Azure-előfizetések nagy léptékű kezelése felügyeleti csoportokkal

Ha a cég több előfizetéssel rendelkezik, szüksége lehet egy hatékony módszerre az előfizetések hozzáférésének, szabályzatainak és megfelelőségének kezelésére. Az Azure-beli felügyeleti csoportok hatóköre az előfizetések fölötti szint. Az előfizetéseket „felügyeleti csoportok” nevű tárolókba rendezheti, és az irányítási feltételeket alkalmazhatja a felügyeleti csoportokra. A felügyeleti csoporton belüli összes előfizetés automatikusan örökli a felügyeleti csoportra alkalmazott feltételeket.

A felügyeleti csoportok nagy léptékű, nagyvállalati szintű felügyeletet tesznek lehetővé, függetlenül az előfizetése típusától. A felügyeleti csoportokkal kapcsolatos további információkért lásd : Erőforrások rendszerezése azure-beli felügyeleti csoportokkal.

Feljegyzés

Ez a cikk a személyes adatok eszközről vagy szolgáltatásból való törlésének lépéseit ismerteti, és a GDPR szerinti kötelezettségek támogatására használható. A GDPR-rel kapcsolatos általános információkért tekintse meg a Microsoft Adatvédelmi központ GDPR szakaszát és a Szolgáltatás megbízhatósági portáljának GDPR szakaszát.

Fontos

Az Azure Resource Manager felhasználói jogkivonatai és felügyeleticsoport-gyorsítótára 30 percig tart, mielőtt frissítésre kényszerítené őket. Egy felügyeleti csoport vagy előfizetés áthelyezése után akár 30 percet is igénybe vehet a megjelenítés. A frissítések gyorsabb megtekintéséhez frissítenie kell a jogkivonatot a böngésző frissítésével, a bejelentkezéssel és a kijelentkezéssel, vagy egy új jogkivonat kérésével.

Fontos

Az AzManagementGroup-hoz kapcsolódó Az PowerShell-parancsmagok megemlítik, hogy a -GroupId a -GroupName paraméter aliasa, így bármelyikével megadhatjuk a felügyeleti csoport azonosítóját sztringértékként.

Felügyeleti csoport nevének módosítása

A felügyeleti csoport nevét a portál, a PowerShell vagy az Azure CLI használatával módosíthatja.

A név módosítása a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.

3. Válassza ki az átnevezni kívánt felügyeleti csoportot.

4. Válassza ki a részleteket.

5. Válassza a csoport átnevezése lehetőséget a lap tetején.

   

6. Amikor megnyílik a menü, adja meg a megjeleníteni kívánt új nevet.

   

7. Válassza a Mentés lehetőséget.

A név módosítása a PowerShellben

A megjelenítendő név frissítéséhez használja az Update-AzManagementGroup parancsot. Ha például egy felügyeleti csoport megjelenítendő nevét a "Contoso IT" névről "Contoso-csoportra" szeretné módosítani, futtassa a következő parancsot:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

A név módosítása az Azure CLI-ben

Az Azure CLI-hez használja a frissítési parancsot.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Felügyeleti csoport törlése

Felügyeleti csoport törléséhez az alábbi követelményeknek kell megfelelni:

1. A felügyeleti csoport alatt nincsenek gyermekfelügyeleti csoportok vagy előfizetések. Ha egy előfizetést vagy felügyeleti csoportot egy másik felügyeleti csoportba szeretne áthelyezni, olvassa el a felügyeleti csoportok és előfizetések áthelyezése a hierarchiában című témakört.

2. Írási engedélyekre van szüksége a felügyeleti csoporthoz ("Tulajdonos", "Közreműködő" vagy "Felügyeleti csoport közreműködője"). Ha meg szeretné tekinteni, hogy milyen engedélyekkel rendelkezik, válassza ki a felügyeleti csoportot, majd válassza az IAM lehetőséget. További információ az Azure-szerepkörökről: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).

Törlés a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.

3. Válassza ki a törölni kívánt felügyeleti csoportot.

4. Válassza ki a részleteket.

5. Válassza a Törlés elemet

   

   Tipp.

   Ha az ikon le van tiltva, az egérválasztót az ikonra mutatva látható az ok.

6. Megnyílik egy ablak, amely megerősíti, hogy törölni szeretné a felügyeleti csoportot.

   

7. Válassza az Igen lehetőséget.

Törlés a PowerShellben

A Felügyeleti csoportok törléséhez használja a PowerShell Remove-AzManagementGroup parancsát.

Remove-AzManagementGroup -GroupId 'Contoso'

Törlés az Azure CLI felületen

Az Azure CLI-vel használja az az account management-group delete parancsot.

az account management-group delete --name 'Contoso'

Felügyeleti csoportok megtekintése

Megtekintheti a közvetlen vagy örökölt Azure-szerepkörrel rendelkező felügyeleti csoportokat.

Megtekintés a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.

3. A felügyeleti csoport hierarchialapja be fog töltődni. Ezen a lapon ismerheti meg az összes olyan felügyeleti csoportot és előfizetést, amelyhez hozzáférése van. A csoportnév kiválasztása a hierarchia egy alacsonyabb szintjére viszi. A navigáció ugyanúgy működik, mint egy fájlkezelő.

4. A felügyeleti csoport részleteinek megtekintéséhez válassza a felügyeleti csoport címe melletti (részletek) hivatkozást. Ha ez a hivatkozás nem érhető el, nincs engedélye a felügyeleti csoport megtekintésére.

   

Nézet a PowerShellben

Az összes csoport lekéréséhez használja a Get-AzManagementGroup parancsot. A GET PowerShell-parancsok felügyeleti csoport teljes listájáért tekintse meg az Az.Resources-modulokat .

Get-AzManagementGroup

Egyetlen felügyeleti csoport információihoz használja a -GroupId paramétert

Get-AzManagementGroup -GroupId 'Contoso'

Ha egy adott felügyeleti csoportot és az alatta lévő hierarchia összes szintjét vissza szeretné adni, használja a -Expand és a -Recurse paramétereket.

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Megtekintés az Azure CLI-ben

A lista paranccsal lekérheti az összes csoportot.

az account management-group list

Egyetlen felügyeleti csoport adatainak megjelenítéséhez használja a megjelenítési parancsot

az account management-group show --name 'Contoso'

Ha egy adott felügyeleti csoportot és az alatta lévő hierarchia összes szintjét vissza szeretné adni, használja a -Expand és a -Recurse paramétereket.

az account management-group show --name 'Contoso' -e -r

Felügyeleti csoportok és előfizetések áthelyezése

A felügyeleti csoport létrehozásának egyik oka az előfizetések összekapcsolása. Csak felügyeleti csoportok és előfizetések hozhatók létre egy másik felügyeleti csoport gyermekeivé. A felügyeleti csoportba áthelyezett előfizetés a szülő felügyeleti csoporttól örökli az összes felhasználói hozzáférést és házirendet. Az előfizetéseket áthelyezheti a felügyeleti csoportok között. Vegye figyelembe, hogy egy előfizetéshez csak egy szülő felügyeleti csoport tartozhat.

Ha egy felügyeleti csoportot vagy előfizetést egy másik felügyeleti csoport gyermekének helyez át, három szabályt kell igazként értékelni.

Ha az áthelyezési műveletet hajtja végre, az alábbi rétegek mindegyikéhez engedélyre van szüksége:

• Gyermek-előfizetés / felügyeleti csoport
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (csak előfizetések esetén)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Cél szülő felügyeleti csoport
  • Microsoft.management/managementgroups/write
• Aktuális szülő felügyeleti csoport
  • Microsoft.management/managementgroups/write

Kivétel: Ha a cél vagy a meglévő szülő felügyeleti csoport a gyökérszintű felügyeleti csoport, az engedélykövetelmények nem érvényesek. Mivel az összes új felügyeleti csoport és előfizetés esetében a gyökérszintű felügyeleti csoport az alapértelmezett kezdőhely, nincs szükség az elemek áthelyezéséhez szükséges engedélyekre.

Ha az előfizetés tulajdonosi szerepköre az aktuális felügyeleti csoporttól öröklődik, az áthelyezési célok korlátozottak. Az előfizetést csak egy másik felügyeleti csoportba helyezheti át, ahol tulajdonosi szerepköre van. Nem helyezheti át az előfizetést olyan felügyeleti csoportba, ahol csak közreműködő, mert elveszíti az előfizetés tulajdonjogát. Ha közvetlenül az előfizetés tulajdonosi szerepköréhez van rendelve, áthelyezheti azt bármely olyan felügyeleti csoportba, ahol Ön közreműködő.

Ha meg szeretné tekinteni, hogy milyen engedélyekkel rendelkezik az Azure Portalon, válassza ki a felügyeleti csoportot, majd válassza az IAM lehetőséget. További információ az Azure-szerepkörökről: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).

Előfizetések áthelyezése

Meglévő előfizetés hozzáadása felügyeleti csoporthoz a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.

3. Válassza ki azt a felügyeleti csoportot, amely a szülőnek készül.

4. A lap tetején válassza az Előfizetés hozzáadása lehetőséget.

5. Válassza ki a megfelelő azonosítóval rendelkező előfizetést a listában.

   

6. Válassza a "Mentés" lehetőséget.

Előfizetés eltávolítása egy felügyeleti csoportból a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.

3. Válassza ki azt a felügyeleti csoportot, amelyet az aktuális szülőnek tervez.

4. Jelölje ki az áthelyezni kívánt előfizetés sorának végén található három pontot.

   

5. Válassza az Áthelyezés lehetőséget.

6. A megnyíló menüben válassza a Szülő felügyeleti csoportot.

   

7. Válassza a Mentés lehetőséget.

Előfizetések áthelyezése a PowerShellben

Ha át szeretne helyezni egy előfizetést a PowerShellben, használja a New-AzManagementGroupSubscription parancsot.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Az előfizetés és a felügyeleti csoport közötti kapcsolat eltávolításához használja a Remove-AzManagementGroupSubscription parancsot.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Előfizetések áthelyezése az Azure CLI-ben

Ha át szeretne helyezni egy előfizetést a parancssori felületen, használja a Hozzáadás parancsot.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Ha el szeretné távolítani az előfizetést a felügyeleti csoportból, használja az előfizetés-eltávolítás parancsot.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Előfizetések áthelyezése ARM-sablonban

Ha egy előfizetést egy Azure Resource Manager-sablonban (ARM-sablonban) szeretne áthelyezni, használja az alábbi sablont, és telepítse bérlői szinten.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Vagy a következő Bicep-fájl.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Felügyeleti csoportok áthelyezése

Felügyeleti csoportok áthelyezése a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatásfelügyeleti>csoport lehetőséget.

3. Válassza ki azt a felügyeleti csoportot, amely a szülőnek készül.

4. A lap tetején válassza a Felügyeleti csoport hozzáadása lehetőséget.

5. A megnyíló menüben válassza ki, hogy új vagy meglévő felügyeleti csoportot szeretne-e használni.

   • Az új kijelöléssel létrejön egy új felügyeleti csoport.
   • Ha kiválaszt egy meglévőt, megjelenik a felügyeleti csoportba áthelyezhető összes felügyeleti csoport legördülő listája.

   

6. Válassza a Mentés lehetőséget.

Felügyeleti csoportok áthelyezése a PowerShellben

A PowerShell Update-AzManagementGroup parancsával áthelyezhet egy felügyeleti csoportot egy másik csoport alá.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Felügyeleti csoportok áthelyezése az Azure CLI-ben

A frissítési paranccsal áthelyezhet egy felügyeleti csoportot az Azure CLI-vel.

az account management-group update --name 'Contoso' --parent ContosoIT

Felügyeleti csoportok naplózása tevékenységnaplókkal

A felügyeleti csoportok támogatottak az Azure-tevékenységnaplóban. Az összes olyan eseményt lekérdezheti, amely egy felügyeleti csoportnál történik ugyanazon a központi helyen, mint a többi Azure-erőforrás. Például megtekintheti egy adott felügyeleti csoporthoz tartozó összes szerepkör-hozzárendelés vagy szabályzat-hozzárendelés módosításait.

Az Azure Portalon kívüli felügyeleti csoportok lekérdezésekor a felügyeleti csoportok célhatóköre a következőhöz hasonlóan néz ki: "/ providers/Microsoft.Management/managementGroups/{yourMgID}".

Felügyeleti csoportok hivatkozása más erőforrás-szolgáltatóktól

Ha más erőforrás-szolgáltató műveleteiből hivatkozik felügyeleti csoportokra, használja az alábbi elérési utat hatókörként. Ez az elérési út a PowerShell, az Azure CLI és a REST API-k használatakor használható.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Az elérési út használatára példa, ha új szerepkör-hozzárendelést rendel egy felügyeleti csoporthoz a PowerShellben:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Ugyanez a hatókör-elérési út használható egy felügyeleti csoport házirenddefiníciójának lekéréséhez.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Következő lépések

A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd:

• Felügyeleti csoportok létrehozása az Azure-erőforrások rendszerezéséhez
• Felügyeleti csoportok módosítása, törlése és kezelése
• Felügyeleti csoportok áttekintése az Azure PowerShell Erőforrások moduljában
• Felügyeleti csoportok áttekintése a REST API-ban
• Felügyeleti csoportok áttekintése az Azure CLI-ben