Segmentering met beheergroepen tot stand te laten komen
Beheergroepen kunnen resources in meerdere abonnementen consistent en efficiënt beheren. Vanwege de flexibiliteit kan uw ontwerp echter complex worden en de beveiliging en bewerkingen in gevaar brengen.
Uw segmentatiestrategie ondersteunen met beheergroepen
Structureer beheergroepen in een eenvoudig ontwerp dat het segmentatiemodel van de onderneming aansthandt.
Beheergroepen bieden de mogelijkheid om resources consistent en efficiënt te beheren (inclusief meerdere abonnementen naar behoefte). Vanwege hun flexibiliteit is het echter mogelijk om een te complex ontwerp te maken. Complexiteit leidt tot verwarring en heeft een negatieve invloed op bewerkingen en beveiliging (zoals geïllustreerd door te complexe organisatie-eenheidseenheden en groepsbeleid Object (GPO)-ontwerpen voor Active Directory).
Microsoft raadt aan het hoogste niveau van beheergroepen (MG's) uit te lijnen in een eenvoudige segmentatiestrategie voor ondernemingen en de niveaus te beperken tot niet meer dan twee.
In de voorbeeldverwijzingzijn er bedrijfsbrede resources die worden gebruikt door alle segmenten, een set kernservices die services delen, extra segmenten voor elke workload.
Hoofdbeheergroep voor bedrijfsbrede resources.
Gebruik de hoofdbeheergroep om identiteiten op te nemen die beleidsregels op elke resource moeten toepassen. Bijvoorbeeld wettelijke vereisten, zoals beperkingen met betrekking tot gegevenssoevereiniteit. Deze groep is effectief in door beleidsregels, machtigingen en tags toe te passen op alle abonnementen.
Waarschuwing
Wees voorzichtig bij het gebruik van de hoofdbeheergroep, omdat het beleid van invloed kan zijn op alle resources in Azure en downtime of andere negatieve gevolgen kan veroorzaken. Zie Hoofdbeheergroep met voorzichtigheid gebruiken verder in dit artikel voor overwegingen.
Zie CAF: Beheergroep en abonnementsorganisatie voor volledige richtlijnen over het gebruik van beheergroepen voor een onderneming.
Beheergroep voor elk workloadsegment.
Gebruik een afzonderlijke beheergroep voor teams met een beperkt verantwoordelijkheidsbereik. Deze groep is doorgaans vereist vanwege organisatiegrenzen of wettelijke vereisten.
Hoofdbeheergroep of segmentbeheergroep voor de kernset services.
Wees voorzichtig met het gebruik van hoofdbeheergroep
Gebruik de hoofdbeheergroep (MG) voor bedrijfsconsistentie, maar test wijzigingen zorgvuldig om het risico op operationele onderbrekingen te minimaliseren.
Met de hoofdbeheergroep kunt u consistentie in de hele onderneming garanderen door beleid, machtigingen en tags toe te passen op alle abonnementen. Zorg ervoor dat u bij het plannen en implementeren van toewijzingen aan de hoofdbeheergroep rekening moet gehouden, omdat dit van invloed kan zijn op elke resource in Azure en downtime kan veroorzaken of andere negatieve gevolgen voor de productiviteit in het geval van fouten of onverwachte effecten.
Zorgvuldig plannen: selecteer bedrijfsbrede elementen in de hoofdbeheergroep die een duidelijke vereiste hebben om op elke resource en/of lage impact te worden toegepast.
Selecteer bedrijfsbrede identiteiten die een duidelijke vereiste hebben om op alle resources te worden toegepast. Goede kandidaten zijn onder andere:
Wettelijke vereisten met duidelijk bedrijfsrisico/impact. Bijvoorbeeld beperkingen met betrekking tot gegevenssoevereiniteit.
Bijna nul potentiële negatieve impact Bijvoorbeeld beleid met controle-effect, tagtoewijzing, toewijzingen van Azure RBAC-machtigingen die zorgvuldig zijn gecontroleerd.
Gebruik een toegewezen Service Principal Name (SPN) voor het uitvoeren van beheerbewerkingen voor beheergroepen, abonnementsbeheerbewerkingen en roltoewijzing. SPN vermindert het aantal gebruikers met verhoogde rechten en volgt de richtlijnen voor de minste bevoegdheden. Wijs de beheerder van gebruikerstoegang toe op het bereik van de hoofdbeheergroep (/) om de zojuist genoemde SPN toegang te verlenen op het hoofdniveau. Nadat aan de SPN machtigingen zijn verleend, kan de rol Gebruikerstoegangbeheerder veilig worden verwijderd. Op deze manier maakt alleen de SPN deel uit van de rol Administrator voor gebruikerstoegang. Wijs de machtiging Inzender toe aan de SPN, waarmee bewerkingen op tenantniveau kunnen worden uitgevoerd. Dit machtigingsniveau zorgt ervoor dat de SPN kan worden gebruikt voor het implementeren en beheren van resources voor elk abonnement binnen uw organisatie.
Beperk het aantal Azure Policy toewijzingen gemaakt in het bereik van de hoofdbeheergroep (/). Door deze beperking is er minder foutopsporing nodig in overgenomen beleidsregels in beheergroepen op lagere niveaus.
Maak geen abonnementen onder de hoofdbeheergroep. Deze hiërarchie zorgt ervoor dat abonnementen niet alleen de kleine set Azure-beleidsregels overnemen die is toegewezen aan de beheergroep op hoofdniveau, die geen volledige set vertegenwoordigen die nodig is voor een workload.
Test First - Plan, test en valideer alle wijzigingen voor de hele onderneming in de hoofdbeheergroep voordat u gaat toepassen (beleid, tags, Azure RBAC-model, etc.).
Test lab - Representatieve lab-tenant of labsegment in productie-tenant.
Productiepilot - Dit kan een segmentbeheergroep of aangewezen subset in een of meer abonnementsbeheergroepen zijn.
Wijzigingen valideren om er zeker van te zijn dat ze het gewenste effect hebben.