Organizzare le risorse con i gruppi di gestione di AzureOrganize your resources with Azure management groups

Se l'organizzazione dispone di molte sottoscrizioni, potrebbe essere necessario gestire in modo efficace l'accesso, i criteri e la conformità per tali sottoscrizioni.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. I gruppi di gestione di Azure forniscono un livello di ambito oltre le sottoscrizioni.Azure management groups provide a level of scope above subscriptions. Le sottoscrizioni sono organizzate in contenitori chiamati "gruppi di gestione" a cui vengono applicate le condizioni di governance.You organize subscriptions into containers called "management groups" and apply your governance conditions to the management groups. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo di gestione.All subscriptions within a management group automatically inherit the conditions applied to the management group. I gruppi di gestione offrono gestione di livello aziendale su larga scala, indipendentemente dal tipo di sottoscrizioni che si posseggono.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have. Tutte le sottoscrizioni all'interno di un singolo gruppo di gestione devono considerare attendibile lo stesso tenant di Azure Active Directory.All subscriptions within a single management group must trust the same Azure Active Directory tenant.

Ad esempio, è possibile applicare a un gruppo di gestione criteri che limitano le aree disponibili per la creazione di macchine virtuali (VM).For example, you can apply policies to a management group that limits the regions available for virtual machine (VM) creation. Questi criteri verranno applicati a tutti i gruppi di gestione, le sottoscrizioni e le risorse all'interno del gruppo, consentendo la creazione di macchine virtuali esclusivamente in tale area.This policy would be applied to all management groups, subscriptions, and resources under that management group by only allowing VMs to be created in that region.

Gerarchia di gruppi di gestione e sottoscrizioniHierarchy of management groups and subscriptions

È possibile creare una struttura flessibile di gruppi di gestione e sottoscrizioni, in modo da organizzare le risorse in una gerarchia per la gestione unificata di accesso e criteri.You can build a flexible structure of management groups and subscriptions to organize your resources into a hierarchy for unified policy and access management. Il diagramma seguente mostra un esempio di creazione di una gerarchia per la governance tramite gruppi di gestione.The following diagram shows an example of creating a hierarchy for governance using management groups.

Esempio di un albero gerarchico dei gruppi di gestione

È possibile creare una gerarchia che applica un criterio, ad esempio che limita le posizioni delle VM all'area Stati Uniti occidentali nel gruppo denominato "Produzione".You can create a hierarchy that applies a policy, for example, which limits VM locations to the US West Region in the group called "Production". Questo criterio erediterà da entrambe le sottoscrizioni EA all'interno del gruppo di gestione e verrà applicato a tutte le macchine virtuali all'interno delle sottoscrizioni.This policy will inherit onto both EA subscriptions under that management group and will apply to all VMs under those subscriptions. Questo criterio di sicurezza non potrà essere modificato dal proprietario della risorsa o della sottoscrizione e garantisce così una governance migliore.This security policy cannot be altered by the resource or subscription owner allowing for improved governance.

Un altro scenario in cui è utile usare gruppi di gestione è per fornire agli utenti l'accesso a più sottoscrizioni.Another scenario where you would use management groups is to provide user access to multiple subscriptions. Spostando più sottoscrizioni all'interno del gruppo di gestione, è possibile creare un'assegnazione di controllo degli accessi in base al ruolo nel gruppo di gestione, con ereditarietà di tale accesso in tutte le sottoscrizioni.By moving multiple subscriptions under that management group, you can create one role-based access control (RBAC) assignment on the management group, which will inherit that access to all the subscriptions. Una sola assegnazione nel gruppo di gestione può consentire agli utenti di accedere a tutte le risorse necessarie invece di eseguire script di controllo degli accessi in base al ruolo per diverse sottoscrizioni.One assignment on the management group can enable users to have access to everything they need instead of scripting RBAC over different subscriptions.

Informazioni importanti sui gruppi di gestioneImportant facts about management groups

  • Una singola directory può supportare 10.000 gruppi di gestione.10,000 management groups can be supported in a single directory.
  • L'albero di un gruppo di gestione può supportare fino a sei livelli di profondità.A management group tree can support up to six levels of depth.
    • Questo limite non include il livello radice o il livello sottoscrizione.This limit doesn't include the Root level or the subscription level.
  • Ogni gruppo di gestione e sottoscrizione può supportare un solo elemento padre.Each management group and subscription can only support one parent.
  • Ogni gruppo di gestione può avere molti elementi figlio.Each management group can have many children.
  • Tutte le sottoscrizioni e i gruppi di gestione si trovano all'interno di una singola gerarchia in ogni directory.All subscriptions and management groups are within a single hierarchy in each directory. Vedere Informazioni importanti sul gruppo di gestione radice.See Important facts about the Root management group.

Gruppo di gestione radice per ogni directoryRoot management group for each directory

A ogni directory viene assegnato un gruppo di gestione principale denominato gruppo di gestione "radice".Each directory is given a single top-level management group called the "Root" management group. Questo gruppo di gestione radice è integrato nella gerarchia in modo da ricondurre al suo interno tutti i gruppi di gestione e le sottoscrizioni.This root management group is built into the hierarchy to have all management groups and subscriptions fold up to it. Il gruppo di gestione radice permette l'applicazione di criteri globali e assegnazioni di Controllo degli accessi in base al ruolo a livello di directory.This root management group allows for global policies and RBAC assignments to be applied at the directory level. Inizialmente l'Amministratore globale di Azure AD deve elevare se stesso al ruolo Amministratore Accesso utenti di questo gruppo radice.The Azure AD Global Administrator needs to elevate themselves to the User Access Administrator role of this root group initially. Dopo aver elevato l'accesso, l'amministratore può assegnare qualsiasi ruolo Controllo degli accessi in base al ruolo ad altri utenti della directory o gruppi per gestire la gerarchia.After elevating access, the administrator can assign any RBAC role to other directory users or groups to manage the hierarchy. Gli amministratori possono assegnare il proprio account come proprietario del gruppo di gestione radice.As administrator, you can assign your own account as owner of the root management group.

Informazioni importanti sul gruppo di gestione radiceImportant facts about the Root management group

  • Per impostazione predefinita, il nome visualizzato del gruppo di gestione radice è Gruppo radice tenant.By default, the root management group's display name is Tenant root group. L'ID corrisponde all'ID di Azure Active Directory.The ID is the Azure Active Directory ID.
  • Per cambiare il nome visualizzato, all'account deve essere assegnato il ruolo Proprietario o Collaboratore per il gruppo di gestione radice.To change the display name, your account must be assigned the Owner or Contributor role on the root management group. Per la procedura, vedere Modificare il nome di un gruppo di gestione.For the steps to change the name, see Change the name of a management group.
  • A differenza degli altri gruppi di gestione, il gruppo di gestione radice non può essere spostato o eliminato.The root management group can't be moved or deleted, unlike other management groups.
  • Tutte le sottoscrizioni e i gruppi di gestione sono ricondotti all'unico gruppo di gestione radice all'interno della directory.All subscriptions and management groups fold up to the one root management group within the directory.
    • Tutte le risorse nella directory sono ricondotte al gruppo di gestione radice ai fini della gestione globale.All resources in the directory fold up to the root management group for global management.
    • Le nuove sottoscrizioni vengono inserite automaticamente nel gruppo di gestione radice al momento della creazione.New subscriptions are automatically defaulted to the root management group when created.
  • Tutti i clienti di Azure possono vedere il gruppo di gestione radice, ma non tutti i clienti dispongono dell'accesso per gestire il gruppo di gestione radice.All Azure customers can see the root management group, but not all customers have access to manage that root management group.
    • Chiunque abbia accesso a una sottoscrizione può vedere il contesto in cui tale sottoscrizione si trova nella gerarchia.Everyone who has access to a subscription can see the context of where that subscription is in the hierarchy.
    • A nessun utente viene assegnato l'accesso predefinito al gruppo di gestione radice.No one is given default access to the root management group. Gli amministratori globali di Azure AD sono gli unici utenti che possono elevare i propri privilegi per ottenere l'accesso.Azure AD Global Administrators are the only users that can elevate themselves to gain access. Dopo avere ottenuto l'accesso al gruppo di gestione radice, gli amministratori globali possono assegnare qualsiasi ruolo Controllo degli accessi in base al ruolo agli altri utenti per la gestione.Once they have access to the root management group, the global administrators can assign any RBAC role to other users to manage it.

Importante

Qualsiasi assegnazione di accesso utente o di criteri nel gruppo di gestione radice viene applicata a tutte le risorse all'interno della directory.Any assignment of user access or policy assignment on the root management group applies to all resources within the directory. Per questo motivo, tutti i clienti devono valutare la necessità di disporre di elementi definiti in questo ambito.Because of this, all customers should evaluate the need to have items defined on this scope. Le assegnazioni di accesso utente e di criteri devono essere "obbligatori" solo in questo ambito.User access and policy assignments should be "Must Have" only at this scope.

Configurazione iniziale dei gruppi di gestioneInitial setup of management groups

Quando un utente inizia a usare i gruppi di gestione, si verifica un processo di configurazione iniziale.When any user starts using management groups, there's an initial setup process that happens. Il primo passaggio è la creazione del gruppo di gestione radice nella directory.The first step is the root management group is created in the directory. Dopo avere creato questo gruppo, tutte le sottoscrizioni esistenti nella directory diventano elementi figlio del gruppo di gestione radice.Once this group is created, all existing subscriptions that exist in the directory are made children of the root management group. Lo scopo di questo processo è assicurarsi che esista un'unica gerarchia di gruppi di gestione all'interno di una directory.The reason for this process is to make sure there's only one management group hierarchy within a directory. Un'unica gerarchia all'interno della directory consente ai clienti amministrativi di applicare i criteri e l'accesso globale per cui gli altri clienti all'interno della directory non possono eseguire il bypass.The single hierarchy within the directory allows administrative customers to apply global access and policies that other customers within the directory can't bypass. Un valore assegnato alla radice verrà applicato all'intera gerarchia, che include tutti i gruppi di gestione, le sottoscrizioni, i gruppi di risorse e le risorse all'interno di quel tenant di Azure AD.Anything assigned on the root will apply to the entire hierarchy, which includes all management groups, subscriptions, resource groups, and resources within that Azure AD Tenant.

Difficoltà a visualizzare tutte le sottoscrizioniTrouble seeing all subscriptions

In alcune directory che hanno iniziato a usare gruppi di gestione nelle prime fasi dell'anteprima antecedenti al 25 giugno 2018 potrebbe essere rilevato un problema per cui le sottoscrizioni non sono tutte incluse nella gerarchia.A few directories that started using management groups early in the preview before June 25 2018 could see an issue where not all the subscriptions were within the hierarchy. Il processo per includere le sottoscrizioni nella gerarchia è stato implementato dopo un'assegnazione di ruolo o di criteri nel gruppo di gestione radice della directory.The process to have all subscriptions in the hierarchy was put in place after a role or policy assignment was done on the root management group in the directory.

Come risolvere il problemaHow to resolve the issue

Per risolvere il problema sono disponibili due opzioni.There are two options you can do to resolve this issue.

  1. Rimuovere tutte le assegnazioni di ruoli e criteri dal gruppo di gestione radiceRemove all Role and Policy assignments from the root management group
    1. Rimuovendo tutte le assegnazioni di ruoli e criteri dal gruppo di gestione radice, questo servizio inserirà tutte le sottoscrizioni nella gerarchia nel successivo ciclo notturno.By removing any policy and role assignments from the root management group, the service will backfill all subscriptions into the hierarchy the next overnight cycle. Questo processo garantisce che non vengano concesse accidentalmente assegnazioni di accesso o di criteri a tutte le sottoscrizioni dei tenant.This process is so there's no accidental access given or policy assignment to all of the tenants subscriptions.
    2. Il modo migliore per eseguire questo processo senza compromettere i servizi è applicare l'assegnazione del ruolo o dei criteri un livello sotto il gruppo di gestione radice.The best way to do this process without impacting your services is to apply the role or policy assignments one level below the Root management group. Successivamente è possibile rimuovere tutte le assegnazioni dall'ambito radice.Then you can remove all assignments from the root scope.
  2. Chiamare direttamente l'API per avviare il processo di recupero delle sottoscrizioniCall the API directly to start the backfill process
    1. Qualsiasi cliente nella directory può chiamare le API TenantBackfillStatusRequest o StartTenantBackfillRequest.Any customer in the directory can call the TenantBackfillStatusRequest or StartTenantBackfillRequest APIs. Quando viene chiamata l'API StartTenantBackfillRequest, si avvia il processo di configurazione iniziale che prevede il trasferimento di tutte le sottoscrizioni nella gerarchia.When the StartTenantBackfillRequest API is called, it kicks off the initial setup process of moving all the subscriptions into the hierarchy. Questo processo avvia anche l'applicazione di tutte le nuove sottoscrizioni come elementi figlio del gruppo di gestione radice.This process also starts the enforcement of all new subscription to be a child of the root management group. Questo processo può essere eseguito senza modificare le assegnazioni nel livello radice.This process can be done without changing any assignments on the root level. Chiamando l'API, si conferma che qualsiasi assegnazione di accesso o di criteri nella radice può essere applicata a tutte le sottoscrizioni.By calling the API, you're saying it's okay that any policy or access assignment on the root can be applied to all subscriptions.

Per eventuali domande su questo processo di backfill, contattare managementgroups@microsoft.comIf you have questions on this backfill process, contact: managementgroups@microsoft.com

Accesso ai gruppi di gestioneManagement group access

I gruppi di gestione di Azure supportano il Controllo degli accessi in base al ruolo di Azure per tutte le definizioni di ruoli e gli accessi alle risorse.Azure management groups support Azure Role-Based Access Control (RBAC) for all resource accesses and role definitions. Queste autorizzazioni vengono ereditate dalle risorse figlio presenti nella gerarchia.These permissions are inherited to child resources that exist in the hierarchy. È possibile assegnare qualsiasi ruolo predefinito Controllo degli accessi in base al ruolo a un gruppo di gestione che verrà ereditato fino alle risorse.Any built-in RBAC role can be assigned to a management group that will inherit down the hierarchy to the resources. Ad esempio, il ruolo Controllo degli accessi in base al ruolo Collaboratore Macchina virtuale può essere assegnato a un gruppo di gestione.For example, the RBAC role VM contributor can be assigned to a management group. Questo ruolo non dispone di alcuna azione sul gruppo di gestione, ma verrà ereditato da tutte le macchine virtuali in tale gruppo.This role has no action on the management group, but will inherit to all VMs under that management group.

Il grafico seguente mostra l'elenco dei ruoli e delle azioni supportate per i gruppi di gestione.The following chart shows the list of roles and the supported actions on management groups.

Nome del ruolo Controllo degli accessi in base al ruoloRBAC Role Name CreateCreate RinominareRename Spostamento**Move** DeleteDelete Assegnare l'accessoAssign Access Assegnare un criterioAssign Policy LetturaRead
ProprietarioOwner XX XX XX XX XX XX XX
CollaboratoreContributor XX XX XX XX XX
Collaboratore gruppo di gestione*MG Contributor* XX XX XX XX XX
ReaderReader XX
Lettore gruppo di gestione*MG Reader* XX
Collaboratore per i criteri delle risorseResource Policy Contributor XX
Amministratore accessi utenteUser Access Administrator XX XX

*: i ruoli Collaboratore gruppo di gestione e Lettore gruppo di gestione consentono agli utenti di eseguire le azioni solo nell'ambito del gruppo di gestione.*: MG Contributor and MG Reader only allow users to do those actions on the management group scope.
**: per spostare una sottoscrizione o un gruppo di gestione all'interno o all'esterno di un gruppo di gestione radice, non sono necessarie assegnazioni di ruolo.**: Role Assignments on the Root management group aren't required to move a subscription or management group to and from it. Per informazioni su come spostare elementi all'interno della gerarchia, vedere Gestire le risorse con i gruppi di gestione.See Manage your resources with management groups for details on moving items within the hierarchy.

Definizione e assegnazione di un ruolo personalizzato Controllo degli accessi in base al ruoloCustom RBAC Role Definition and Assignment

Attualmente i ruoli personalizzati Controllo degli accessi in base al ruolo non sono supportati per i gruppi di gestione.Custom RBAC roles aren't supported on management groups at this time. Per visualizzare lo stato di questo elemento, vedere il forum dei commenti sui gruppi di gestione.See the management group feedback forum to view the status of this item.

Controllare i gruppi di gestione con i log attivitàAudit management groups using activity logs

I gruppi di gestione sono supportati all'interno del log attività di Azure.Management groups are supported within Azure Activity Log. È possibile cercare tutti gli eventi che si verificano per un gruppo di gestione nella stessa posizione centrale delle altre risorse di Azure.You can search all events that happen to a management group in the same central location as other Azure resources. È ad esempio possibile vedere tutte le modifiche delle assegnazioni di ruoli o di criteri apportate a uno specifico gruppo di gestione.For example, you can see all Role Assignments or Policy Assignment changes made to a particular management group.

Log attività con i gruppi di gestione

Quando si esegue una query sui gruppi di gestione all'esterno del portale di Azure, l'ambito di destinazione per tali gruppi sarà simile a "/providers/Microsoft.Management/managementGroups/{yourMgID}" .When looking to query on Management Groups outside of the Azure portal, the target scope for management groups looks like "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Passaggi successiviNext steps

Per altre informazioni sui gruppi di gestione, vedere:To learn more about management groups, see: