Verwaltungsgruppen
Verwaltungsgruppen sind ein Tool, mit dem Sie Ihre Cloudumgebungen im großen Stil zu Organisations- und Governancezwecken strukturieren können.
Die Überlegung, wie Verwaltungsgruppen im Umgebungsentwurf zum Einsatz kommen, ist ein wichtiger grundlegender Schritt. Die folgenden Anleitungen sollen Ihnen die Entscheidungsfindung zu Ihrer Cloudarchitektur erleichtern.
Hinweise zum Entwurf von Verwaltungsgruppen
Verwaltungsgruppenstrukturen innerhalb eines Microsoft Entra-Mandanten unterstützen die Organisationszuordnung. Führen Sie eine gründliche Prüfung der Struktur Ihrer Verwaltungsgruppe durch, wenn Ihre Organisation plant, Azure im großen Stil einzuführen.
Wie wird Ihre Organisation Dienste trennen, die bestimmten Teams gehören oder von ihnen betrieben werden?
Gibt es bestimmte Tätigkeiten, die aus geschäftlichen oder betrieblichen Compliancegründen getrennt bleiben müssen?
Mithilfe von Verwaltungsgruppen können Sie Richtlinien- und Initiativenzuweisungen über Azure Policy aggregieren.
Eine Verwaltungsgruppenstruktur kann bis zu sechs Ebenen unterstützen. Diese Einschränkung gilt nicht für die Mandantenstammebene oder die Abonnementebene.
Jeder Prinzipal innerhalb eines Microsoft Entra-Mandanten, egal ob Benutzer- oder Dienstprinzipal, kann neue Verwaltungsgruppen erstellen. Diese Berechtigung besteht, weil die Autorisierung der rollenbasierten Zugriffssteuerung von Azure standardmäßig nicht für Verwaltungsgruppenvorgänge aktiviert ist. Weitere Informationen finden Sie unter Schützen Ihrer Ressourcenhierarchie.
Alle neuen Abonnements werden standardmäßig unter der Stammverwaltungsgruppe des Mandanten platziert.
Ausführliche Informationen zu den Funktionen finden Sie unter Verwaltungsgruppen.
Empfehlungen für Verwaltungsgruppen
Halten Sie die Verwaltungsgruppenhierarchie relativ flach, idealerweise mit nicht mehr als drei bis vier Ebenen. Diese Einschränkung reduziert den Mehraufwand und die Komplexität der Verwaltung.
Vermeiden Sie das Duplizieren ihrer Organisationsstruktur in einer tief geschachtelten Verwaltungsgruppenhierarchie. Verwenden Sie Verwaltungsgruppen zur Richtlinienzuweisung und für die Abrechnung. Dieser Ansatz erfordert, dass Verwaltungsgruppen in der konzeptionellen Architektur der Azure-Zielzone für ihren beabsichtigten Zweck eingesetzt werden. Diese Architektur bietet Azure-Richtlinien für Workloads, die dieselbe Sicherheits- und Compliancestufe auf der gleichen Verwaltungsgruppenebene erfordern.
Erstellen Sie unter Ihrer Stammverwaltungsgruppe Verwaltungsgruppen für Ihre verschiedenen gehosteten Workloads. Diese Gruppen basieren auf den Sicherheits-, Compliance-, Konnektivitäts- und Featureanforderungen der Workloads. Mit dieser Gruppenstruktur können Sie Azure-Richtlinien auf Verwaltungsgruppenebene anwenden lassen. Diese Gruppenstruktur gilt für alle Workloads, die dieselben Sicherheits-, Compliance-, Konnektivitäts- und Featureeinstellungen erfordern.
Verwenden Sie Ressourcentags, um die Verwaltungsgruppenhierarchie abzufragen und horizontal darin zu navigieren. Ressourcentags können erzwungen oder über Azure Policy angefügt werden. Anschließend können Sie Ressourcen für die Suche gruppieren, ohne dass Sie eine komplexe Verwaltungsgruppenhierarchie verwenden müssen.
Erstellen Sie eine allgemeine Sandboxverwaltungsgruppe, damit Benutzer*innen Azure sofort ausprobieren können. Sie können dann mit Ressourcen experimentieren, die in Produktionsumgebungen möglicherweise noch nicht zulässig sind. Die Sandbox bietet Isolation von Ihren Entwicklungs-, Test- und Produktionsumgebungen.
Erstellen Sie eine Plattformverwaltungsgruppe unter der Stammverwaltungsgruppe, um die Zuweisung allgemeiner Plattformrichtlinien und Azure-Rollen zu unterstützen. Mit dieser Gruppierungsstruktur wird sichergestellt, dass verschiedene Richtlinien auf die Abonnements angewendet werden können, die für Ihr Azure-Fundament verwendet werden. Außerdem wird sichergestellt, dass die Abrechnung für allgemeine Ressourcen in einer Reihe grundlegender Abonnements zentralisiert wird.
Beschränken Sie die Anzahl der Azure Policy-Zuweisungen auf Ebene der Stammverwaltungsgruppe. Durch diese Einschränkung wird das Debuggen geerbter Richtlinien in Verwaltungsgruppen auf niedrigeren Ebenen minimiert.
Verwenden Sie Richtlinien, um Complianceanforderungen entweder auf Verwaltungsgruppen- oder auf Abonnementebene zu erzwingen und eine richtliniengesteuerte Governance zu erzielen.
Stellen Sie sicher, dass nur privilegierte Benutzer*innen Verwaltungsgruppen im Mandanten betreiben können. Aktivieren Sie die Azure RBAC-Autorisierung in den Hierarchieeinstellungen der Verwaltungsgruppe, um Benutzerberechtigungen präziser zu gestalten. Standardmäßig sind alle Benutzer*innen berechtigt, unter der Stammverwaltungsgruppe eigenen Verwaltungsgruppen zu erstellen.
Konfigurieren Sie eine dedizierte Standardverwaltungsgruppe für neue Abonnements. Diese Gruppe stellt sicher, dass keine Abonnements unter der Stammverwaltungsgruppe platziert werden. Sie ist besonders wichtig, wenn Benutzer*innen für das MSDN oder Visual Studio-Vorteile und -Abonnements berechtigt sind. Für diese Art von Verwaltungsgruppe eignen sich vor allem Sandboxverwaltungsgruppen. Weitere Informationen finden Sie unter Einstellung – Standardverwaltungsgruppe.
Erstellen Sie keine Verwaltungsgruppen für Produktions-, Test- und Entwicklungsumgebungen. Trennen Sie diese Gruppen bei Bedarf in verschiedenen Abonnements innerhalb derselben Verwaltungsgruppe. Weitere Anleitungen zu diesem Thema finden Sie unter:
Verwaltungsgruppen im Beschleuniger für Azure-Zielzonen und im ALZ-Bicep-Repository
Die folgenden Entscheidungen wurden getroffen und in die Implementierung der Verwaltungsgruppenstruktur einbezogen. Diese Entscheidungen sind Bestandteil des Beschleunigers für Azure-Zielzonen und des Verwaltungsgruppenmoduls des ALZ-Bicep-Repositorys.
Hinweis
Die Verwaltungsgruppenhierarchie kann im Azure Landing Zone Bicep-Modul durch Bearbeitung von managementGroups.bicep geändert werden.
| Verwaltungsgruppe | BESCHREIBUNG |
|---|---|
| Zwischenstammverwaltungsgruppe | Diese Verwaltungsgruppe befindet sich direkt unter der Mandantenstammgruppe. Sie wird mit einem von der Organisation bereitgestellten Präfix erstellt, mit dem die Verwendung der Stammgruppe explizit vermieden wird. So können Organisationen vorhandene Azure-Abonnements in die Hierarchie verschieben. Die Verwaltungsgruppe unterstützt auch zukünftige Szenarios. Diese Verwaltungsgruppe ist allen Verwaltungsgruppen übergeordnet, die vom Azure-Zielzonenbeschleuniger erstellt wurden. |
| Plattform | Diese Verwaltungsgruppe enthält alle untergeordneten Plattformverwaltungsgruppen, z. B. Verwaltung, Konnektivität und Identität. |
| Verwaltung | Diese Verwaltungsgruppe enthält ein dediziertes Abonnement für die Verwaltung, Überwachung und Sicherheit. Dieses Abonnement hostet einen Azure Log Analytics-Arbeitsbereich, einschließlich zugehöriger Lösungen, sowie ein Azure Automation Konto. |
| Konnektivität | Diese Verwaltungsgruppe enthält ein dediziertes Abonnement für die Konnektivität. Dieses Abonnement hostet die für die Plattform erforderlichen Azure-Netzwerkressourcen, z. B. Azure Virtual WAN, Azure Firewall und private Azure DNS-Zonen. |
| Identität | Diese Verwaltungsgruppe enthält ein dediziertes Abonnement für die Identität. Dieses Abonnement ist ein Platzhalter für Windows Server Active Directory Domain Services-VMs (AD DS) oder Microsoft Entra Domain Services. Das Abonnement aktiviert auch AuthN oder AuthZ für Workloads innerhalb der Zielzonen. Bestimmte Azure-Richtlinien werden zugewiesen, um die Ressourcen im Identitätsabonnement zu härten und zu verwalten. |
| Zielzonen | Die übergeordnete Verwaltungsgruppe für alle untergeordneten Verwaltungsgruppen der Zielzone. Ihr werden workloadagnostische Azure-Richtlinien zugewiesen, um sicherzustellen, dass Workloads sicher und konform sind. |
| Online | Die dedizierte Verwaltungsgruppe für Onlinezielzonen. Diese Gruppe ist für Workloads gedacht, die möglicherweise eine direkte eingehende/ausgehende Internetverbindung erfordern, oder für Workloads, die möglicherweise kein virtuelles Netzwerk erfordern. |
| Unternehmen | Die dedizierte Verwaltungsgruppe für Unternehmenszielzonen. Diese Gruppe ist für Workloads gedacht, die Konnektivität oder Hybridkonnektivität zum Unternehmensnetzwerk über den Hub im Konnektivitätsabonnement erfordern. |
| Sandboxes | Die dedizierte Verwaltungsgruppe für Abonnements, die in Organisationen nur für Tests und Exploration verwendet werden. Diese Abonnements werden sicher von den Unternehmens- und Onlinezielzonen getrennt. Sandboxes verfügen auch über weniger restriktive Richtlinien, die das Testen, Erkunden und Konfigurieren von Azure-Diensten ermöglichen. |
| Außer Betrieb | Die dedizierte Verwaltungsgruppe für Zielzonen, die eingestellt werden. Eingestellte Zielzonen werden 30 bis 60 Tage vor dem Löschen von Azure in diese Verwaltungsgruppe verschoben. |
Hinweis
Für viele Organisationen bieten die Standard-Corp- und Online-Verwaltungsgruppen einen idealen Startpunkt.
Einige Organisationen müssen mehrere hinzufügen, während andere sie nicht für ihre Organisation relevant finden.
Wenn Sie Änderungen an der Verwaltungsgruppenhierarchie vornehmen möchten, sind Informationen dazu in unserem Leitfaden Anpassen der Azure-Zielzonenarchitektur, um Anforderungen zu erfüllen.
Berechtigungen für den Azure-Zielzonenbeschleuniger
Erfordert einen dedizierten Dienstprinzipalnamen (Service Principal Name, SPN), um Verwaltungsgruppenvorgänge, Abonnementverwaltungsvorgänge und Rollenzuweisungen durchzuführen. Mithilfe eines SPNs wird die Anzahl der Benutzer mit erhöhten Berechtigungen reduziert und die Richtlinien der geringstmöglichen Berechtigungen werden eingehalten.
Erfordert die Rolle „Benutzerzugriffsadministrator“ in der Stammverwaltungsgruppe, um dem SPN auf Stammebene Zugriff zu gewähren. Nachdem dem SPN die Berechtigungen erteilt wurden, kann die Rolle „Benutzerzugriffsadministrator“ sicher entfernt werden. Auf diese Weise ist nur der SPN Teil der Rolle „Benutzerzugriffsadministrator“.
Erfordert die Rolle „Mitwirkender“ für den zuvor erwähnten SPN in der Stammverwaltungsgruppe. Nur mit der Rolle sind Vorgänge auf Mandantenebene möglich. Mit dieser Berechtigungsstufe wird sichergestellt, dass der SPN zum Bereitstellen und Verwalten von Ressourcen für ein beliebiges Abonnement in Ihrer Organisation verwendet werden kann.
Nächste Schritte
Informieren Sie sich über die Rolle, die Abonnements bei der Planung einer groß angelegten Azure-Einführung spielen.