilitě se ale váš návrh může stát složitým a ohroženým zabezpečením a provozem.

Podpora strategie segmentace pomocí skupin pro správu

Strukturování skupin pro správu do jednoduchého návrhu, který řídí model segmentace podniku.

Skupiny pro správu nabízejí možnost konzistentně a efektivně spravovat prostředky (včetně několika předplatných podle potřeby). Vzhledem k jejich flexibilitě je však možné vytvořit příliš složitý návrh. Složitost vytváří nejasnosti a negativně ovlivňuje operace i zabezpečení (jak znázorňují příliš složité návrhy organizačních jednotek (OU) a Zásady skupiny Object (GPO) pro Active Directory).

Microsoft doporučuje zarovnat nejvyšší úroveň skupin pro správu do jednoduché strategie segmentace podniku a omezit tyto úrovně na ne více než dvě.

V referenčním příkladuexistují prostředky na podnikové úrovni používané všemi segmenty, sada základních služeb, které sdílejí služby, další segmenty pro jednotlivé úlohy.

• Kořenová skupina pro správu pro prostředky na podnikové úrovni.

  Kořenovou skupinu pro správu použijte k zahrnutí identit, které mají požadavek na použití zásad napříč všemi prostředky. Příkladem jsou zákonné požadavky, například omezení související s suverenitu dat. Tato skupina je efektivní v použití zásad, oprávnění, značek ve všech předplatných.

  Upozornění

  Při používání kořenové skupiny pro správu buďte opatrní, protože zásady mohou ovlivnit všechny prostředky v Azure a potenciálně způsobit výpadky nebo jiné negativní dopady. Důležité informace najdete v části Použití kořenové skupiny pro správu s opatrností dále v tomto článku.

  Úplné pokyny k používání skupin pro správu pro podnik najdete v tématu CAF: Skupina pro správu a organizace předplatného.

• Skupina pro správu pro jednotlivé segmenty úloh.

  Použijte samostatnou skupinu pro správu pro týmy s omezeným rozsahem zodpovědnosti. Tato skupina se obvykle vyžaduje kvůli hranicím organizace nebo zákonným požadavkům.

• Kořenová skupina nebo skupina pro správu segmentů pro základní sadu služeb.

Používejte kořenovou skupinu pro správu s opatrností.

Pro zajištění konzistence podniku použijte kořenovou skupinu pro správu (MG), ale pečlivě otestujte změny, abyste minimalizovali riziko narušení provozu.

Kořenová skupina pro správu umožňuje zajistit konzistenci v rámci celého podniku použitím zásad, oprávnění a značek ve všech předplatných. Při plánování a implementaci přiřazení ke kořenové skupině pro správu je třeba zajistit opatrnost, protože to může mít vliv na všechny prostředky v Azure a potenciálně to může způsobit výpadky nebo jiné negativní dopady na produktivitu v případě chyb nebo neočekávaných dopadů.

• Pečlivě naplánovat – Vyberte pro kořenovou skupinu pro správu prvky pro celou organizaci, které mají jasný požadavek, aby se použily napříč všemi prostředky nebo s nízkým dopadem.

  Vyberte identity v rámci celého podniku, které mají jasný požadavek, aby se použily na všechny prostředky. Mezi vhodné kandidáty patří:

  • Zákonné požadavky s jasným obchodním rizikem a dopadem. Příkladem jsou omezení související se suverenitu dat.

  • Potenciální negativní dopad na nulu Příkladem jsou zásady s efektem auditu, přiřazení značek nebo přiřazení oprávnění Azure RBAC, která byla pečlivě prověřována.

  Pomocí vyhrazeného hlavního názvu služby (SPN) proveďte operace správy skupiny pro správu, operace správy předplatného a přiřazení rolí. SPN snižuje počet uživatelů, kteří mají zvýšená práva, a dodržuje pokyny pro nejméně oprávnění. Přiřaďte správce uživatelských přístupů v oboru kořenové skupiny pro správu (/), aby se hlavní název služby (SPN) právě zmínil na kořenové úrovni. Po udělit oprávnění hlavní název služby (SPN) je možné roli Správce uživatelských přístupů bezpečně odebrat. Tímto způsobem je součástí role Správce uživatelských přístupů pouze hlavní název služby (SPN). Přiřaďte k názvu služby (SPN) oprávnění Přispěvatel, což umožňuje operace na úrovni tenanta. Tato úroveň oprávnění zajišťuje, že se hlavní název služby (SPN) dá použít k nasazení a správě prostředků u všech předplatných ve vaší organizaci.

  Omezte počet přiřazení Azure Policy v oboru kořenové skupiny pro správu (/). Toto omezení minimalizuje ladění zděděných zásad ve skupinách pro správu nižší úrovně.

  Nevytvářejte žádná předplatná v kořenové skupině pro správu. Tato hierarchie zajišťuje, že předplatná nezdědí jenom malou sadu zásad Azure přiřazenou ve skupině pro správu na kořenové úrovni, která nepředstavuje úplnou sadu potřebnou pro úlohu.

• Test First – Před použitím (zásad, značek, modelu Azure RBAC atd.) naplánujte, otestujte a ověřte všechny změny kořenové skupiny pro správu v celém podniku.

  • Testovací prostředí – Reprezentativní tenant testovacího prostředí nebo segment testovacího prostředí v produkčním tenantovi.

  • Produkční pilotní projekt – Může to být skupina pro správu segmentů nebo určená podmnožina ve skupině pro správu předplatných.

• Ověřit změny – aby se zajistilo, že mají požadovaný účinek.

Další kroky