Establecimiento de la segmentación con grupos de administración
Los grupos de administración pueden administrar los recursos de varias suscripciones de forma coherente y eficaz. Sin embargo, debido a su flexibilidad, el diseño puede ser complejo y poner en peligro la seguridad y las operaciones.
Refuerzo de la estrategia de segmentación con grupos de administración
Estructure los grupos de administración en un diseño sencillo que guíe el modelo de segmentación empresarial.
Los grupos de administración ofrecen la posibilidad de administrar de forma coherente y eficaz los recursos (incluidas varias suscripciones según sea necesario). Sin embargo, debido a su flexibilidad, es posible crear un diseño demasiado complejo. La complejidad crea confusión y afecta negativamente a las operaciones y a la seguridad (como se muestra en los diseños demasiado complejos de unidades organizativas (OU) y objetos de directiva de grupo (GPO) para Active Directory).
Microsoft recomienda alinear el nivel superior de los grupos de administración (MG) con una estrategia de segmentación empresarial simple y limitar los niveles a un máximo de dos.
En la referencia de ejemplo, hay recursos comunes a toda la empresa que se utilizan en todos los segmentos, un conjunto de servicios principales que comparten servicios, y segmentos adicionales para cada carga de trabajo.
Grupo de administración raíz para los recursos comunes a toda la empresa.
Use el grupo de administración raíz para incluir identidades que tengan el requisito de aplicar directivas en todos los recursos. Por ejemplo, requisitos normativos tales como las restricciones relacionadas con la soberanía de los datos. Este grupo es eficaz para la aplicación de directivas, permisos o etiquetas en todas las suscripciones.
Precaución
Tenga cuidado al usar el grupo de administración raíz, ya que las directivas pueden afectar a todos los recursos de Azure y podrían provocar tiempos de inactividad u otros impactos negativos. Para conocer las consideraciones, consulte Precaución en el uso del grupo de administración raíz más adelante en este artículo.
Para obtener instrucciones completas sobre el uso de grupos de administración para una empresa, consulte CAF: organización de grupos de administración y suscripciones.
Grupo de administración para cada segmento de carga de trabajo.
Use un grupo de administración independiente para los equipos con un ámbito de responsabilidad limitado. Este grupo suele ser necesario debido a los límites de la organización o a los requisitos normativos.
Grupo de administración raíz o de segmentos para el conjunto principal de servicios.
Precaución en el uso del grupo de administración raíz
Use el grupo de administración raíz (MG) de cara a la coherencia empresarial, pero pruebe con cuidado los cambios para minimizar el riesgo de interrupción operativa.
El grupo de administración raíz le permite garantizar la coherencia en toda la empresa mediante la aplicación de directivas, permisos y etiquetas en todas las suscripciones. Se debe tener cuidado al planear e implementar las asignaciones al grupo de administración raíz, ya que todos los recursos de Azure pueden verse afectados y provocar tiempo de inactividad u otros efectos negativos en la productividad en caso de errores o efectos imprevistos.
Planeamiento cuidadoso: Seleccione elementos de toda la empresa para el grupo de administración raíz que tengan un requisito claro de aplicarse en cada recurso, o que tengan un impacto bajo.
Seleccione las identidades comunes a toda la empresa que tengan un requisito claro para que se aplique en todos los recursos. Entre los candidatos adecuados destacan los siguientes:
Requisitos normativos con un riesgo o impacto empresarial claro. Por ejemplo, las restricciones relacionadas con la soberanía de los datos.
Impacto negativo potencial casi cero. Por ejemplo, directivas con efecto de auditoría, asignaciones de etiquetas y asignaciones de permisos de RBAC de Azure que se hayan revisado con cuidado.
Use un nombre de entidad de seguridad de servicio (SPN) dedicado para ejecutar operaciones de administración de grupos de administración, operaciones de administración de suscripciones y asignaciones de roles. Un SPN reduce el número de usuarios que tienen derechos elevados y sigue las directrices de privilegios mínimos. Asigne el rol Administrador de acceso de usuario en el ámbito del grupo de administración raíz (/) para conceder al SPN que acaba de mencionar el acceso en el nivel raíz. Una vez concedidos los permisos al SPN, el rol Administrador de acceso de usuario se puede eliminar de forma segura. De esta manera, solo el SPN forma parte del rol Administrador de acceso de usuario. Asigne permiso de Colaborador al SPN, que permite operaciones de nivel de inquilino. Este nivel de permisos permite usar el SPN para implementar y administrar los recursos en cualquier suscripción de una organización.
Limite el número de asignaciones de Azure Policy realizadas en el ámbito del grupo de administración raíz (
/). Esta limitación reduce a un mínimo la depuración de directivas heredadas en grupos de administración de nivel inferior.No cree ninguna suscripción debajo del grupo de administración raíz. Esta jerarquía garantiza que las suscripciones no hereden únicamente el pequeño conjunto de directivas de Azure asignadas al grupo de administración del nivel raíz, que no representan el conjunto completo que se necesita para una carga de trabajo.
Probar primero: Planee, pruebe y valide los cambios en toda la empresa en el grupo de administración raíz antes de aplicarlos (directivas, etiquetas, modelo de Azure RBAC, etc.).
Laboratorio de pruebas: Segmento de laboratorio o inquilino de laboratorio representativos en el inquilino de producción.
Piloto de producción: Puede ser un grupo de administración de segmentos o un subconjunto designado en el grupo de administración de suscripciones.
Validación de los cambios: Para garantizar que tengan el efecto deseado.