¿Qué son los grupos de administración de Azure?What are Azure management groups?

Si su organización tiene varias suscripciones, puede que necesite una manera de administrar el acceso, las directivas y el cumplimiento de esas suscripciones de forma eficaz.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Los grupos de administración de Azure proporcionan un nivel de ámbito por encima de las suscripciones.Azure management groups provide a level of scope above subscriptions. Las suscripciones se organizan en contenedores llamados "grupos de administración" y aplican sus condiciones de gobernanza a los grupos de administración.You organize subscriptions into containers called "management groups" and apply your governance conditions to the management groups. Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo de administración.All subscriptions within a management group automatically inherit the conditions applied to the management group. Los grupos de administración proporcionan capacidad de administración de nivel empresarial a gran escala con independencia del tipo de suscripciones que tenga.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have. Todas las suscripciones de un único grupo de administración deben confiar en el mismo inquilino de Azure Active Directory.All subscriptions within a single management group must trust the same Azure Active Directory tenant.

A modo de ejemplo, puede aplicar directivas a un grupo de administración que limite las regiones disponibles para la creación de máquinas virtuales.For example, you can apply policies to a management group that limits the regions available for virtual machine (VM) creation. Esta directiva se aplicaría a todos los grupos de administración, las suscripciones y los recursos de ese grupo de administración, al permitir únicamente que se creen máquinas virtuales en esa región.This policy would be applied to all management groups, subscriptions, and resources under that management group by only allowing VMs to be created in that region.

Jerarquía de los grupos de administración y las suscripcionesHierarchy of management groups and subscriptions

Puede compilar una estructura flexible de grupos de administración y suscripciones para organizar los recursos en una jerarquía para una administración unificada de las directivas y el acceso.You can build a flexible structure of management groups and subscriptions to organize your resources into a hierarchy for unified policy and access management. El siguiente diagrama muestra un ejemplo de creación de una jerarquía para la gobernanza mediante grupos de administración.The following diagram shows an example of creating a hierarchy for governance using management groups.

Diagrama de una jerarquía de grupos de administración de ejemplo.

Diagrama de un grupo de administración raíz que contiene grupos de administración y suscripciones.Diagram of a root management group holding both management groups and subscriptions. Algunos grupos de administración secundarios contienen grupos de administración, otros contienen suscripciones y otros ambas cosas.Some child management groups hold management groups, some hold subscriptions, and some hold both. Uno de los ejemplos de la jerarquía de ejemplo es que cuatro niveles de grupos de administración con el nivel secundario son todos suscripciones.One of the examples in the sample hierarchy is four levels of management groups with the child level being all subscriptions.

Puede crear una jerarquía que aplique una directiva, por ejemplo, que limite las ubicaciones de las máquinas virtuales a la región Oeste de EE. UU. en el grupo denominado "Producción".You can create a hierarchy that applies a policy, for example, which limits VM locations to the US West Region in the group called "Production". Esta directiva se heredará en todas las suscripciones con Contrato Enterprise descendientes de ese grupo de administración y se aplicará a todas las máquinas virtuales de esas suscripciones.This policy will inherit onto all the Enterprise Agreement (EA) subscriptions that are descendants of that management group and will apply to all VMs under those subscriptions. El propietario de recursos o suscripciones no puede modificar esta directiva de seguridad, lo que permite una gobernanza mejorada.This security policy cannot be altered by the resource or subscription owner allowing for improved governance.

Otro escenario en el que usaría grupos de administración es para proporcionar acceso de usuario a varias suscripciones.Another scenario where you would use management groups is to provide user access to multiple subscriptions. Al mover varias suscripciones bajo ese grupo de administración, pude crear una asignación de rol de Azure en el grupo de administración, que heredará ese acceso en todas las suscripciones.By moving multiple subscriptions under that management group, you can create one Azure role assignment on the management group, which will inherit that access to all the subscriptions. Una asignación en el grupo de administración puede permitir a los usuarios tener acceso a todo lo que necesitan, en lugar de crear scripts de Azure RBAC sobre las distintas suscripciones.One assignment on the management group can enable users to have access to everything they need instead of scripting Azure RBAC over different subscriptions.

Hechos importantes acerca de los grupos de administraciónImportant facts about management groups

  • Se admiten 10 000 grupos de administración en un único directorio.10,000 management groups can be supported in a single directory.
  • Un árbol de grupo de administración puede admitir hasta seis niveles de profundidad.A management group tree can support up to six levels of depth.
    • Este límite no incluye el nivel raíz o de suscripción.This limit doesn't include the Root level or the subscription level.
  • Cada grupo de administración y suscripción admite solo un elemento primario.Each management group and subscription can only support one parent.
  • Cada grupo de administración puede tener muchos elementos secundarios.Each management group can have many children.
  • Todas las suscripciones y grupos de administración están dentro de una única jerarquía en cada directorio.All subscriptions and management groups are within a single hierarchy in each directory. Consulte Hechos importantes acerca de los grupos de administración raíz.See Important facts about the Root management group.

Un grupo de administración raíz para cada directorioRoot management group for each directory

Cada directorio tiene un grupo de administración de nivel superior único denominado "raíz".Each directory is given a single top-level management group called the "Root" management group. Este grupo de administración raíz está integrado en la jerarquía de manera que contiene todos los grupos de administración y suscripciones.This root management group is built into the hierarchy to have all management groups and subscriptions fold up to it. Este grupo de administración raíz permite la aplicación de directivas globales y de asignaciones de roles de Azure a nivel de directorio.This root management group allows for global policies and Azure role assignments to be applied at the directory level. Los administradores globales de Azure AD necesitan elevar sus privilegios inicialmente al rol Administrador de acceso de usuario de este grupo raíz.The Azure AD Global Administrator needs to elevate themselves to the User Access Administrator role of this root group initially. Después de esta elevación de los privilegios de acceso, puede asignar cualquier rol de Azure a otros usuarios o grupos del directorio para administrar la jerarquía.After elevating access, the administrator can assign any Azure role to other directory users or groups to manage the hierarchy. Como administrador, puede asignar su propia cuenta como propietario del grupo de administración raíz.As administrator, you can assign your own account as owner of the root management group.

Hechos importantes acerca de los grupos de administración raízImportant facts about the Root management group

  • De forma predeterminada, el nombre para mostrar del grupo de administración raíz es Grupo raíz de inquilino.By default, the root management group's display name is Tenant root group. El identificador es el de Azure Active Directory.The ID is the Azure Active Directory ID.
  • Para cambiar el nombre para mostrar, se debe asignar a su cuenta el rol de Propietario o Colaborador en el grupo de administración raíz.To change the display name, your account must be assigned the Owner or Contributor role on the root management group. Para actualizar el nombre de un grupo de administración, consulte Cambio del nombre de un grupo de administración.See Change the name of a management group to update the name of a management group.
  • El grupo de administración raíz no se puede mover ni eliminar, a diferencia de los demás.The root management group can't be moved or deleted, unlike other management groups.
  • Todas las suscripciones y los grupos de administración se incluyen en el grupo de administración raíz único del directorio.All subscriptions and management groups fold up to the one root management group within the directory.
    • Todos los recursos del directorio pertenecen al grupo de administración raíz para la administración global.All resources in the directory fold up to the root management group for global management.
    • Las suscripciones nuevas pertenecen de manera predeterminada y automática al grupo de administración raíz cuando se crean.New subscriptions are automatically defaulted to the root management group when created.
  • Todos los clientes de Azure pueden ver el grupo de administración raíz, pero no todos los clientes tienen acceso para administrar ese grupo de administración raíz.All Azure customers can see the root management group, but not all customers have access to manage that root management group.
    • Todos los usuarios con acceso a una suscripción pueden ver el contexto de dónde está esa suscripción en la jerarquía.Everyone who has access to a subscription can see the context of where that subscription is in the hierarchy.
    • A ninguno se le concede acceso de forma predeterminada al grupo de administración raíz.No one is given default access to the root management group. Los administradores globales de Azure AD son los únicos usuarios que pueden elevar sus propios privilegios para obtener acceso.Azure AD Global Administrators are the only users that can elevate themselves to gain access. Una vez que tienen acceso al grupo de administración raíz, los administradores globales pueden asignar cualquier rol de Azure a otros usuarios para administrarloOnce they have access to the root management group, the global administrators can assign any Azure role to other users to manage
      .it.
  • En SDK, el grupo de administración raíz o la "raíz de inquilino" funciona como un grupo de administración.In SDK, the root management group, or 'Tenant Root', operates as a management group.

Importante

Todas las asignaciones de acceso de los usuarios o de directivas en el grupo de administración raíz se aplican a todos los recursos dentro del directorio.Any assignment of user access or policy assignment on the root management group applies to all resources within the directory. Por este motivo, todos los clientes deben evaluar la necesidad de tener los elementos definidos en este ámbito.Because of this, all customers should evaluate the need to have items defined on this scope. Las asignaciones de directivas y de acceso de usuario deberían ser obligatorias solo en esteUser access and policy assignments should be "Must Have" only at this
ámbito.scope.

Instalación inicial de los grupos de administraciónInitial setup of management groups

Cuando algún usuario comienza usando grupos de administración, se produce un proceso de configuración inicial.When any user starts using management groups, there's an initial setup process that happens. El primer paso es que el grupo de administración raíz se crea en el directorio.The first step is the root management group is created in the directory. Una vez creado este grupo, todas las suscripciones existentes que existen en el directorio se convierten en elementos secundarios del grupo de administración raíz.Once this group is created, all existing subscriptions that exist in the directory are made children of the root management group. El motivo de este proceso es asegurarse de que hay solo una jerarquía de grupos de administración en un directorio.The reason for this process is to make sure there's only one management group hierarchy within a directory. La jerarquía única dentro del directorio permite a los clientes administrativos aplicar directivas y un acceso global que otros clientes dentro del directorio no puedan omitir.The single hierarchy within the directory allows administrative customers to apply global access and policies that other customers within the directory can't bypass. Nada que se haya asignado en la raíz se aplicará a toda jerarquía, lo cual incluye todos los grupos de administración, las suscripciones, los grupos de recursos y los recursos dentro de ese inquilino de Azure AD.Anything assigned on the root will apply to the entire hierarchy, which includes all management groups, subscriptions, resource groups, and resources within that Azure AD Tenant.

Problemas para ver todas las suscripcionesTrouble seeing all subscriptions

Algunos de los directorios que empezaron a usar grupos de administración durante la versión preliminar (antes del 25 de junio de 2018) podrían experimentar el problema de que no estén todas las suscripciones en la jerarquía.A few directories that started using management groups early in the preview before June 25 2018 could see an issue where not all the subscriptions were within the hierarchy. El proceso para que todas las suscripciones estén en la jerarquía se implementó después de realizar una asignación de roles o directivas en el grupo de administración raíz del directorio.The process to have all subscriptions in the hierarchy was put in place after a role or policy assignment was done on the root management group in the directory.

Cómo resolver el problemaHow to resolve the issue

Hay dos opciones para resolver este problema.There are two options you can do to resolve this issue.

  • Eliminar todas las asignaciones de roles y directivas del grupo de administración raízRemove all Role and Policy assignments from the root management group
    • Mediante la eliminación de todas las asignaciones de roles y directivas del grupo de administración raíz, el servicio repone todas las suscripciones de la jerarquía en el siguiente ciclo nocturno.By removing any policy and role assignments from the root management group, the service backfills all subscriptions into the hierarchy the next overnight cycle. Este proceso es para asegurarse de que no se ha dado ningún acceso accidental ni asignación de directiva a todas las suscripciones de los inquilinos.This process is so there's no accidental access given or policy assignment to all of the tenants subscriptions.
    • La mejor manera de realizar este proceso sin que afecte a los servicios es aplicar las asignaciones de roles o directivas un nivel por debajo del grupo de administración raíz.The best way to do this process without impacting your services is to apply the role or policy assignments one level below the Root management group. Después, puede quitar todas las asignaciones del ámbito raíz.Then you can remove all assignments from the root scope.
  • Llamar a la API directamente para iniciar el proceso de reposiciónCall the API directly to start the backfill process
    • Cualquier cliente del directorio puede llamar a las API TenantBackfillStatusRequest o StartTenantBackfillRequest.Any customer in the directory can call the TenantBackfillStatusRequest or StartTenantBackfillRequest APIs. Cuando se llama a StartTenantBackfillRequest API, esta comienza el proceso de configuración inicial de mover todas las suscripciones a la jerarquía.When the StartTenantBackfillRequest API is called, it kicks off the initial setup process of moving all the subscriptions into the hierarchy. Este proceso también inicia la aplicación de todas las suscripciones nuevas para que constituyan un elemento secundario del grupo de administración raíz.This process also starts the enforcement of all new subscription to be a child of the root management group. Este proceso se puede realizar sin cambiar ninguna asignación en el nivel raíz.This process can be done without changing any assignments on the root level. Mediante una llamada a la API, acepta que todas las asignaciones de directivas o de acceso en la raíz se pueden aplicar a todas las suscripciones.By calling the API, you're saying it's okay that any policy or access assignment on the root can be applied to all subscriptions.

Si tiene preguntas acerca de este proceso de reposición, póngase en contacto con: managementgroups@microsoft.comIf you have questions on this backfill process, contact: managementgroups@microsoft.com

Acceso al grupo de administraciónManagement group access

Los grupos de administración de Azure admiten el control de acceso basado en roles de Azure (Azure RBAC) en los accesos a todos los recursos y definiciones de roles.Azure management groups support Azure role-based access control (Azure RBAC) for all resource accesses and role definitions. Estos permisos se heredan en los recursos secundarios que existen en la jerarquía.These permissions are inherited to child resources that exist in the hierarchy. Cualquier rol de Azure puede asignarse a un grupo de administración que heredará la jerarquía para los recursos.Any Azure role can be assigned to a management group that will inherit down the hierarchy to the resources. Por ejemplo, el rol de Azure Colaborador de máquina virtual se puede asignar a un grupo de administración.For example, the Azure role VM contributor can be assigned to a management group. Este rol no tiene ninguna acción en el grupo de administración, pero se heredará en todas las máquinas virtuales de ese grupo de administración.This role has no action on the management group, but will inherit to all VMs under that management group.

El gráfico siguiente muestra la lista de roles y las acciones admitidas en los grupos de administración.The following chart shows the list of roles and the supported actions on management groups.

Nombre de rol de AzureAzure Role Name CrearCreate Cambiar nombreRename Mover**Move** EliminarDelete Asignar accesoAssign Access Asignar directivaAssign Policy LecturaRead
PropietarioOwner XX XX XX XX XX XX XX
ColaboradorContributor XX XX XX XX XX
Colaborador MG*MG Contributor* XX XX XX XX XX
LectorReader XX
Lector MG*MG Reader* XX
Colaborador de directivas de recursosResource Policy Contributor XX
Administrador de acceso de usuarioUser Access Administrator XX XX

*: Colaborador MG y Lector MG solo permiten a los usuarios realizar esas acciones en el ámbito del grupo de administración.*: MG Contributor and MG Reader only allow users to do those actions on the management group scope.
**: Las asignaciones de roles en el grupo de administración raíz no son necesarias para mover una suscripción o grupo de administración a este grupo y desde este.**: Role Assignments on the Root management group aren't required to move a subscription or management group to and from it. Consulte Administración de los recursos con grupos de administración para más información acerca de cómo mover elementos dentro de la jerarquía.See Manage your resources with management groups for details on moving items within the hierarchy.

Asignación y definición de roles personalizados de AzureAzure custom role definition and assignment

La compatibilidad de los roles personalizados de Azure con los grupos de administración está actualmente en versión preliminar con algunas limitaciones.Azure custom role support for management groups is currently in preview with some limitations. El ámbito de los grupos de administración se puede definir en el ámbito asignable de Definición de roles.You can define the management group scope in the Role Definition's assignable scope. Ese rol personalizado de Azure estará disponible para su asignación no solo en ese grupo de administración, sino también en todos los grupos de administración, suscripciones, grupos de recursos o recursos que haya debajo de él.That Azure custom role will then be available for assignment on that management group and any management group, subscription, resource group, or resource under it. Este rol personalizado heredará la jerarquía, como cualquier rol integrado.This custom role will inherit down the hierarchy like any built-in role.

Definición de ejemploExample definition

La definición y creación de un rol personalizado no cambia con la inclusión de los grupos de administración.Defining and creating a custom role doesn't change with the inclusion of management groups. Use la ruta de acceso completa para definir el grupo de administración /providers/Microsoft.Management/managementgroups/{groupId} .Use the full path to define the management group /providers/Microsoft.Management/managementgroups/{groupId}.

Use el identificador del grupo de administración, no su nombre para mostrar.Use the management group's ID and not the management group's display name. Este error común se produce porque ambos son campos definidos personalizados al crear un grupo de administración.This common error happens since both are custom-defined fields when creating a management group.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id", 
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problemas al desasociar la definición del rol y la ruta de la jerarquía de asignaciónIssues with breaking the role definition and assignment hierarchy path

Las definiciones de roles son un ámbito asignable en cualquier parte de la jerarquía de grupos de administración.Role definitions are assignable scope anywhere within the management group hierarchy. Se puede definir una definición de roles en un grupo de administración primario mientras la asignación de roles real exista en la suscripción secundaria.A role definition can be defined on a parent management group while the actual role assignment exists on the child subscription. Al haber una relación entre ambos elementos, aparecerá un error al intentar separar la asignación de su definición.Since there's a relationship between the two items, you'll receive an error when trying to separate the assignment from its definition.

Por ejemplo, examinemos una pequeña sección de una jerarquía en un objeto visual.For example, let's look at a small section of a hierarchy for a visual.

Diagrama de un subconjunto de la jerarquía de grupos de administración de ejemplo.

El diagrama se centra en el grupo de administración raíz con los grupos de administración secundarios Marketing e IT.The diagram focuses on the root management group with child I T and Marketing management groups. El grupo de administración IT tiene un único grupo de administración secundario denominado Production, mientras que el grupo de administración Marketing tiene dos suscripciones secundarias de evaluación gratuita.The I T management group has a single child management group named Production while the Marketing management group has two Free Trial child subscriptions.

Supongamos que hay un rol personalizado definido en el grupo de administración Marketing.Let's say there's a custom role defined on the Marketing management group. Dicho rol personalizado se asigna en las dos suscripciones de prueba gratuitas.That custom role is then assigned on the two free trial subscriptions.

Si intentamos mover una de esas suscripciones para que sea un elemento secundario del grupo de administración Producción, se desasociaría la ruta de asignación de roles de la suscripción de la definición del rol del grupo de administración Marketing.If we try to move one of those subscriptions to be a child of the Production management group, this move would break the path from subscription role assignment to the Marketing management group role definition. En este escenario, recibirá un error que indica que no se permite el movimiento porque interrumpirá esta relación.In this scenario, you'll receive an error saying the move isn't allowed since it will break this relationship.

Para corregir este escenario hay varias opciones:There are a couple different options to fix this scenario:

  • Quitar la asignación de roles de la suscripción antes de mover esta al nuevo grupo de administración primario.Remove the role assignment from the subscription before moving the subscription to a new parent MG.
  • Agregar la suscripción al ámbito asignable de la definición de roles.Add the subscription to the Role Definition's assignable scope.
  • Cambiar el ámbito asignable en la definición de roles.Change the assignable scope within the role definition. En el ejemplo anterior, se pueden actualizar los ámbitos asignables de Marketing a Grupo de administración raíz para que las dos ramas de la jerarquía puedan acceder a la definición.In the above example, you can update the assignable scopes from Marketing to Root Management Group so that the definition can be reached by both branches of the hierarchy.
  • Cree otro rol personalizado que se defina en la otra rama.Create another Custom Role that is defined in the other branch. Este nuevo rol requiere que la asignación de roles se cambie también en la suscripción.This new role requires the role assignment to be changed on the subscription also.

LimitacionesLimitations

Existen limitaciones al usar roles personalizados en grupos de administración.There are limitations that exist when using custom roles on management groups.

  • En los ámbitos asignables de un nuevo rol no se puede definir más de un grupo de administración.You can only define one management group in the assignable scopes of a new role. Esta limitación se ha establecido para reducir el número de situaciones en las que las definiciones de roles y las asignaciones de roles están desconectadas.This limitation is in place to reduce the number of situations where role definitions and role assignments are disconnected. Esta situación se produce cuando una suscripción o un grupo de administración con una asignación de roles se mueven a un elemento primario diferente que no tiene la definición de roles.This situation happens when a subscription or management group with a role assignment moves to a different parent that doesn't have the role definition.
  • Las acciones del plano de datos del proveedor de recursos no se pueden definir acciones en los roles personalizados del grupo de administración.Resource provider data plane actions can't be defined in management group custom roles. Esta restricción se ha establecido porque hay un problema de latencia al actualizar los proveedores de recursos del plano de datos.This restriction is in place as there's a latency issue with updating the data plane resource providers. Se está trabajando en dicho problema y estas acciones se deshabilitarán de la definición de roles para reducir los riesgos.This latency issue is being worked on and these actions will be disabled from the role definition to reduce any risks.
  • Azure Resource Manager no valida la existencia del grupo de administración en el ámbito asignable de la definición de roles.The Azure Resource Manager doesn't validate the management group's existence in the role definition's assignable scope. La definición de roles se crea aunque haya algún error de escritura o un identificador de grupo de administración incorrecto en la lista.If there's a typo or an incorrect management group ID listed, the role definition is still created.
  • No se admite la asignación de roles para un rol con dataActions.Role assignment for a role with dataActions aren't supported. En su lugar, cree la asignación de roles en el ámbito de la suscripción.Create the role assignment at the subscription scope instead.

Importante

La adición de un grupo de administración a AssignableScopes está actualmente en versión preliminar.Adding a management group to AssignableScopes is currently in preview. Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.Certain features might not be supported or might have constrained capabilities. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Movimiento de grupos de administración y suscripcionesMoving management groups and subscriptions

Para que un grupo de administración o una suscripción sean un elemento secundario de otro grupo de administración, es preciso evaluar tres reglas como verdaderas.To move a management group or subscription to be a child of another management group, three rules need to be evaluated as true.

Si va a realizar la acción de movimiento, necesitará lo siguiente:If you're doing the move action, you need:

  • Permisos de escritura de grupos de administración y de escritura de la asignación de roles en la suscripción o en el grupo de administración secundarios.Management group write and Role Assignment write permissions on the child subscription or management group.
    • Ejemplo del rol integrado PropietarioBuilt-in role example Owner
  • Acceso de escritura de grupos de administración en el grupo de administración primario de destino.Management group write access on the target parent management group.
    • Ejemplo de rol integrado: Propietario, Colaborador, Colaborador de grupo de administraciónBuilt-in role example: Owner, Contributor, Management Group Contributor
  • Acceso de escritura de grupos de administración en el grupo de administración primario existente.Management group write access on the existing parent management group.
    • Ejemplo de rol integrado: Propietario, Colaborador, Colaborador de grupo de administraciónBuilt-in role example: Owner, Contributor, Management Group Contributor

Excepción: Si el grupo de administración primario existente o de destino es el grupo de administración raíz, no se aplican los requisitos de permisos.Exception: If the target or the existing parent management group is the Root management group, the permissions requirements don't apply. Puesto que el grupo de administración raíz es la zona de aterrizaje predeterminada de todos los nuevos grupos de administración y suscripciones, no necesita permisos sobre él para mover un elemento.Since the Root management group is the default landing spot for all new management groups and subscriptions, you don't need permissions on it to move an item.

Si el rol de propietario de la suscripción se hereda del grupo de administración actual, los destinos de movimiento están limitados.If the Owner role on the subscription is inherited from the current management group, your move targets are limited. Solo puede mover la suscripción a otro grupo de administración en el que tenga el rol de propietario.You can only move the subscription to another management group where you have the Owner role. No puede moverla a un grupo de administración en el que sea colaborador porque perdería la propiedad de la suscripción.You can't move it to a management group where you're a contributor because you would lose ownership of the subscription. Si se le asigna directamente el rol de propietario de la suscripción (no se hereda del grupo de administración), puede moverlo a cualquier grupo de administración donde sea colaborador.If you're directly assigned to the Owner role for the subscription (not inherited from the management group), you can move it to any management group where you're a contributor.

Auditoría de los grupos de administración mediante registros de actividadAudit management groups using activity logs

Se admiten grupos de administración en el registro de actividad de Azure.Management groups are supported within Azure Activity Log. Puede buscar todos los eventos que se producen en un grupo de administración en la misma ubicación central que otros recursos de Azure.You can search all events that happen to a management group in the same central location as other Azure resources. Por ejemplo, puede ver todos los cambios de asignaciones de roles o de asignación de directiva efectuados en un grupo de administración concreto.For example, you can see all Role Assignments or Policy Assignment changes made to a particular management group.

Captura de pantalla de los registros de actividad y las operaciones relacionadas con el grupo de administración seleccionado.

Si observa las consultas en los grupos de administración fuera de Azure Portal, el ámbito de destino de los grupos de administración se parece a "/providers/Microsoft.Management/managementGroups/{yourMgID}" .When looking to query on Management Groups outside of the Azure portal, the target scope for management groups looks like "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Pasos siguientesNext steps

Para más información sobre los grupos de administración, consulte:To learn more about management groups, see: