Administración de las suscripciones de Azure a gran escala con grupos de administración
Si su organización tiene varias suscripciones, puede que necesite una manera de administrar el acceso, las directivas y el cumplimiento de esas suscripciones de forma eficaz. Los grupos de administración de Azure proporcionan un nivel de ámbito por encima de las suscripciones. Las suscripciones se organizan en contenedores llamados "grupos de administración" y aplican sus condiciones de gobernanza a los grupos de administración. Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo de administración.
Los grupos de administración proporcionan capacidad de administración de nivel empresarial a gran escala con independencia del tipo de suscripciones que tenga. Para más información acerca de los grupos de administración, consulte Organización de los recursos con grupos de administración de Azure.
Nota
En este artículo se indican los pasos para eliminar los datos personales del dispositivo o del servicio y puede utilizarse para cumplir con sus obligaciones según el Reglamento general de protección de datos (RGPD). Para obtener información general sobre RGPD, consulte Información sobre los procedimientos recomendados para el cumplimiento del RGPD y la sección RGPD del portal de confianza de servicios.
Importante
Los tokens de usuario y la memoria caché del grupo de administración de Azure Resource Manager duran 30 minutos antes de que se produzca una actualización obligatoria. Después de realizar cualquier acción como mover un grupo de administración o una suscripción, puede tardar hasta 30 minutos en mostrarse. Para ver las actualizaciones antes de que tenga que actualizar el token actualizando el explorador, inicie y cierre sesión, o solicite un nuevo token.
Importante
Los cmdlets de Az PowerShell relacionados con AzManagementGroup mencionan que -GroupId es alias del parámetro -GroupName, por lo que podemos usar cualquiera de ellos para proporcionar el identificador del grupo de administración como valor de cadena.
Cambio del nombre de un grupo de administración
Puede cambiar el nombre del grupo de administración mediante el portal, PowerShell o la CLI de Azure.
Cambiar el nombre en el portal
Inicie sesión en Azure Portal.
Seleccione Todos los servicios>Grupos de administración.
Seleccione el grupo de administración cuyo nombre quiere cambiar.
Seleccione Detalles.
Seleccione la opción Cambiar nombre de grupo en la parte superior de la página.
Cuando se abra el menú, escriba el nuevo nombre que desea mostrar.
Seleccione Guardar.
Cambiar el nombre en PowerShell
Para actualizar el nombre para mostrar, use Update-AzManagementGroup. Por ejemplo, para cambiar el nombre para mostrar de un grupo de administración de "Contoso TI" a "Grupo de Contoso", ejecute el siguiente comando:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Cambiar el nombre en la CLI de Azure
En la CLI de Azure, use el comando de actualización.
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Eliminación de un grupo de administración
Para eliminar un grupo de administración, deben cumplirse los siguientes requisitos:
No deben existir grupos de administración secundarios ni suscripciones en el grupo de administración. Para mover una suscripción o un grupo de administración a otro grupo de administración, consulte Movimiento de grupos de administración y suscripciones en la jerarquía.
Necesita permisos de escritura sobre el grupo de administración (propietario, colaborador o colaborador de grupo de administración). Para ver qué permisos tiene, seleccione el grupo de administración y, a continuación, seleccione IAM. Para más información sobre los roles de Azure, consulte ¿Qué es el control de acceso basado en roles de Azure (RBAC)?.
Eliminar en el portal
Inicie sesión en Azure Portal.
Seleccione Todos los servicios>Grupos de administración.
Seleccione el grupo de administración que desea eliminar.
Seleccione Detalles.
Seleccionar Eliminar
Sugerencia
Si el icono está deshabilitado, al mantener el selector del mouse sobre el icono se muestra el motivo.
Se abre una ventana para que confirme si quiere eliminar el grupo de administración.
Seleccione Sí.
Eliminar en PowerShell
Use el comando Remove-AzManagementGroup de PowerShell para eliminar grupos de administración.
Remove-AzManagementGroup -GroupId 'Contoso'
Eliminación en la CLI de Azure
Con la CLI de Azure, use el comando az account management-group delete.
az account management-group delete --name 'Contoso'
Visualización de los grupos de administración
Puede ver cualquier grupo de administración sobre el que tenga un rol de Azure directo o heredado.
Ver en el portal
Inicie sesión en Azure Portal.
Seleccione Todos los servicios>Grupos de administración.
Se cargará la página de la jerarquía de grupos de administración. En esta página puede explorar todos los grupos de administración y las suscripciones a los que tiene acceso. Si selecciona el nombre del grupo, desciende a un nivel inferior de la jerarquía. La navegación funciona de la misma forma que un explorador de archivos.
Para ver los detalles del grupo de administración, seleccione el vínculo (detalles) situado junto al título de este. Si este vínculo no está disponible, no tiene permisos para ver ese grupo de administración.
Ver en PowerShell
Use el comando Get-AzManagementGroup para recuperar todos los grupos. Consulte los módulos Az.Resources para ver la lista completa de comandos GET de PowerShell del grupo de administración.
Get-AzManagementGroup
Para obtener información de un único grupo de administración, use el parámetro -GroupId.
Get-AzManagementGroup -GroupId 'Contoso'
Para devolver un grupo de administración específico y todos los niveles de la jerarquía que hay debajo, use los parámetros -Expand y -Recurse.
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Ver en la CLI de Azure
Use el comando list para recuperar todos los grupos.
az account management-group list
Para obtener información de un único grupo de administración, use el comando show.
az account management-group show --name 'Contoso'
Para devolver un grupo de administración específico y todos los niveles de la jerarquía que hay debajo, use los parámetros -Expand y -Recurse.
az account management-group show --name 'Contoso' -e -r
Movimiento de grupos de administración y suscripciones
Uno de los motivos de crear un grupo de administración es agrupar las suscripciones. Solo los grupos de administración y las suscripciones pueden convertirse en secundarios de otro grupo de administración. Una suscripción que se mueve a un grupo de administración hereda todas las directivas y accesos de usuario del grupo de administración primario.
Al mover un grupo de administración o una suscripción para ser secundarios de otro grupo de administración, es preciso evaluar tres reglas como verdaderas.
Si va a realizar un traslado, necesita permiso en cada una de las capas siguientes:
- Suscripción o grupo de administración secundarios
Microsoft.management/managementgroups/writeMicrosoft.management/managementgroups/subscriptions/write(solo para suscripciones)Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- Grupo de administración primario de destino
Microsoft.management/managementgroups/write
- Grupo de administración primario actual
Microsoft.management/managementgroups/write
Excepción: Si el grupo de administración primario existente o de destino es el grupo de administración raíz, no se aplican los requisitos de permisos. Puesto que el grupo de administración raíz es la zona de aterrizaje predeterminada de todos los nuevos grupos de administración y suscripciones, no necesita permisos sobre él para mover un elemento.
Si el rol de propietario de la suscripción se hereda del grupo de administración actual, los destinos de movimiento están limitados. Solo puede mover la suscripción a otro grupo de administración en el que tenga el rol de propietario. No puede moverla a un grupo de administración en el que solo sea colaborador porque perdería la propiedad de la suscripción. Si se le asigna directamente el rol de propietario de la suscripción, puede moverla a cualquier grupo de administración donde sea colaborador.
Para ver qué permisos tiene en Azure Portal, seleccione el grupo de administración y, luego, IAM. Para más información sobre los roles de Azure, consulte ¿Qué es el control de acceso basado en roles de Azure (RBAC)?.
Movimiento de suscripciones
Adición una suscripción existente a un grupo de administración del portal
Inicie sesión en Azure Portal.
Seleccione Todos los servicios>Grupos de administración.
Seleccione el grupo de administración que tiene previsto que sea el primario.
En la parte superior de la página, haga clic en Agregar suscripción.
Seleccione la suscripción de la lista con el identificador correcto.
Seleccione "Guardar".
Eliminación de una suscripción de un grupo de administración en el portal
Inicie sesión en Azure Portal.
Seleccione Todos los servicios>Grupos de administración.
Seleccione el grupo de administración que tiene previsto que sea el primario actual.
Seleccione los puntos suspensivos al final de la fila correspondiente a la suscripción de la lista que quiere mover.
Seleccione Mover.
En el menú que se abre, seleccione el grupo de administración primario.
Seleccione Guardar.
Mover las suscripciones en PowerShell
Para mover una suscripción en PowerShell, use el comando New-AzManagementGroupSubscription.
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Para quitar el vínculo entre la suscripción y el grupo de administración, use el comando Remove-AzManagementGroupSubscription.
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Mover las suscripciones en la CLI de Azure
Para mover una suscripción en la CLI, utilice el comando add.
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Para quitar la suscripción del grupo de administración, use el comando subscription remove.
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Traslado de las suscripciones de la plantilla de ARM
Para trasladar una suscripción de una plantilla de Azure Resource Manager (plantilla de ARM), use la siguiente plantilla e impleméntela en el nivel de inquilino.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
O bien, el archivo de Bicep siguiente.
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Movimiento de grupos de administración
Mover grupos de administración en el portal
Inicie sesión en Azure Portal.
Seleccione Todos los servicios>Grupos de administración.
Seleccione el grupo de administración que tiene previsto que sea el primario.
En la parte superior de la página, haga clic en Agregar grupo de administración.
En el menú que se abre, seleccione si quiere un grupo de administración nuevo o usar uno existente.
- Al seleccionar Nuevo se crea un grupo de administración.
- Al seleccionar un grupo existente se mostrará una lista desplegable de todos los grupos de administración que se pueden mover a este grupo de administración.
Seleccione Guardar.
Mover grupos de administración en PowerShell
Use el comando Update-AzManagementGroup de PowerShell para mover un grupo de administración a un grupo diferente.
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Mover grupos de administración en la CLI de Azure
Use el comando update para mover un grupo de administración con CLI de Azure.
az account management-group update --name 'Contoso' --parent ContosoIT
Auditoría de los grupos de administración mediante registros de actividad
Se admiten grupos de administración en el registro de actividad de Azure. Puede consultar todos los eventos que se producen en un grupo de administración en la misma ubicación central que otros recursos de Azure. Por ejemplo, puede ver todos los cambios de asignaciones de roles o de asignación de directiva efectuados en un grupo de administración concreto.
Si observa las consultas en los grupos de administración fuera de Azure Portal, el ámbito de destino de los grupos de administración se parece a "/providers/Microsoft.Management/managementGroups/{yourMgID}" .
Referencia a grupos de administración de otros proveedores de recursos
Al hacer referencia a grupos de administración desde las acciones de otro proveedor de recursos, use la siguiente ruta de acceso como ámbito. Esta ruta de acceso se usa cuando se utiliza PowerShell, la CLI de Azure y las API REST.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Un ejemplo de uso de esta ruta de acceso es cuando se realiza una nueva asignación de roles a un grupo de administración en PowerShell:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
La misma ruta de acceso al ámbito se usa al recuperar una definición de directiva en un grupo de administración.
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Pasos siguientes
Para más información sobre los grupos de administración, consulte:
- Creación de grupos de administración para organizar los recursos de Azure
- Cambio, eliminación y administración de los grupos de administración
- Revisión de grupos de administración en el módulo de recursos de Azure PowerShell
- Revisión de grupos de administración en la API REST
- Revisión de grupos de administración en la CLI de Azure