Organizowanie subskrypcji w grupy zarządzania i przypisywanie ról do użytkowników

Zarządzaj stanem zabezpieczeń organizacji na dużą skalę, stosując zasady zabezpieczeń do wszystkich subskrypcji platformy Azure połączonych z dzierżawą firmy Microsoft Entra.

Aby uzyskać wgląd w stan zabezpieczeń wszystkich subskrypcji połączonych z dzierżawą firmy Microsoft Entra, musisz mieć rolę platformy Azure z wystarczającymi uprawnieniami do odczytu przypisanymi do głównej grupy zarządzania.

Organizowanie subskrypcji w grupy zarządzania

Omówienie grup zarządzania

Użyj grup zarządzania, aby efektywnie zarządzać dostępem, zasadami i raportowaniem grup subskrypcji oraz efektywnie zarządzać całą infrastrukturą platformy Azure, wykonując akcje w głównej grupie zarządzania. Subskrypcje można organizować w grupach zarządzania i stosować zasady ładu do grup zarządzania. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą zasady zastosowane do tej grupy zarządzania.

Każda dzierżawa firmy Microsoft Entra ma pojedynczą grupę zarządzania najwyższego poziomu o nazwie głównej grupy zarządzania. Główna grupa zarządzania jest wbudowana w hierarchię, aby wszystkie grupy zarządzania i subskrypcje pod nią podlegały. Ta grupa umożliwia stosowanie zasad globalnych i przypisań ról platformy Azure na poziomie katalogu.

Główna grupa zarządzania jest tworzona automatycznie po wykonaniu dowolnej z następujących akcji:

• W witrynie Azure Portal wybierz pozycję Grupy zarządzania.
• Utwórz grupę zarządzania za pomocą wywołania interfejsu API.
• Utwórz grupę zarządzania przy użyciu programu PowerShell. Aby uzyskać instrukcje dotyczące programu PowerShell, zobacz Tworzenie grup zarządzania dla zarządzania zasobami i organizacją.

Grupy zarządzania nie są wymagane do dołączenia Defender dla Chmury, ale zalecamy utworzenie co najmniej jednej grupy zarządzania w celu utworzenia głównej grupy zarządzania. Po utworzeniu grupy wszystkie subskrypcje w dzierżawie firmy Microsoft Entra zostaną połączone z nią.

Aby zapoznać się ze szczegółowym omówieniem grup zarządzania, zobacz artykuł Organizowanie zasobów przy użyciu grup zarządzania platformy Azure.

Wyświetlanie i tworzenie grup zarządzania w witrynie Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Grupy zarządzania.

3. Aby utworzyć grupę zarządzania, wybierz pozycję Utwórz, wprowadź odpowiednie szczegóły i wybierz pozycję Prześlij.

   

   • Identyfikator grupy zarządzania to unikatowy identyfikator katalogu używany do przesyłania poleceń w tej grupie zarządzania. Ten identyfikator nie jest edytowalny po utworzeniu, ponieważ jest używany w całym systemie platformy Azure do identyfikowania tej grupy.

   • Pole nazwa wyświetlana to nazwa wyświetlana w witrynie Azure Portal. Oddzielna nazwa wyświetlana jest polem opcjonalnym podczas tworzenia grupy zarządzania i można ją zmienić w dowolnym momencie.

Dodawanie subskrypcji do grupy zarządzania

Możesz dodać subskrypcje do utworzonej grupy zarządzania.

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Grupy zarządzania.

3. Wybierz grupę zarządzania dla subskrypcji.

4. Po otwarciu strony grupy wybierz pozycję Subskrypcje.

5. Na stronie subskrypcje wybierz pozycję Dodaj, a następnie wybierz swoje subskrypcje i wybierz pozycję Zapisz. Powtarzaj, dopóki nie dodasz wszystkich subskrypcji w zakresie.

   

   Ważne

   Grupy zarządzania mogą zawierać zarówno subskrypcje, jak i podrzędne grupy zarządzania. Po przypisaniu użytkownikowi roli platformy Azure do nadrzędnej grupy zarządzania dostęp jest dziedziczony przez subskrypcje podrzędnej grupy zarządzania. Zasady ustawione w nadrzędnej grupie zarządzania są również dziedziczone przez elementy podrzędne.

Przypisywanie ról platformy Azure innym użytkownikom

Przypisywanie ról platformy Azure do użytkowników za pośrednictwem witryny Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Grupy zarządzania.

3. Wybierz odpowiednią grupę zarządzania.

4. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami), otwórz kartę Przypisania ról i wybierz pozycję Dodaj>przypisanie roli.

   

5. Na stronie Dodawanie przypisania roli wybierz odpowiednią rolę.

   

6. Na karcie Członkowie wybierz pozycję + Wybierz członków i przypisz rolę do odpowiednich członków.

7. Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz, aby przypisać rolę.

Przypisywanie ról platformy Azure do użytkowników przy użyciu programu PowerShell

1. Zainstaluj program Azure PowerShell.

2. Uruchom następujące polecenia:

   # Login to Azure as a Global Administrator user
   Connect-AzAccount
   

3. Po wyświetleniu monitu zaloguj się przy użyciu poświadczeń administratora globalnego.

   

4. Udziel uprawnień roli czytelnika, uruchamiając następujące polecenie:

   # Add Reader role to the required user on the Root Management Group
   # Replace "user@domian.com” with the user to grant access to
   New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
   

5. Aby usunąć rolę, użyj następującego polecenia:

   Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/" 
   

Usuwanie podniesionych uprawnień dostępu

Po przypisaniu ról platformy Azure do użytkowników administrator dzierżawy powinien usunąć się z roli administratora dostępu użytkowników.

1. Zaloguj się w witrynie Azure Portal.

2. Na liście nawigacji wybierz pozycję Microsoft Entra ID , a następnie wybierz pozycję Właściwości.

3. W obszarze Zarządzanie dostępem dla zasobów platformy Azure ustaw przełącznik na Nie.

4. Aby zapisać ustawienie, wybierz pozycję Zapisz.

Następne kroki

Na tej stronie przedstawiono sposób organizowania subskrypcji w grupy zarządzania i przypisywania ról do użytkowników. Aby uzyskać powiązane informacje, zobacz:

• Uprawnienia w usłudze Microsoft Defender for Cloud