Co jsou skupiny pro správu Azure?

Článek
04/20/2023

Pokud má vaše organizace mnoho předplatných Azure, možná budete potřebovat způsob, jak u těchto předplatných efektivně spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu poskytují obor zásad správného řízení nad předplatnými. Předplatná uspořádáte do skupin pro správu. podmínky zásad správného řízení, které použijete kaskádovitě dědičností pro všechna přidružená předplatná.

Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaký typ předplatných máte. Všechna předplatná v rámci jedné skupiny pro správu ale musí důvěřovat stejnému tenantovi Azure Active Directory (Azure AD).

Zásady můžete například použít pro skupinu pro správu, která omezuje oblasti dostupné pro vytváření virtuálních počítačů (VM). Tato zásada se použije pro všechny vnořené skupiny pro správu, předplatná a prostředky a umožní vytváření virtuálních počítačů jenom v autorizovaných oblastech.

Hierarchie skupin pro správu a předplatných

Můžete vytvořit flexibilní strukturu skupin pro správu a předplatných a uspořádat tak prostředky do hierarchie umožňující využít jednotné zásady a správu přístupu. Následující diagram ukazuje příklad vytvoření hierarchie pro zásady správného řízení s využitím skupin pro správu.

Diagram ukázkové hierarchie skupin pro správu

Můžete vytvořit hierarchii, která použije zásadu, například která omezí umístění virtuálních počítačů na oblast USA – západ ve skupině pro správu s názvem Corp. Tato zásada zdědí všechna předplatná smlouva Enterprise (EA), která jsou potomky této skupiny pro správu, a bude se vztahovat na všechny virtuální počítače v rámci těchto předplatných. Tuto zásadu zabezpečení nemůže změnit vlastník prostředku ani předplatného, což umožňuje lepší zásady správného řízení.

Poznámka

Skupiny pro správu se v současné době nepodporují ve funkcích služby Cost Management pro předplatná Smlouva se zákazníkem Microsoftu (MCA).

Dalším scénářem, kde by se skupiny pro správu použily, je poskytnutí uživatelského přístupu k několika předplatným. Přesunutím několika předplatných v rámci této skupiny pro správu můžete pro skupinu pro správu vytvořit jedno přiřazení role Azure , které zdědí tento přístup ke všem předplatným. Jedno přiřazení ve skupině pro správu může uživatelům umožnit přístup ke všemu, co potřebují, namísto skriptování Azure RBAC pro různá předplatná.

Důležitá fakta týkající se skupin pro správu

Jeden adresář podporuje až 10 000 skupin pro správu.
Strom skupin pro správu může mít až šest úrovní vnoření.
- Toto omezení nezahrnuje kořenovou úroveň ani úroveň předplatného.
Každá skupina pro správu a předplatné může mít jenom jeden nadřazený prvek.
Každá skupina pro správu může mít mnoho podřízených položek.
Všechny skupiny pro správu a předplatná jsou v rámci adresáře v jedné hierarchii. Důležité informace o kořenových skupinách pro správu

Kořenová skupina pro správu pro jednotlivé adresáře

Každému adresáři je přidělena jedna skupina pro správu nejvyšší úrovně označovaná jako kořenová skupina pro správu. Kořenová skupina pro správu je integrovaná do hierarchie, aby se na ni složily všechny skupiny pro správu a předplatná. Tato kořenová skupina pro správu umožňuje použití globálních zásad a přiřazení rolí Azure na úrovni adresáře. Globální správce Azure AD musí sám sobě zvýšit oprávnění, aby v počátečním nastavení měl pro tuto kořenovou skupinu roli správce uživatelského přístupu. Po zvýšení oprávnění přístupu může správce přiřadit jakoukoli roli Azure jiným uživatelům nebo skupinám adresáře, aby mohli spravovat hierarchii. Jako správce můžete svůj účet přiřadit jako vlastníka kořenové skupiny pro správu.

Důležité informace o kořenové skupině pro správu

Ve výchozím nastavení je zobrazovaný název kořenové skupiny pro správu kořenová skupina tenanta a funguje jako skupina pro správu. ID je stejná hodnota jako ID tenanta Azure Active Directory (Azure AD).
Pokud chcete změnit zobrazovaný název, musí mít váš účet přiřazenou roli Vlastník nebo Přispěvatel v kořenové skupině pro správu. Informace o aktualizaci názvu skupiny pro správu najdete v tématu Změna názvu skupiny pro správu.
Kořenová skupina pro správu se na rozdíl od ostatních skupin pro správu nedá přesunout ani odstranit.
Všechna předplatná a skupiny pro správu se v adresáři skládají do jedné kořenové skupiny pro správu.
- Všechny prostředky v adresáři spadají do kořenové skupiny pro správu, která umožňuje globální správu.
- Nová předplatná při vytvoření ve výchozím nastavení automaticky spadají do kořenové skupiny pro správu.
Kořenovou složku pro správu sice vidí všichni zákazníci Azure, ale ne všichni mají přístup ke správě této skupiny.
- Každý, kdo má přístup k předplatnému, vidí kontext tohoto předplatného v rámci hierarchie.
- Ke kořenová skupina pro správu nikdo nemá výchozí přístup. Globální správci Azure AD jsou jedinými uživateli, kteří si sami sobě mohou zvýšit oprávnění a získat tak přístup. Jakmile budou mít přístup ke kořenové skupině pro správu, můžou globální správci přiřadit jakoukoli roli Azure jiným uživatelům, aby ji mohli spravovat.

Důležité

Jakékoli přiřazení uživatelského přístupu nebo zásad v kořenové skupině pro správu platí pro všechny prostředky v adresáři. Vzhledem k tomu by uživatelé měli vyhodnotit, jestli je potřeba mít prostředky definované v tomto rozsahu. Přiřazení uživatelského přístupu nebo zásad by v tomto rozsahu měla být jenom „povinná“.

Počáteční nastavení skupin pro správu

Když libovolný uživatel začne využívat skupiny pro správu, musí proběhnout úvodní proces nastavení. Prvním krokem je, že se v adresáři vytvoří kořenová skupina pro správu. Po vytvoření této skupiny se všechna existující předplatná, která v příslušném adresáři existují, nastaví jako podřízené prvky kořenové skupiny pro správu. Cílem tohoto procesu je zajistit, aby v rámci adresáře existovala jenom jedna hierarchie skupin pro správu. Jedna hierarchie v adresáři umožňuje zákazníkům využít globální přístup a zásady, které ostatní zákazníci v tomto adresáři nemohou obejít. Cokoli přiřazené v kořenovém adresáři bude platit pro celou hierarchii, která zahrnuje všechny skupiny pro správu, předplatná, skupiny prostředků a prostředky v rámci Azure AD tenanta.

Přístup ke skupinám pro správu

Skupiny pro správu Azure podporují řízení přístupu na základě role v Azure (Azure RBAC) pro všechny přístupy k prostředkům a definice rolí. Tato oprávnění se dědí do podřízených prostředků, které v hierarchii existují. Libovolnou roli Azure je možné přiřadit ke skupině pro správu, která zdědí hierarchii prostředkům. Ke skupině pro správu je možné například přiřadit přispěvatele virtuálních počítačů role Azure. Tato role nemá žádnou akci se skupinou pro správu, ale dědí se do všech virtuálních počítačů v této skupině pro správu.

Následující diagram ukazuje role a podporované akce pro skupiny pro správu.

Název role Azure	Vytvořit	přejmenování	Přesun**	Odstranit	Přiřazení přístupu	Přiřazení zásad	Read
Vlastník	×	×	×	×	×	×	×
Přispěvatel	×	×	×	×			×
Přispěvatel MG*	×	×	×	×			×
Čtenář							×
Čtenář MG*							×
Přispěvatel zásad prostředků						×
Správce uživatelských přístupů					×	×

*: Role Přispěvatel skupiny pro správu a Čtenář skupiny pro správu umožňují uživatelům provádět tyto akce pouze v oboru skupiny pro správu.

**: Přiřazení rolí v kořenové skupině pro správu se k přesunu předplatného nebo skupiny pro správu do a z ní nevyžadují.

Další informace o přesunu položek v rámci hierarchie najdete v tématu věnovaném správě prostředků s využitím skupin pro správu.

Definice a přiřazení vlastní role Azure

Skupinu pro správu můžete definovat jako přiřaditelný obor v definici vlastní role Azure. Vlastní role Azure pak bude k dispozici pro přiřazení k této skupině pro správu a jakékoli skupině pro správu, předplatnému, skupině prostředků nebo prostředku pod ní. Vlastní role zdědí hierarchii stejně jako všechny předdefinované role. Informace o omezeních vlastních rolí a skupin pro správu najdete v tématu Omezení.

Příklad definice

Definování a vytvoření vlastní role se zahrnutím skupin pro správu nezmění. Úplnou cestu použijte k definování skupiny pro správu /providers/Microsoft.Management/managementgroups/{groupId}.

Použijte ID skupiny pro správu, a ne zobrazovaný název skupiny pro správu. K této běžné chybě dochází, protože při vytváření skupiny pro správu jsou obě pole definovaná jako vlastní.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problémy s narušením cesty hierarchie definice role a přiřazení

Definice rolí jsou přiřaditelným oborem kdekoli v hierarchii skupin pro správu. Definici role je možné definovat v nadřazené skupině pro správu, zatímco skutečné přiřazení role existuje v podřízené předplatné. Vzhledem k tomu, že mezi těmito dvěma položkami existuje relace, zobrazí se při pokusu o oddělení přiřazení od jeho definice chyba.

Podívejme se například na malou část hierarchie vizuálu.

Diagram podmnožina ukázkové hierarchie skupin pro správu

Řekněme, že ve skupině pro správu sandboxu je definovaná vlastní role. Tato vlastní role se pak přiřadí ke dvěma předplatným sandboxu.

Pokud se pokusíme přesunout jedno z těchto předplatných tak, aby bylo podřízeným členem skupiny pro správu Corp, tento přesun by narušil cestu od přiřazení role předplatného k definici role skupiny pro správu sandboxu. V tomto scénáři se zobrazí chyba s oznámením, že přesun není povolený, protože dojde k narušení této relace.

Existuje několik různých možností, jak tento scénář vyřešit:

Před přesunem předplatného do nové nadřazené sady mg odeberte přiřazení role z předplatného.
Přidejte předplatné do přiřaditelného oboru definice role.
Změňte přiřaditelný obor v rámci definice role. Ve výše uvedeném příkladu můžete aktualizovat přiřaditelné obory z sandboxu na kořenovou skupinu pro správu, aby k definici mohly přistupovat obě větve hierarchie.
Vytvořte další vlastní roli, která je definovaná v jiné větvi. Tato nová role vyžaduje změnu přiřazení role také v předplatném.

Omezení

Při používání vlastních rolí ve skupinách pro správu existují omezení.

V přiřaditelných oborech nové role můžete definovat pouze jednu skupinu pro správu. Toto omezení je zavedeno, aby se snížil počet situací, kdy jsou definice rolí a přiřazení rolí odpojeny. K této situaci dochází, když se předplatné nebo skupina pro správu s přiřazením role přesune do jiného nadřazeného objektu, který nemá definici role.
Akce roviny dat poskytovatele prostředků není možné definovat ve vlastních rolích skupiny pro správu. Toto omezení platí, protože při aktualizaci poskytovatelů prostředků roviny dat dochází k problému s latencí. Na tomto problému s latencí se pracuje a tyto akce budou zakázány z definice role, aby se snížila všechna rizika.
Azure Resource Manager neověřuje existenci skupiny pro správu v přiřaditelném oboru definice role. Pokud je v seznamu uvedený překlep nebo nesprávné ID skupiny pro správu, definice role se stále vytvoří.

Přesun skupin pro správu a předplatných

Pokud chcete přesunout skupinu pro správu nebo předplatné na podřízenou položku jiné skupiny pro správu, je potřeba vyhodnotit tři pravidla jako pravdivá.

Pokud provádíte akci přesunu, potřebujete:

Oprávnění k zápisu do skupiny pro správu a přiřazení role v podřízené předplatné nebo skupině pro správu
- Příklad předdefinované role: Vlastník
Přístup pro zápis skupiny pro správu k cílové nadřazené skupině pro správu.
- Příklad předdefinované role: Vlastník, Přispěvatel, Přispěvatel skupiny pro správu
Přístup pro zápis skupiny pro správu k existující nadřazené skupině pro správu
- Příklad předdefinované role: Vlastník, Přispěvatel, Přispěvatel skupiny pro správu

Výjimka: Pokud je cílová nebo existující nadřazená skupina pro správu kořenovou skupinou pro správu, požadavky na oprávnění se nevztahují. Vzhledem k tomu, že kořenová skupina pro správu je výchozím cílovým místem pro všechny nové skupiny pro správu a předplatná, nepotřebujete k přesunutí položky oprávnění.

Pokud je role vlastníka předplatného zděděná z aktuální skupiny pro správu, vaše cíle přesunu jsou omezené. Předplatné můžete přesunout jenom do jiné skupiny pro správu, ve které máte roli vlastníka . Nemůžete ho přesunout do skupiny pro správu, ve které jste přispěvatelem , protože byste ztratili vlastnictví předplatného. Pokud máte přímo přiřazenou roli vlastníka předplatného (nezdědili jste ji ze skupiny pro správu), můžete ji přesunout do libovolné skupiny pro správu, ve které máte přiřazenou roli Přispěvatel .

Důležité

Azure Resource Manager ukládá podrobnosti hierarchie skupin pro správu do mezipaměti po dobu až 30 minut. V důsledku toho se přesun skupiny pro správu nemusí okamžitě projevit v Azure Portal.

Audit skupin pro správu s využitím protokolů aktivit

Skupiny pro správu se podporují v protokolu aktivit Azure. Můžete hledat všechny události, ke kterým dochází ve skupině pro správu ve stejném centrálním umístění jako ostatní prostředky Azure. Můžete například zobrazit všechna přiřazení rolí nebo změny přiřazení zásad provedené v konkrétní skupině pro správu.

Snímek obrazovky s protokoly aktivit a operacemi souvisejícími s vybranou skupinou pro správu

Při dotazování na skupiny pro správu mimo Azure Portal vypadá cílový obor pro skupiny pro správu takto: /providers/Microsoft.Management/managementGroups/{management-group-id}.