Implementaties van beheergroep met ARM-sjablonen
Naarmate uw organisatie zich verder ontwikkelde, kunt u een Azure Resource Manager (ARM-sjabloon) implementeren om resources te maken op beheergroepsniveau. U moet bijvoorbeeld beleidsregels of op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) definiëren en toewijzen voor een beheergroep. Met beheergroepssjablonen kunt u beleidsregels declaratief toepassen en rollen toewijzen op beheergroepsniveau.
Ondersteunde resources
Niet alle resourcetypen kunnen worden geïmplementeerd op het niveau van de beheergroep. In deze sectie wordt vermeld welke resourcetypen worden ondersteund.
Gebruik Azure Blueprints voor meer informatie:
Gebruik Azure Policy voor meer informatie:
Gebruik voor toegangsbeheer:
- privateLinkAssociations
- roleAssignments
- roleAssignmentScheduleRequests
- roleDefinitions
- roleEligibilityScheduleRequests
- roleManagementPolicyAssignments
Voor geneste sjablonen die worden geïmplementeerd in abonnementen of resourcegroepen, gebruikt u:
Voor het beheren van uw resources gebruikt u:
Beheergroepen zijn resources op tenantniveau. U kunt echter beheergroepen maken in een beheergroepimplementatie door het bereik van de nieuwe beheergroep in te stellen op de tenant. Zie Beheergroep.
Schema
Het schema dat u gebruikt voor implementaties van beheergroep verschilt van het schema voor resourcegroepimplementaties.
Gebruik voor sjablonen:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
...
}
Het schema voor een parameterbestand is hetzelfde voor alle implementatiebereiken. Gebruik voor parameterbestanden:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
...
}
Implementatieopdrachten
Als u wilt implementeren in een beheergroep, gebruikt u de implementatieopdrachten voor beheergroep.
Gebruik voor Azure CLI az deployment mg create:
az deployment mg create \
--name demoMGDeployment \
--location WestUS \
--management-group-id myMG \
--template-uri "https://raw.githubusercontent.com/Azure/azure-docs-json-samples/master/management-level-deployment/azuredeploy.json"
Zie voor meer informatie over implementatieopdrachten en -opties voor het implementeren van ARM-sjablonen:
- Resources implementeren met ARM-sjablonen en Azure Portal
- Resources implementeren met ARM-sjablonen en Azure CLI
- Resources implementeren met ARM-sjablonen en Azure PowerShell
- Resources implementeren met ARM-sjablonen en Azure Resource Manager REST API
- Een implementatieknop gebruiken om sjablonen te implementeren vanuit GitHub opslagplaats
- ARM-sjablonen implementeren vanuit Cloud Shell
Locatie en naam van implementatie
Voor implementaties op beheergroepniveau moet u een locatie voor de implementatie verstrekken. De locatie van de implementatie is gescheiden van de locatie van de resources die u implementeert. De implementatielocatie geeft aan waar implementatiegegevens moeten worden opgeslagen. Voor abonnements- en tenantimplementaties is ook een locatie vereist. Voor resourcegroepimplementaties wordt de locatie van de resourcegroep gebruikt om de implementatiegegevens op te slaan.
U kunt een naam voor de implementatie of de standaard implementatienaam gebruiken. De standaardnaam is de naam van het sjabloonbestand. Als u bijvoorbeeld een sjabloon met de naam azuredeploy.json implementeert, wordt de standaard implementatienaam azuredeploy gemaakt.
Voor elke implementatienaam is de locatie onveranderbaar. U kunt geen implementatie op één locatie maken wanneer er een bestaande implementatie met dezelfde naam op een andere locatie is. Als u bijvoorbeeld een implementatie van een beheergroep maakt met de naam deployment1 in centralus, kunt u later geen andere implementatie maken met de naam deployment1, maar met de locatie westus. Als u de foutcode krijgt, gebruikt u een andere naam of dezelfde locatie als de vorige InvalidDeploymentLocation implementatie voor die naam.
Implementatiebereiken
Wanneer u implementeert in een beheergroep, kunt u resources implementeren op:
- de doelbeheergroep van de bewerking
- een andere beheergroep in de tenant
- abonnementen in de beheergroep
- resourcegroepen in de beheergroep
- de tenant voor de resourcegroep
Een extensieresource kan worden gericht op een ander doel dan het implementatiedoel.
De gebruiker die de sjabloon implementeert, moet toegang hebben tot het opgegeven bereik.
In deze sectie ziet u hoe u verschillende scopes opgeeft. U kunt deze verschillende scopes combineren in één sjabloon.
Bereik naar doelbeheergroep
Resources die zijn gedefinieerd in de sectie resources van de sjabloon worden toegepast op de beheergroep met de implementatieopdracht.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
management-group-resources-default
],
"outputs": {}
}
Bereik naar een andere beheergroep
Als u zich wilt richten op een andere beheergroep, voegt u een geneste implementatie toe en geeft u de eigenschap scope op. Stel de scope eigenschap in op een waarde in de notatie Microsoft.Management/managementGroups/<mg-name> .
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mgName": {
"type": "string"
}
},
"variables": {
"mgId": "[concat('Microsoft.Management/managementGroups/', parameters('mgName'))]"
},
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2021-04-01",
"name": "nestedDeployment",
"scope": "[variables('mgId')]",
"location": "eastus",
"properties": {
"mode": "Incremental",
"template": {
management-group-resources-non-default
}
}
}
],
"outputs": {}
}
Bereik tot abonnement
U kunt zich ook richten op abonnementen binnen een beheergroep. De gebruiker die de sjabloon implementeert, moet toegang hebben tot het opgegeven bereik.
Als u zich wilt richten op een abonnement in de beheergroep, gebruikt u een geneste implementatie en de subscriptionId eigenschap .
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2021-04-01",
"name": "nestedSub",
"location": "westus2",
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
subscription-resources
}
]
}
}
}
]
}
Bereik naar resourcegroep
U kunt zich ook richten op resourcegroepen binnen de beheergroep. De gebruiker die de sjabloon implementeert, moet toegang hebben tot het opgegeven bereik.
Als u zich wilt richten op een resourcegroep in de beheergroep, gebruikt u een geneste implementatie. Stel de subscriptionId eigenschappen en resourceGroup in. Stel geen locatie in voor de geneste implementatie omdat deze wordt geïmplementeerd op de locatie van de resourcegroep.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2021-04-01",
"name": "nestedRGDeploy",
"subscriptionId": "00000000-0000-0000-0000-000000000000",
"resourceGroup": "demoResourceGroup",
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
resource-group-resources
}
]
}
}
}
]
}
Zie Implementeren naar abonnement en resourcegroep als u een implementatie van een beheergroep wilt gebruiken voor het maken van een resourcegroep binnen een abonnement en het implementeren van een opslagaccount voor die resourcegroep.
Bereik naar tenant
Als u resources wilt maken in de tenant, stelt u de scope in op / . De gebruiker die de sjabloon implementeert, moet de vereiste toegang hebben om te implementeren in de tenant.
Als u een geneste implementatie wilt gebruiken, stelt u scope en location in.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2021-04-01",
"name": "nestedDeployment",
"location": "centralus",
"scope": "/",
"properties": {
"mode": "Incremental",
"template": {
tenant-resources
}
}
}
],
"outputs": {}
}
U kunt het bereik ook instellen op / voor bepaalde resourcetypen, zoals beheergroepen. Het maken van een nieuwe beheergroep wordt beschreven in de volgende sectie.
Beheergroep
Als u een beheergroep wilt maken in een beheergroepimplementatie, moet u het bereik instellen / op voor de beheergroep.
In het volgende voorbeeld wordt een nieuwe beheergroep gemaakt in de hoofdbeheergroep.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mgName": {
"type": "string",
"defaultValue": "[concat('mg-', uniqueString(newGuid()))]"
}
},
"resources": [
{
"type": "Microsoft.Management/managementGroups",
"apiVersion": "2021-04-01",
"name": "[parameters('mgName')]",
"scope": "/",
"location": "eastus",
"properties": {}
}
],
"outputs": {
"output": {
"type": "string",
"value": "[parameters('mgName')]"
}
}
}
In het volgende voorbeeld wordt een nieuwe beheergroep gemaakt in de beheergroep die is opgegeven als bovenliggend. U ziet dat het bereik is ingesteld op / .
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mgName": {
"type": "string",
"defaultValue": "[concat('mg-', uniqueString(newGuid()))]"
},
"parentMG": {
"type": "string"
}
},
"resources": [
{
"name": "[parameters('mgName')]",
"type": "Microsoft.Management/managementGroups",
"apiVersion": "2021-04-01",
"scope": "/",
"location": "eastus",
"properties": {
"details": {
"parent": {
"id": "[tenantResourceId('Microsoft.Management/managementGroups', parameters('parentMG'))]"
}
}
}
}
],
"outputs": {
"output": {
"type": "string",
"value": "[parameters('mgName')]"
}
}
}
Abonnementen
Als u een ARM-sjabloon wilt gebruiken om een nieuw Azure-abonnement te maken in een beheergroep, gaat u naar:
- Programmatisch Azure Enterprise Agreement maken
- Programmatisch Azure-abonnementen maken voor een Microsoft-klantovereenkomst
- Programmatisch Azure-abonnementen maken voor een Microsoft Partner-overeenkomst
Zie Abonnementen verplaatsen in ARM-sjabloon voor het implementeren van een sjabloon die een bestaand Azure-abonnement verplaatst naar een nieuwe beheergroep
Azure Policy
Aangepaste beleidsdefinities die in de beheergroep worden geïmplementeerd, zijn extensies van de beheergroep. Gebruik de functie extensionResourceId() om de id van een aangepaste beleidsdefinitie op te halen. Ingebouwde beleidsdefinities zijn resources op tenantniveau. Gebruik de functie tenantResourceId() om de id van een ingebouwde beleidsdefinitie op te halen.
In het volgende voorbeeld ziet u hoe u een beleid definieert op het niveau van de beheergroep en dit toewijst.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMG": {
"type": "string",
"metadata": {
"description": "Target Management Group"
}
},
"allowedLocations": {
"type": "array",
"defaultValue": [
"australiaeast",
"australiasoutheast",
"australiacentral"
],
"metadata": {
"description": "An array of the allowed locations, all other locations will be denied by the created policy."
}
}
},
"variables": {
"mgScope": "[tenantResourceId('Microsoft.Management/managementGroups', parameters('targetMG'))]",
"policyDefinition": "LocationRestriction"
},
"resources": [
{
"type": "Microsoft.Authorization/policyDefinitions",
"name": "[variables('policyDefinition')]",
"apiVersion": "2020-09-01",
"properties": {
"policyType": "Custom",
"mode": "All",
"parameters": {
},
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
},
{
"type": "Microsoft.Authorization/policyAssignments",
"name": "location-lock",
"apiVersion": "2020-09-01",
"dependsOn": [
"[variables('policyDefinition')]"
],
"properties": {
"scope": "[variables('mgScope')]",
"policyDefinitionId": "[extensionResourceId(variables('mgScope'), 'Microsoft.Authorization/policyDefinitions', variables('policyDefinition'))]"
}
}
]
}
Implementeren naar abonnement en resourcegroep
Vanuit een implementatie op beheergroepniveau kunt u zich richten op een abonnement binnen de beheergroep. In het volgende voorbeeld wordt een resourcegroep binnen een abonnement gemaakt en wordt een opslagaccount geïmplementeerd in die resourcegroep.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"nestedsubId": {
"type": "string"
},
"nestedRG": {
"type": "string"
},
"storageAccountName": {
"type": "string"
},
"nestedLocation": {
"type": "string"
}
},
"resources": [
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2021-04-01",
"name": "nestedSub",
"location": "[parameters('nestedLocation')]",
"subscriptionId": "[parameters('nestedSubId')]",
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
},
"variables": {
},
"resources": [
{
"type": "Microsoft.Resources/resourceGroups",
"apiVersion": "2021-04-01",
"name": "[parameters('nestedRG')]",
"location": "[parameters('nestedLocation')]"
}
]
}
}
},
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2021-04-01",
"name": "nestedRG",
"subscriptionId": "[parameters('nestedSubId')]",
"resourceGroup": "[parameters('nestedRG')]",
"dependsOn": [
"nestedSub"
],
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2021-04-01",
"name": "[parameters('storageAccountName')]",
"location": "[parameters('nestedLocation')]",
"kind": "StorageV2",
"sku": {
"name": "Standard_LRS"
}
}
]
}
}
}
]
}
Volgende stappen
- Zie Azure-rollen toewijzen met behulp van Azure Resource Manager sjablonen voor meer informatie over het toewijzen van rollen.
- Zie deployASCwithWorkspaceSettings.jsonvoor een voorbeeld van het implementeren van werkruimte-instellingen voor Microsoft Defender for Cloud.
- U kunt ook sjablonen implementeren op abonnementsniveau en tenantniveau.