Správa předplatných Azure ve velkém měřítku pomocí skupin pro správu

Pokud má vaše organizace mnoho předplatných, můžete potřebovat způsob, jak efektivně u těchto předplatných spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu Azure poskytují úroveň oboru nad předplatnými. Předplatná uspořádáte do kontejnerů označovaných jako skupiny pro správu a na tyto skupiny pro správu použijete své zásady správného řízení. Všechna předplatná v rámci skupiny pro správu automaticky dědí podmínky, které se na příslušnou skupinu pro správu vztahují.

Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaké typy předplatného případně máte. Další informace oskupinách

Poznámka:

Tento článek obsahuje postup odstranění osobních údajů ze zařízení nebo služby a dá se použít k podpoře vašich povinností v rámci GDPR. Obecné informace o GDPR naleznete v části GDPR Centra zabezpečení společnosti Microsoft a části GDPR Service Trust Portal.

Důležité

Uživatelské tokeny Azure Resource Manageru a mezipaměť skupin pro správu trvají 30 minut před vynucenou aktualizací. Po provedení jakékoli akce, jako je přesunutí skupiny pro správu nebo předplatného, může trvat až 30 minut, než se zobrazí. Pokud chcete aktualizace zobrazit dříve, budete muset token aktualizovat tak, že aktualizujete prohlížeč, přihlásíte se a odhlásíte nebo požádáte o nový token.

Důležité

Rutiny AzManagementGroup související s Az PowerShellem zmíní, že parametr -GroupId je alias parametru -GroupName , abychom mohli k poskytnutí ID skupiny pro správu použít jako řetězcovou hodnotu.

Změna názvu skupiny pro správu

Název skupiny pro správu můžete změnit pomocí portálu, PowerShellu nebo Azure CLI.

Změna názvu na portálu

1. Přihlaste se k webu Azure Portal.

2. Vyberte Všechny skupiny pro správu služeb>.

3. Vyberte skupinu pro správu, kterou chcete přejmenovat.

4. Vyberte podrobnosti.

5. V horní části stránky vyberte možnost Přejmenovat skupinu.

   

6. Po otevření nabídky zadejte nový název, který chcete zobrazit.

   

7. Zvolte Uložit.

Změna názvu v PowerShellu

K aktualizaci zobrazovaného názvu použijte rutinu Update-AzManagementGroup. Pokud například chcete změnit zobrazovaný název skupin pro správu z "Contoso IT" na "Skupina Contoso", spusťte následující příkaz:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Změna názvu v Azure CLI

Pro Azure CLI použijte příkaz update.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Odstranění skupiny pro správu

K odstranění skupiny pro správu je potřeba splnit následující požadavky:

1. Ve skupině pro správu nejsou žádné podřízené skupiny pro správu ani předplatná. Pokud chcete přesunout předplatné nebo skupinu pro správu do jiné skupiny pro správu, přečtěte si téma Přesun skupin pro správu a předplatných v hierarchii.

2. Potřebujete oprávnění k zápisu do skupiny pro správu (Vlastník, Přispěvatel nebo Přispěvatel skupiny pro správu). Pokud chcete zjistit, jaká oprávnění máte, vyberte skupinu pro správu a pak vyberte IAM. Další informace o rolích Azure najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC).

Odstranění na portálu

1. Přihlaste se k webu Azure Portal.

2. Vyberte Všechny skupiny pro správu služeb>.

3. Vyberte skupinu pro správu, kterou chcete odstranit.

4. Vyberte podrobnosti.

5. Vyberte Odstranit.

   

   Tip

   Pokud je ikona zakázaná, najeďte myší na ikonu a zobrazí se důvod.

6. Otevře se okno s potvrzením, že chcete odstranit skupinu pro správu.

   

7. Vyberte Ano.

Odstranění v PowerShellu

K odstranění skupin pro správu použijte příkaz Remove-AzManagementGroup v PowerShellu.

Remove-AzManagementGroup -GroupId 'Contoso'

Odstranění v Azure CLI

V Azure CLI použijte příkaz az account management-group delete.

az account management-group delete --name 'Contoso'

Zobrazení skupin pro správu

Můžete zobrazit libovolnou skupinu pro správu, ve které máte přímou nebo zděděnou roli Azure.

Zobrazení na portálu

1. Přihlaste se k webu Azure Portal.

2. Vyberte Všechny skupiny pro správu služeb>.

3. Načte se stránka hierarchie skupin pro správu. Na této stránce můžete prozkoumat všechny skupiny pro správu a předplatná, ke kterým máte přístup. Když vyberete název skupiny, přejdete v hierarchii na nižší úroveň. Navigace funguje stejně jako průzkumník souborů.

4. Pokud chcete zobrazit podrobnosti skupiny pro správu, vyberte odkaz (podrobnosti) vedle názvu skupiny pro správu. Pokud tento odkaz není dostupný, nemáte oprávnění k zobrazení této skupiny pro správu.

   

Zobrazení v PowerShellu

K načtení všech skupin použijete příkaz Get-AzManagementGroup. Úplný seznam příkazů GET PowerShellu pro skupinu pro správu najdete v modulech Az.Resources .

Get-AzManagementGroup

Pro informace o jedné skupině pro správu použijte parametr -GroupId.

Get-AzManagementGroup -GroupId 'Contoso'

Pokud chcete vrátit konkrétní skupinu pro správu a všechny úrovně hierarchie, použijte parametry -Expand a -Recurse .

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Zobrazení v Azure CLI

Pomocí příkazu list můžete načíst všechny skupiny.

az account management-group list

Pro informace o jedné skupině pro správu použijte příkaz show.

az account management-group show --name 'Contoso'

Pokud chcete vrátit konkrétní skupinu pro správu a všechny úrovně hierarchie, použijte parametry -Expand a -Recurse .

az account management-group show --name 'Contoso' -e -r

Přesun skupin pro správu a předplatných

Jedním z důvodů, proč vytvořit skupinu pro správu, je seskupit předplatná dohromady. Pouze skupiny pro správu a předplatná můžou být podřízené jiné skupině pro správu. Předplatné, které se přesune do skupiny pro správu, dědí veškerý uživatelský přístup a zásady z nadřazené skupiny pro správu. Předplatná můžete přesouvat mezi skupinami pro správu. Mějte na paměti, že předplatné může mít jenom jednu nadřazenou skupinu pro správu.

Při přesunu skupiny pro správu nebo předplatného na podřízenou jinou skupinu pro správu je potřeba vyhodnotit tři pravidla jako true.

Pokud provádíte akci přesunutí, potřebujete oprávnění v každé z následujících vrstev:

• Podřízené předplatné / skupina pro správu
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (pouze pro předplatná)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Cílová nadřazená skupina pro správu
  • Microsoft.management/managementgroups/write
• Aktuální nadřazená skupina pro správu
  • Microsoft.management/managementgroups/write

Výjimka: Pokud je cílem nebo existující nadřazenou skupinou pro správu kořenová skupina pro správu, požadavky na oprávnění se nevztahují. Vzhledem k tomu, že kořenová skupina pro správu je výchozím cílovým místem pro všechny nové skupiny pro správu a předplatná, nepotřebujete k přesunu položky oprávnění.

Pokud je role Vlastník v předplatném zděděna z aktuální skupiny pro správu, vaše cíle přesunu jsou omezené. Předplatné můžete přesunout jenom do jiné skupiny pro správu, kde máte roli Vlastník. Předplatné nemůžete přesunout do skupiny pro správu, kde jste jen přispěvatelem, protože byste ztratili vlastnictví předplatného. Pokud jste pro předplatné přímo přiřazeni k roli Vlastník, můžete ji přesunout do libovolné skupiny pro správu, ve které jste přispěvatelem.

Pokud chcete zjistit, jaká oprávnění máte na webu Azure Portal, vyberte skupinu pro správu a pak vyberte IAM. Další informace o rolích Azure najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC).

Přesun předplatných

Přidání existujícího předplatného do skupiny pro správu na portálu

1. Přihlaste se k webu Azure Portal.

2. Vyberte Všechny skupiny pro správu služeb>.

3. Vyberte skupinu pro správu, kterou plánujete mít jako nadřazenou.

4. V horní části stránky vyberte Přidat předplatné.

5. V seznamu vyberte předplatné se správným ID.

   

6. Vyberte Uložit.

Odebrání předplatného ze skupiny pro správu na portálu

1. Přihlaste se k webu Azure Portal.

2. Vyberte Všechny skupiny pro správu služeb>.

3. Vyberte skupinu pro správu, kterou plánujete, je aktuální nadřazená položka.

4. V seznamu, který chcete přesunout, vyberte tři tečky na konci řádku předplatného.

   

5. Vyberte Přesunout.

6. V nabídce, která se otevře, vyberte nadřazenou skupinu pro správu.

   

7. Zvolte Uložit.

Přesun předplatných v PowerShellu

Pokud chcete přesunout předplatné v PowerShellu, použijte příkaz New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Pokud chcete odebrat propojení mezi předplatným a skupinou pro správu, použijte příkaz Remove-AzManagementGroupSubscription.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Přesun předplatných v Azure CLI

Pokud chcete přesunout předplatné v rozhraní příkazového řádku, použijte příkaz add.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Pokud chcete předplatné ze skupiny pro správu odebrat, použijte příkaz pro odebrání předplatného.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Přesun předplatných v šabloně ARM

Pokud chcete přesunout předplatné v šabloně Azure Resource Manageru (šablona ARM), použijte následující šablonu a nasaďte ji na úrovni tenanta.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Nebo následující soubor Bicep.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Přesun skupin pro správu

Přesun skupin pro správu na portálu

1. Přihlaste se k webu Azure Portal.

2. Vyberte Všechny skupiny pro správu služeb>.

3. Vyberte skupinu pro správu, kterou plánujete mít jako nadřazenou.

4. V horní části stránky vyberte Přidat skupinu pro správu.

5. V nabídce, která se otevře, vyberte, jestli chcete novou, nebo použijte existující skupinu pro správu.

   • Když vyberete nové, vytvoří se nová skupina pro správu.
   • Když vyberete existující, zobrazí se rozevírací seznam všech skupin pro správu, které můžete přesunout do této skupiny pro správu.

   

6. Zvolte Uložit.

Přesun skupin pro správu v PowerShellu

Pomocí příkazu Update-AzManagementGroup v PowerShellu přesuňte skupinu pro správu do jiné skupiny.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Přesun skupin pro správu v Azure CLI

Pomocí příkazu update přesuňte skupinu pro správu pomocí Azure CLI.

az account management-group update --name 'Contoso' --parent ContosoIT

Audit skupin pro správu s využitím protokolů aktivit

Skupiny pro správu se podporují v rámci protokolu aktivit Azure. Můžete se dotazovat na všechny události, ke kterým dochází ve skupině pro správu ve stejném centrálním umístění jako jiné prostředky Azure. Pro konkrétní skupinu pro správu si můžete si zobrazit všechny změny přiřazení zásad nebo přiřazení rolí.

Pokud se chcete na skupiny pro správu dotazovat mimo Azure Portal, cílový obor pro skupiny pro správu vypadá takto: "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Odkazování na skupiny pro správu od jiných poskytovatelů prostředků

Při odkazování na skupiny pro správu z akcí jiných poskytovatelů prostředků použijte jako obor následující cestu. Tato cesta se používá při použití PowerShellu, Azure CLI a rozhraní REST API.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Příkladem použití této cesty je přiřazení nové role ke skupině pro správu v PowerShellu:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Stejná cesta oboru se používá při načítání definice zásady ve skupině pro správu.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Další kroky

Další informace o řešeních pro správu najdete v následujících tématech:

• Vytváření skupin pro správu pro organizaci prostředků Azure
• Jak měnit, odstraňovat nebo spravovat skupiny pro správu
• Kontrola skupin pro správu v modulu Prostředky Azure PowerShellu
• Kontrola skupin pro správu v rozhraní REST API
• Kontrola skupin pro správu v Azure CLI