Organizowanie subskrypcji w grupy zarządzania i przypisywanie ról do użytkowników
Zarządzaj stanem zabezpieczeń organizacji na dużą skalę, stosując zasady zabezpieczeń do wszystkich subskrypcji platformy Azure połączonych z dzierżawą firmy Microsoft Entra.
Aby uzyskać wgląd w stan zabezpieczeń wszystkich subskrypcji połączonych z dzierżawą firmy Microsoft Entra, musisz mieć rolę platformy Azure z wystarczającymi uprawnieniami do odczytu przypisanymi do głównej grupy zarządzania.
Organizowanie subskrypcji w grupy zarządzania
Omówienie grup zarządzania
Użyj grup zarządzania, aby efektywnie zarządzać dostępem, zasadami i raportowaniem grup subskrypcji oraz efektywnie zarządzać całą infrastrukturą platformy Azure, wykonując akcje w głównej grupie zarządzania. Subskrypcje można organizować w grupach zarządzania i stosować zasady ładu do grup zarządzania. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą zasady zastosowane do tej grupy zarządzania.
Każda dzierżawa firmy Microsoft Entra ma pojedynczą grupę zarządzania najwyższego poziomu o nazwie głównej grupy zarządzania. Główna grupa zarządzania jest wbudowana w hierarchię, aby wszystkie grupy zarządzania i subskrypcje pod nią podlegały. Ta grupa umożliwia stosowanie zasad globalnych i przypisań ról platformy Azure na poziomie katalogu.
Główna grupa zarządzania jest tworzona automatycznie po wykonaniu dowolnej z następujących akcji:
- W witrynie Azure Portal wybierz pozycję Grupy zarządzania.
- Utwórz grupę zarządzania za pomocą wywołania interfejsu API.
- Utwórz grupę zarządzania przy użyciu programu PowerShell. Aby uzyskać instrukcje dotyczące programu PowerShell, zobacz Tworzenie grup zarządzania dla zarządzania zasobami i organizacją.
Grupy zarządzania nie są wymagane do dołączenia Defender dla Chmury, ale zalecamy utworzenie co najmniej jednej grupy zarządzania w celu utworzenia głównej grupy zarządzania. Po utworzeniu grupy wszystkie subskrypcje w dzierżawie firmy Microsoft Entra zostaną połączone z nią.
Aby zapoznać się ze szczegółowym omówieniem grup zarządzania, zobacz artykuł Organizowanie zasobów przy użyciu grup zarządzania platformy Azure.
Wyświetlanie i tworzenie grup zarządzania w witrynie Azure Portal
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Grupy zarządzania.
Aby utworzyć grupę zarządzania, wybierz pozycję Utwórz, wprowadź odpowiednie szczegóły i wybierz pozycję Prześlij.
Identyfikator grupy zarządzania to unikatowy identyfikator katalogu używany do przesyłania poleceń w tej grupie zarządzania. Ten identyfikator nie jest edytowalny po utworzeniu, ponieważ jest używany w całym systemie platformy Azure do identyfikowania tej grupy.
Pole nazwa wyświetlana to nazwa wyświetlana w witrynie Azure Portal. Oddzielna nazwa wyświetlana jest polem opcjonalnym podczas tworzenia grupy zarządzania i można ją zmienić w dowolnym momencie.
Dodawanie subskrypcji do grupy zarządzania
Możesz dodać subskrypcje do utworzonej grupy zarządzania.
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Grupy zarządzania.
Wybierz grupę zarządzania dla subskrypcji.
Po otwarciu strony grupy wybierz pozycję Subskrypcje.
Na stronie subskrypcje wybierz pozycję Dodaj, a następnie wybierz swoje subskrypcje i wybierz pozycję Zapisz. Powtarzaj, dopóki nie dodasz wszystkich subskrypcji w zakresie.
Ważne
Grupy zarządzania mogą zawierać zarówno subskrypcje, jak i podrzędne grupy zarządzania. Po przypisaniu użytkownikowi roli platformy Azure do nadrzędnej grupy zarządzania dostęp jest dziedziczony przez subskrypcje podrzędnej grupy zarządzania. Zasady ustawione w nadrzędnej grupie zarządzania są również dziedziczone przez elementy podrzędne.
Przypisywanie ról platformy Azure innym użytkownikom
Przypisywanie ról platformy Azure do użytkowników za pośrednictwem witryny Azure Portal
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Grupy zarządzania.
Wybierz odpowiednią grupę zarządzania.
Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami), otwórz kartę Przypisania ról i wybierz pozycję Dodaj>przypisanie roli.
Na stronie Dodawanie przypisania roli wybierz odpowiednią rolę.
Na karcie Członkowie wybierz pozycję + Wybierz członków i przypisz rolę do odpowiednich członków.
Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz, aby przypisać rolę.
Przypisywanie ról platformy Azure do użytkowników przy użyciu programu PowerShell
Zainstaluj program Azure PowerShell.
Uruchom następujące polecenia:
# Login to Azure as a Global Administrator user Connect-AzAccount
Po wyświetleniu monitu zaloguj się przy użyciu poświadczeń administratora globalnego.
Udziel uprawnień roli czytelnika, uruchamiając następujące polecenie:
# Add Reader role to the required user on the Root Management Group # Replace "user@domian.com” with the user to grant access to New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
Aby usunąć rolę, użyj następującego polecenia:
Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
Usuwanie podniesionych uprawnień dostępu
Po przypisaniu ról platformy Azure do użytkowników administrator dzierżawy powinien usunąć się z roli administratora dostępu użytkowników.
Zaloguj się w witrynie Azure Portal.
Na liście nawigacji wybierz pozycję Microsoft Entra ID , a następnie wybierz pozycję Właściwości.
W obszarze Zarządzanie dostępem dla zasobów platformy Azure ustaw przełącznik na Nie.
Aby zapisać ustawienie, wybierz pozycję Zapisz.
Następne kroki
Na tej stronie przedstawiono sposób organizowania subskrypcji w grupy zarządzania i przypisywania ról do użytkowników. Aby uzyskać powiązane informacje, zobacz: