Organizzazione dei gruppi di gestione e delle sottoscrizioniManagement group and subscription organization

Diagramma che mostra la gerarchia del gruppo di gestione.

Figura 1: gerarchia del gruppo di gestione.Figure 1: Management group hierarchy.

Definire una gerarchia dei gruppi di gestioneDefine a management group hierarchy

Le strutture dei gruppi di gestione all'interno di un tenant di Azure Active Directory (Azure AD) supportano la mappatura dell'organizzazione e devono essere valutate con attenzione quando un'organizzazione pianifica l'adozione di Azure su larga scala.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and must be considered thoroughly when an organization plans Azure adoption at scale.

Considerazioni sulla progettazione:Design considerations:

  • I gruppi di gestione possono essere usati per aggregare le assegnazioni di criteri e iniziative tramite criteri di Azure.Management groups can be used to aggregate policy and initiative assignments via Azure Policy.
  • Un albero del gruppo di gestione può supportare fino a sei livelli di profondità.A management group tree can support up to six levels of depth. Questo limite non include il livello radice del tenant o il livello di sottoscrizione.This limit doesn't include the tenant root level or the subscription level.
  • Qualsiasi entità (utente, entità servizio) in un tenant di Azure AD può creare nuovi gruppi di gestione perché l'autorizzazione RBAC per le operazioni del gruppo di gestione non è abilitata per impostazione predefinita.Any principal (user, service principal) within an Azure AD tenant can create new management groups as RBAC authorization for management group operations is not enabled by default.
  • Per impostazione predefinita, tutte le nuove sottoscrizioni verranno inserite nel gruppo di gestione radice.All new subscription will be placed under the root management group by default.

Suggerimenti per la progettazione:Design recommendations:

  • È consigliabile lasciare la gerarchia del gruppo di gestione ragionevolmente piatta senza più di tre o quattro livelli, idealmente.Keep the management group hierarchy reasonably flat with no more than three to four levels, ideally. Questa restrizione riduce il sovraccarico e la complessità di gestione.This restriction reduces management overhead and complexity.
  • Evitare di duplicare la struttura organizzativa in una gerarchia di gruppi di gestione profondamente nidificata.Avoid duplicating your organizational structure into a deeply nested management group hierarchy. I gruppi di gestione devono essere usati per l'assegnazione dei criteri rispetto alla fatturazione.Management groups should be used for policy assignment versus billing purposes. Questo approccio richiede l'uso di gruppi di gestione per lo scopo designato nell'architettura di livello aziendale, che fornisce criteri di Azure per i carichi di lavoro che richiedono lo stesso tipo di sicurezza e conformità nello stesso livello del gruppo di gestione.This approach necessitates using management groups for their intended purpose in enterprise-scale architecture, which is providing Azure policies for workloads that require the same type of security and compliance under the same management group level.
  • Creare gruppi di gestione nel gruppo di gestione a livello di radice per rappresentare i tipi di carichi di lavoro (archetipi) che saranno ospitati e quelli in base alle esigenze di sicurezza, conformità, connettività e funzionalità.Create management groups under your root-level management group to represent the types of workloads (archetype) that you'll host and ones based on their security, compliance, connectivity, and feature needs. Questa struttura di raggruppamento consente di avere un set di criteri di Azure applicati a livello di gruppo di gestione per tutti i carichi di lavoro che richiedono le stesse impostazioni di sicurezza, conformità, connettività e funzionalità.This grouping structure allows you to have a set of Azure policies applied at the management group level for all workloads that require the same security, compliance, connectivity, and feature settings.
  • Usare i tag delle risorse, che possono essere applicati o accodati tramite Criteri di Azure, per eseguire query e spostarsi orizzontalmente nella gerarchia dei gruppi di gestione.Use resource tags, which can be enforced or appended through Azure Policy, to query and horizontally navigate across the management group hierarchy. È quindi possibile raggruppare le risorse per le esigenze di ricerca senza dover usare una gerarchia dei gruppi di gestione complessa.Then you can group resources for search needs without having to use a complex management group hierarchy.
  • Creare un gruppo di gestione sandbox di primo livello per consentire agli utenti di sperimentare immediatamente Azure.Create a top-level sandbox management group to allow users to immediately experiment with Azure. Gli utenti possono poi sperimentare le risorse che potrebbero non essere ancora consentite negli ambienti di produzione.Users can then experiment with resources that might not yet be allowed in production environments. Sandbox offre l'isolamento dagli ambienti di sviluppo, test e produzione.The sandbox provides isolation from your development, test, and production environments.
    • Per ulteriori informazioni sul gruppo di gestione sandbox di primo livello, esaminare le linee guidaper l'implementazione.For further guidance of the top-level sandbox management group review the implementation guidelines.
  • Usare un nome dell'entità servizio (SPN) dedicato per eseguire operazioni di gestione dei gruppi di gestione, operazioni di gestione delle sottoscrizioni e assegnazione di ruoli.Use a dedicated service principal name (SPN) to execute management group management operations, subscription management operations, and role assignment. L'uso di un nome SPN riduce il numero di utenti con diritti elevati e segue le linee guida dei privilegi minimi.Using an SPN reduces the number of users who have elevated rights and follows least-privilege guidelines.
  • Assegnare il User Access Administrator ruolo controllo degli accessi in base al ruolo di Azure (RBAC) nell'ambito del gruppo di gestione radice ( / ) per concedere al nome SPN appena specificato l'accesso a livello di radice.Assign the User Access Administrator Azure role-based access control (RBAC) role at the root management group scope (/) to grant the SPN just mentioned access at the root level. Quando al nome SPN vengono concesse le autorizzazioni, il User Access Administrator ruolo può essere rimosso in modo sicuro.After the SPN is granted permissions, the User Access Administrator role can be safely removed. In questo modo, solo il nome SPN fa parte del User Access Administrator ruolo.In this way, only the SPN is part of the User Access Administrator role.
  • Assegnare Contributor l'autorizzazione al nome SPN precedentemente indicato nell'ambito del gruppo di gestione radice ( / ), che consente operazioni a livello di tenant.Assign Contributor permission to the SPN previously mentioned at the root management group scope (/), which allows tenant-level operations. Questo livello di autorizzazione garantisce che il nome SPN possa essere usato per distribuire e gestire le risorse in qualsiasi sottoscrizione all'interno dell'organizzazione.This permission level ensures that the SPN can be used to deploy and manage resources to any subscription within your organization.
  • Creare un Platform gruppo di gestione nel gruppo di gestione radice per supportare i criteri comuni della piattaforma e l'assegnazione RBAC.Create a Platform management group under the root management group to support common platform policy and RBAC assignment. Questa struttura di raggruppamento garantisce che è possibile applicare criteri diversi alle sottoscrizioni usate per la base di Azure.This grouping structure ensures that different policies can be applied to the subscriptions used for your Azure foundation. Garantisce anche che la fatturazione per le risorse comuni sia centralizzata in un unico set di sottoscrizioni di base.It also ensures that the billing for common resources is centralized in one set of foundational subscriptions.
  • Limitare il numero di assegnazioni di criteri di Azure effettuate nell'ambito del gruppo di gestione radice ( / ).Limit the number of Azure Policy assignments made at the root management group scope (/). Questa limitazione riduce al minimo il debug di criteri ereditati in gruppi di gestione di basso livello.This limitation minimizes debugging inherited policies in lower-level management groups.
  • Assicurarsi che solo gli utenti con privilegi possano usare i gruppi di gestione nel tenant abilitando l'autorizzazione RBAC nelle impostazioni della gerarchia del gruppo di gestione.Ensure only privileged users can operate management groups in the tenant by enabling RBAC authorization in the management group hierarchy settings.
  • Configurare un gruppo di gestione dedicato predefinito per le nuove sottoscrizioni per assicurarsi che non vengano inserite sottoscrizioni nel gruppo di gestione radice.Configure a default, dedicated management group for new subscriptions to ensure no subscriptions are placed under the root management group.

Organizzazione e governance delle sottoscrizioniSubscription organization and governance

Le sottoscrizioni sono un'unità di gestione, fatturazione e scalabilità in Azure.Subscriptions are a unit of management, billing, and scale within Azure. Svolgono un ruolo fondamentale durante la progettazione per l'adozione di Azure su larga scala.They play a critical role when you're designing for large-scale Azure adoption. Questa sezione illustra come acquisire i requisiti di sottoscrizione e progettare sottoscrizioni di destinazione in base a fattori critici.This section helps you capture subscription requirements and design target subscriptions based on critical factors. Questi fattori sono il tipo di ambiente, il modello di proprietà e governance, la struttura organizzativa e i portfolio di applicazioni.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

Considerazioni sulla progettazione:Design considerations:

  • Le sottoscrizioni vengono utilizzate come limiti per l'assegnazione di criteri di Azure.Subscriptions serve as boundaries for assigning Azure policies. Ad esempio, i carichi di lavoro protetti, ad esempio i carichi di lavoro del settore della carta di pagamento (PCI), richiedono in genere criteri aggiuntivi per ottenere la conformità.For example, secure workloads such as payment card industry (PCI) workloads typically require additional policies to achieve compliance. Anziché usare un gruppo di gestione per raggruppare i carichi di lavoro che richiedono la conformità PCI, è possibile ottenere lo stesso isolamento con una sottoscrizione.Instead of using a management group to group workloads that require PCI compliance, you can achieve the same isolation with a subscription. In questo modo, non sono disponibili troppi gruppi di gestione con un numero ridotto di sottoscrizioni.This way, you don't have too many management groups with a small number of subscriptions.
  • Le sottoscrizioni vengono usate come unità di scala in modo che i carichi di lavoro dei componenti possano essere ridimensionati entro i limiti delle sottoscrizioniSubscriptions serve as a scale unit so that component workloads can scale within the platform subscription limits. Assicurarsi di prendere in considerazione i limiti delle risorse di sottoscrizione durante le sessioni di progettazione del carico di lavoro.Make sure to consider subscription resource limits during your workload design sessions.
  • Le sottoscrizioni specificano un limite di gestione per governance e isolamento, che consente di creare una netta separazione delle problematiche.Subscriptions provide a management boundary for governance and isolation, which creates a clear separation of concerns.
  • È disponibile un processo manuale, un'automazione futura pianificata, che può essere eseguita per limitare un tenant di Azure AD per l'uso di Enterprise Agreement solo sottoscrizioni di registrazione.There's a manual process, planned future automation, that can be conducted to limit an Azure AD tenant to use only Enterprise Agreement enrollment subscriptions. Questo processo impedisce la creazione di sottoscrizioni Microsoft Developer Network nell'ambito del gruppo di gestione radice.This process prevents creation of Microsoft Developer Network subscriptions at the root management group scope.

Suggerimenti per la progettazione:Design recommendations:

  • Considera le sottoscrizioni come un'unità di gestione democratizzata allineata alle esigenze e alle priorità aziendali.Treat subscriptions as a democratized unit of management aligned with business needs and priorities.
  • Rendere i proprietari delle sottoscrizioni consapevoli dei propri ruoli e responsabilità:Make subscription owners aware of their roles and responsibilities:
    • Eseguire una verifica di accesso in Azure AD Privileged Identity Management trimestralmente o due volte all'anno per assicurarsi che i privilegi non proliferino quando gli utenti si spostano all'interno dell'organizzazione del cliente.Perform an access review in Azure AD Privileged Identity Management quarterly or twice a year to ensure that privileges don't proliferate as users move within the customer organization.
    • Avere la piena responsabilità della spesa e dell'utilizzo delle risorse del budget.Take full ownership of budget spending and resource utilization.
    • Garantire la conformità dei criteri e, se necessario, apportare le correzioni necessarie.Ensure policy compliance and remediate when necessary.
  • Quando si identificano i requisiti per le nuove sottoscrizioni, usare i principi seguenti:Use the following principles when identifying requirements for new subscriptions:
    • Limiti di scalabilità: Le sottoscrizioni vengono usate come unità di scala per carichi di lavoro di componenti per la scalabilità entro i limiti della sottoscrizione della piattaformaScale limits: Subscriptions serve as a scale unit for component workloads to scale within platform subscription limits. Ad esempio, i carichi di lavoro specializzati di grandi dimensioni, come l'elaborazione ad alte prestazioni, IoT e SAP, sono più adatti per l'uso di sottoscrizioni separate per evitare limiti, ad esempio il limite di 50 integrazioni di Azure Data Factory.For example, large, specialized workloads such as high-performance computing, IoT, and SAP are all better suited to use separate subscriptions to avoid limits (such as a limit of 50 Azure Data Factory integrations).
    • Limite di gestione: Le sottoscrizioni forniscono un limite di gestione per la governance e l'isolamento, che consente una netta separazione delle problematiche.Management boundary: Subscriptions provide a management boundary for governance and isolation, which allows for a clear separation of concerns. Ad esempio, diversi ambienti come sviluppo, test e produzione, sono spesso isolati dal punto di vista della gestione.For example, different environments such as development, test, and production are often isolated from a management perspective.
    • Limite criteri: Le sottoscrizioni vengono utilizzate come limite per l'assegnazione di criteri di Azure.Policy boundary: Subscriptions serve as a boundary for the assignment of Azure policies. Ad esempio, la protezione dei carichi di lavoro, come ad esempio i carichi di lavoro PCI, richiede in genere criteri aggiuntivi per ottenere la conformità.For example, secure workloads such as PCI typically require additional policies to achieve compliance. Questo carico aggiuntivo non deve essere considerato olisticamente se viene usata una sottoscrizione separata.This additional overhead doesn't need to be considered holistically if a separate subscription is used. Analogamente, gli ambienti di sviluppo potrebbero avere requisiti di criteri più flessibili rispetto agli ambienti di produzione.Similarly, development environments might have more relaxed policy requirements relative to production environments.
    • Topologia di rete di destinazione: Le reti virtuali non possono essere condivise tra le sottoscrizioni, ma possono connettersi con tecnologie diverse, ad esempio il peering di rete virtuale o Azure ExpressRoute.Target network topology: Virtual networks can't be shared across subscriptions, but they can connect with different technologies such as virtual network peering or Azure ExpressRoute. Per decidere se è necessaria una nuova sottoscrizione, valutare quali carichi di lavoro debbano comunicare tra loro.Consider which workloads must communicate with each other when you decide whether a new subscription is required.
  • Raggruppare le sottoscrizioni in gruppi di gestione allineati nella struttura dei gruppi di gestione e nei requisiti dei criteri su larga scala.Group subscriptions together under management groups aligned within the management group structure and policy requirements at scale. Il raggruppamento garantisce che le sottoscrizioni con lo stesso set di criteri e assegnazioni del ruolo di Controllo degli accessi in base al ruolo possano ereditarli da un gruppo di gestione, evitando le assegnazioni duplicate.Grouping ensures that subscriptions with the same set of policies and RBAC assignments can inherit them from a management group, which avoids duplicate assignments.
  • Stabilire una sottoscrizione di gestione dedicata nel Platform gruppo di gestione per supportare le funzionalità di gestione globali, ad esempio monitoraggio di azure log Analytics aree di lavoro e manuali operativi di automazione di Azure.Establish a dedicated management subscription in the Platform management group to support global management capabilities such as Azure Monitor Log Analytics workspaces and Azure Automation runbooks.
  • Stabilire una sottoscrizione di identità dedicata nel Platform gruppo di gestione per ospitare i controller di dominio di Windows server Active Directory, se necessario.Establish a dedicated identity subscription in the Platform management group to host Windows server Active Directory domain controllers, when necessary.
  • Stabilire una sottoscrizione di connettività dedicata nel Platform gruppo di gestione per ospitare un hub WAN virtuale di Azure, un Domain Name System privato (DNS), un circuito ExpressRoute e altre risorse di rete.Establish a dedicated connectivity subscription in the Platform management group to host an Azure Virtual WAN hub, private Domain Name System (DNS), ExpressRoute circuit, and other networking resources. Una sottoscrizione dedicata garantisce che tutte le risorse di rete di base siano fatturate insieme e isolate da altri carichi di lavoro.A dedicated subscription ensures that all foundation network resources are billed together and isolated from other workloads.
  • Evitare un modello di sottoscrizione rigida e scegliere invece un set di criteri flessibili per raggruppare le sottoscrizioni all'interno dell'organizzazione.Avoid a rigid subscription model, and opt instead for a set of flexible criteria to group subscriptions across the organization. La flessibilità garantisce che, quando la struttura dell'organizzazione e la composizione del carico di lavoro cambiano, è possibile creare nuovi gruppi di sottoscrizione invece di usare un set fisso di sottoscrizioni esistenti.This flexibility ensures that as your organization's structure and workload composition changes, you can create new subscription groups instead of using a fixed set of existing subscriptions. Una dimensione non può essere adatta per tutte le sottoscrizioni.One size doesn't fit all for subscriptions. Ciò che funziona per una business unit potrebbe non funzionare per un'altra.What works for one business unit might not work for another. Alcune app potrebbero coesistere all'interno della stessa sottoscrizione della zona di destinazione, mentre altre potrebbero richiedere una propria sottoscrizione.Some apps might coexist within the same landing zone subscription while others might require their own subscription.

Configurare la quota e la capacità delle sottoscrizioniConfigure subscription quota and capacity

Ogni area di Azure contiene un numero finito di risorse.Each Azure region contains a finite number of resources. Quando si prende in considerazione l'adozione di Azure a livello aziendale che prevede quantità di risorse di grandi dimensioni, assicurarsi che siano disponibili capacità e SKU sufficienti e che sia possibile individuare e monitorare la capacità raggiunta.When you consider an enterprise-scale Azure adoption that involves large resource quantities, ensure that sufficient capacity and SKUs are available and the attained capacity can be understood and monitored.

Considerazioni sulla progettazione:Design considerations:

  • Considerare i limiti e le quote all'interno della piattaforma di Azure per ogni servizio richiesto dai carichi di lavoro,Consider limits and quotas within the Azure platform for each service that your workloads require.
  • Prendere in considerazione la disponibilità degli SKU richiesti nelle aree di Azure selezionate.Consider the availability of required SKUs within chosen Azure regions. Le nuove funzionalità, ad esempio, potrebbero essere disponibili solo in determinate aree geografiche.For example, new features might be available only in certain regions. La disponibilità di alcuni SKU per determinate risorse, ad esempio le macchine virtuali, potrebbe essere diversa da un'area all'altra.The availability of certain SKUs for given resources such as VMs might be different from one region to another.
  • Si tenga presente che le quote di sottoscrizione non sono garanzie di capacità e vengono applicate in base alle singole aree.Consider that subscription quotas aren't capacity guarantees and are applied on a per-region basis.

Suggerimenti per la progettazione:Design recommendations:

  • Usare le sottoscrizioni come unità di scala e scalare le risorse e le sottoscrizioni in modo obbligatorio.Use subscriptions as scale units, and scale out resources and subscriptions as required. Il carico di lavoro può quindi usare le risorse necessarie per tale aumento, quando necessario, senza raggiungere i limiti della sottoscrizione nella piattaforma di Azure.Your workload can then use the required resources for scaling out, when needed, without hitting subscription limits in the Azure platform.
  • Usare istanze riservate per classificare in ordine di priorità le capacità riservate nelle aree richieste.Use reserved instances to prioritize reserved capacity in required regions. Il carico di lavoro avrà quindi la capacità necessaria anche quando è presente una richiesta elevata per la risorsa in un'area specifica.Then your workload will have the required capacity even when there's a high demand for that resource in a specific region.
  • Definire un dashboard con visualizzazioni personalizzate per monitorare i livelli di capacità usati.Establish a dashboard with custom views to monitor used capacity levels. Configurare gli avvisi per quando l'uso della capacità raggiunge livelli critici, ad esempio l'uso della CPU al 90%.Set up alerts if capacity utilization is reaching critical levels (for example, 90 percent CPU utilization).
  • Generare richieste di supporto per l'aumento della quota come parte del provisioning della sottoscrizione, ad esempio per aumentare il numero totale di core VM disponibili all'interno di una sottoscrizione.Raise support requests for quota increase as a part of subscription provisioning (for example, total available VM cores within a subscription). Questo approccio assicura che i limiti di quota siano impostati prima che i carichi di lavoro richiedano il superamento dei limiti predefiniti.This approach ensures your quota limits are set before your workloads require going over the default limits.
  • Verificare che le funzionalità e i servizi necessari siano disponibili nelle aree di distribuzione selezionate.Ensure required services and features are available within the chosen deployment regions.

Definire la gestione dei costiEstablish cost management

La trasparenza dei costi in un ambiente tecnico è una sfida di gestione critica affrontata da ogni grande organizzazione aziendale.Cost transparency across a technical estate is a critical management challenge faced by every large enterprise organization. Questa sezione illustra gli aspetti principali associati alla trasparenza dei costi in ambienti di Azure di grandi dimensioni.This section explores key aspects associated with how cost transparency can be achieved across large Azure environments.

Considerazioni sulla progettazione:Design considerations:

  • Potenziali esigenze per i modelli di chargeback in cui sono interessate risorse PaaS (Platform as a Service) condivise, ad esempio ambiente del servizio app di Azure e il servizio Azure Kubernetes, che potrebbe essere necessario condividere per ottenere una maggiore densità.Potential need for chargeback models where shared platform as a service (PaaS) resources are concerned, such as Azure App Service Environment and Azure Kubernetes Service, which might need to be shared to achieve higher density.
  • Usare una pianificazione di arresto per i carichi di lavoro non di produzione per ottimizzare i costi.Use a shutdown schedule for nonproduction workloads to optimize costs.
  • Usare Azure Advisor per verificare le raccomandazioni sull'ottimizzazione dei costi.Use Azure Advisor to check cost optimization recommendations.

Suggerimenti per la progettazione:Design recommendations:

  • Usare la gestione dei costi di Azure e la fatturazione per l'aggregazione dei costi.Use Azure Cost Management and Billing for cost aggregation. renderlo disponibile ai proprietari delle applicazioni.Make it available to application owners.
  • Usare i tag delle risorse di Azure per la categorizzazione dei costi e il raggruppamento delle risorse.Use Azure resource tags for cost categorization and resource grouping. L'uso dei tag consente di avere un meccanismo di chargeback per i carichi di lavoro che condividono una sottoscrizione o per un determinato carico di lavoro che si estende su più sottoscrizioni.Using tags allows you to have a chargeback mechanism for workloads that share a subscription or for a given workload that spans across multiple subscriptions.