Azure-előfizetések nagy léptékű kezelése felügyeleti csoportokkal
Ha a cég több előfizetéssel rendelkezik, szüksége lehet egy hatékony módszerre az előfizetések hozzáférésének, szabályzatainak és megfelelőségének kezelésére. Az Azure-beli felügyeleti csoportok hatóköre az előfizetések fölötti szint. Az előfizetéseket „felügyeleti csoportok” nevű tárolókba rendezheti, és az irányítási feltételeket alkalmazhatja a felügyeleti csoportokra. A felügyeleti csoporton belüli összes előfizetés automatikusan örökli a felügyeleti csoportra alkalmazott feltételeket.
A felügyeleti csoportok nagy léptékű, nagyvállalati szintű felügyeletet tesznek lehetővé, függetlenül az előfizetése típusától. A felügyeleti csoportokkal kapcsolatos további információkért lásd : Erőforrások rendszerezése azure-beli felügyeleti csoportokkal.
Feljegyzés
Ez a cikk a személyes adatok eszközről vagy szolgáltatásból való törlésének lépéseit ismerteti, és a GDPR szerinti kötelezettségek támogatására használható. A GDPR-rel kapcsolatos általános információkért tekintse meg a Microsoft Adatvédelmi központ GDPR szakaszát és a Szolgáltatás megbízhatósági portáljának GDPR szakaszát.
Fontos
Az Azure Resource Manager felhasználói jogkivonatai és felügyeleticsoport-gyorsítótára 30 percig tart, mielőtt frissítésre kényszerítené őket. Egy felügyeleti csoport vagy előfizetés áthelyezése után akár 30 percet is igénybe vehet a megjelenítés. A frissítések gyorsabb megtekintéséhez frissítenie kell a jogkivonatot a böngésző frissítésével, a bejelentkezéssel és a kijelentkezéssel, vagy egy új jogkivonat kérésével.
Fontos
Az AzManagementGroup-hoz kapcsolódó Az PowerShell-parancsmagok megemlítik, hogy a -GroupId a -GroupName paraméter aliasa, így bármelyikével megadhatjuk a felügyeleti csoport azonosítóját sztringértékként.
Felügyeleti csoport nevének módosítása
A felügyeleti csoport nevét a portál, a PowerShell vagy az Azure CLI használatával módosíthatja.
A név módosítása a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.
Válassza ki az átnevezni kívánt felügyeleti csoportot.
Válassza ki a részleteket.
Válassza a csoport átnevezése lehetőséget a lap tetején.
Amikor megnyílik a menü, adja meg a megjeleníteni kívánt új nevet.
Válassza a Mentés lehetőséget.
A név módosítása a PowerShellben
A megjelenítendő név frissítéséhez használja az Update-AzManagementGroup parancsot. Ha például egy felügyeleti csoport megjelenítendő nevét a "Contoso IT" névről "Contoso-csoportra" szeretné módosítani, futtassa a következő parancsot:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
A név módosítása az Azure CLI-ben
Az Azure CLI-hez használja a frissítési parancsot.
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Felügyeleti csoport törlése
Felügyeleti csoport törléséhez az alábbi követelményeknek kell megfelelni:
A felügyeleti csoport alatt nincsenek gyermekfelügyeleti csoportok vagy előfizetések. Ha egy előfizetést vagy felügyeleti csoportot egy másik felügyeleti csoportba szeretne áthelyezni, olvassa el a felügyeleti csoportok és előfizetések áthelyezése a hierarchiában című témakört.
Írási engedélyekre van szüksége a felügyeleti csoporthoz ("Tulajdonos", "Közreműködő" vagy "Felügyeleti csoport közreműködője"). Ha meg szeretné tekinteni, hogy milyen engedélyekkel rendelkezik, válassza ki a felügyeleti csoportot, majd válassza az IAM lehetőséget. További információ az Azure-szerepkörökről: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).
Törlés a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.
Válassza ki a törölni kívánt felügyeleti csoportot.
Válassza ki a részleteket.
Válassza a Törlés elemet
Tipp.
Ha az ikon le van tiltva, az egérválasztót az ikonra mutatva látható az ok.
Megnyílik egy ablak, amely megerősíti, hogy törölni szeretné a felügyeleti csoportot.
Válassza az Igen lehetőséget.
Törlés a PowerShellben
A Felügyeleti csoportok törléséhez használja a PowerShell Remove-AzManagementGroup parancsát.
Remove-AzManagementGroup -GroupId 'Contoso'
Törlés az Azure CLI felületen
Az Azure CLI-vel használja az az account management-group delete parancsot.
az account management-group delete --name 'Contoso'
Felügyeleti csoportok megtekintése
Megtekintheti a közvetlen vagy örökölt Azure-szerepkörrel rendelkező felügyeleti csoportokat.
Megtekintés a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.
A felügyeleti csoport hierarchialapja be fog töltődni. Ezen a lapon ismerheti meg az összes olyan felügyeleti csoportot és előfizetést, amelyhez hozzáférése van. A csoportnév kiválasztása a hierarchia egy alacsonyabb szintjére viszi. A navigáció ugyanúgy működik, mint egy fájlkezelő.
A felügyeleti csoport részleteinek megtekintéséhez válassza a felügyeleti csoport címe melletti (részletek) hivatkozást. Ha ez a hivatkozás nem érhető el, nincs engedélye a felügyeleti csoport megtekintésére.
Nézet a PowerShellben
Az összes csoport lekéréséhez használja a Get-AzManagementGroup parancsot. A GET PowerShell-parancsok felügyeleti csoport teljes listájáért tekintse meg az Az.Resources-modulokat .
Get-AzManagementGroup
Egyetlen felügyeleti csoport információihoz használja a -GroupId paramétert
Get-AzManagementGroup -GroupId 'Contoso'
Ha egy adott felügyeleti csoportot és az alatta lévő hierarchia összes szintjét vissza szeretné adni, használja a -Expand és a -Recurse paramétereket.
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Megtekintés az Azure CLI-ben
A lista paranccsal lekérheti az összes csoportot.
az account management-group list
Egyetlen felügyeleti csoport adatainak megjelenítéséhez használja a megjelenítési parancsot
az account management-group show --name 'Contoso'
Ha egy adott felügyeleti csoportot és az alatta lévő hierarchia összes szintjét vissza szeretné adni, használja a -Expand és a -Recurse paramétereket.
az account management-group show --name 'Contoso' -e -r
Felügyeleti csoportok és előfizetések áthelyezése
A felügyeleti csoport létrehozásának egyik oka az előfizetések összekapcsolása. Csak felügyeleti csoportok és előfizetések hozhatók létre egy másik felügyeleti csoport gyermekeivé. A felügyeleti csoportba áthelyezett előfizetés a szülő felügyeleti csoporttól örökli az összes felhasználói hozzáférést és házirendet. Az előfizetéseket áthelyezheti a felügyeleti csoportok között. Vegye figyelembe, hogy egy előfizetéshez csak egy szülő felügyeleti csoport tartozhat.
Ha egy felügyeleti csoportot vagy előfizetést egy másik felügyeleti csoport gyermekének helyez át, három szabályt kell igazként értékelni.
Ha az áthelyezési műveletet hajtja végre, az alábbi rétegek mindegyikéhez engedélyre van szüksége:
- Gyermek-előfizetés / felügyeleti csoport
Microsoft.management/managementgroups/write
Microsoft.management/managementgroups/subscriptions/write
(csak előfizetések esetén)Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete
Microsoft.Management/register/action
- Cél szülő felügyeleti csoport
Microsoft.management/managementgroups/write
- Aktuális szülő felügyeleti csoport
Microsoft.management/managementgroups/write
Kivétel: Ha a cél vagy a meglévő szülő felügyeleti csoport a gyökérszintű felügyeleti csoport, az engedélykövetelmények nem érvényesek. Mivel az összes új felügyeleti csoport és előfizetés esetében a gyökérszintű felügyeleti csoport az alapértelmezett kezdőhely, nincs szükség az elemek áthelyezéséhez szükséges engedélyekre.
Ha az előfizetés tulajdonosi szerepköre az aktuális felügyeleti csoporttól öröklődik, az áthelyezési célok korlátozottak. Az előfizetést csak egy másik felügyeleti csoportba helyezheti át, ahol tulajdonosi szerepköre van. Nem helyezheti át az előfizetést olyan felügyeleti csoportba, ahol csak közreműködő, mert elveszíti az előfizetés tulajdonjogát. Ha közvetlenül az előfizetés tulajdonosi szerepköréhez van rendelve, áthelyezheti azt bármely olyan felügyeleti csoportba, ahol Ön közreműködő.
Ha meg szeretné tekinteni, hogy milyen engedélyekkel rendelkezik az Azure Portalon, válassza ki a felügyeleti csoportot, majd válassza az IAM lehetőséget. További információ az Azure-szerepkörökről: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).
Előfizetések áthelyezése
Meglévő előfizetés hozzáadása felügyeleti csoporthoz a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.
Válassza ki azt a felügyeleti csoportot, amely a szülőnek készül.
A lap tetején válassza az Előfizetés hozzáadása lehetőséget.
Válassza ki a megfelelő azonosítóval rendelkező előfizetést a listában.
Válassza a "Mentés" lehetőséget.
Előfizetés eltávolítása egy felügyeleti csoportból a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.
Válassza ki azt a felügyeleti csoportot, amelyet az aktuális szülőnek tervez.
Jelölje ki az áthelyezni kívánt előfizetés sorának végén található három pontot.
Válassza az Áthelyezés lehetőséget.
A megnyíló menüben válassza a Szülő felügyeleti csoportot.
Válassza a Mentés lehetőséget.
Előfizetések áthelyezése a PowerShellben
Ha át szeretne helyezni egy előfizetést a PowerShellben, használja a New-AzManagementGroupSubscription parancsot.
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Az előfizetés és a felügyeleti csoport közötti kapcsolat eltávolításához használja a Remove-AzManagementGroupSubscription parancsot.
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Előfizetések áthelyezése az Azure CLI-ben
Ha át szeretne helyezni egy előfizetést a parancssori felületen, használja a Hozzáadás parancsot.
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Ha el szeretné távolítani az előfizetést a felügyeleti csoportból, használja az előfizetés-eltávolítás parancsot.
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Előfizetések áthelyezése ARM-sablonban
Ha egy előfizetést egy Azure Resource Manager-sablonban (ARM-sablonban) szeretne áthelyezni, használja az alábbi sablont, és telepítse bérlői szinten.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Vagy a következő Bicep-fájl.
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Felügyeleti csoportok áthelyezése
Felügyeleti csoportok áthelyezése a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.
Válassza ki azt a felügyeleti csoportot, amely a szülőnek készül.
A lap tetején válassza a Felügyeleti csoport hozzáadása lehetőséget.
A megnyíló menüben válassza ki, hogy új vagy meglévő felügyeleti csoportot szeretne-e használni.
- Az új kijelöléssel létrejön egy új felügyeleti csoport.
- Ha kiválaszt egy meglévőt, megjelenik a felügyeleti csoportba áthelyezhető összes felügyeleti csoport legördülő listája.
Válassza a Mentés lehetőséget.
Felügyeleti csoportok áthelyezése a PowerShellben
A PowerShell Update-AzManagementGroup parancsával áthelyezhet egy felügyeleti csoportot egy másik csoport alá.
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Felügyeleti csoportok áthelyezése az Azure CLI-ben
A frissítési paranccsal áthelyezhet egy felügyeleti csoportot az Azure CLI-vel.
az account management-group update --name 'Contoso' --parent ContosoIT
Felügyeleti csoportok naplózása tevékenységnaplókkal
A felügyeleti csoportok támogatottak az Azure-tevékenységnaplóban. Az összes olyan eseményt lekérdezheti, amely egy felügyeleti csoportnál történik ugyanazon a központi helyen, mint a többi Azure-erőforrás. Például megtekintheti egy adott felügyeleti csoporthoz tartozó összes szerepkör-hozzárendelés vagy szabályzat-hozzárendelés módosításait.
Az Azure Portalon kívüli felügyeleti csoportok lekérdezésekor a felügyeleti csoportok célhatóköre a következőhöz hasonlóan néz ki: "/ providers/Microsoft.Management/managementGroups/{yourMgID}".
Felügyeleti csoportok hivatkozása más erőforrás-szolgáltatóktól
Ha más erőforrás-szolgáltató műveleteiből hivatkozik felügyeleti csoportokra, használja az alábbi elérési utat hatókörként. Ez az elérési út a PowerShell, az Azure CLI és a REST API-k használatakor használható.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Az elérési út használatára példa, ha új szerepkör-hozzárendelést rendel egy felügyeleti csoporthoz a PowerShellben:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Ugyanez a hatókör-elérési út használható egy felügyeleti csoport házirenddefiníciójának lekéréséhez.
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Következő lépések
A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd:
- Felügyeleti csoportok létrehozása az Azure-erőforrások rendszerezéséhez
- Felügyeleti csoportok módosítása, törlése és kezelése
- Felügyeleti csoportok áttekintése az Azure PowerShell Erőforrások moduljában
- Felügyeleti csoportok áttekintése a REST API-ban
- Felügyeleti csoportok áttekintése az Azure CLI-ben