Co to są grupy zarządzania platformy Azure?

Jeśli Twoja organizacja ma wiele subskrypcji, możesz potrzebować sposobu na wydajne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania platformy Azure zapewniają poziom zakresu powyżej subskrypcji. Subskrypcje są organizowane w kontenerach nazywanych „grupami zarządzania”, do których należy zastosować swoje warunki nadzoru. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki zastosowane do tej grupy zarządzania. Grupy zarządzania umożliwiają zarządzanie klasy korporacyjnej na dużą skalę niezależnie od typu subskrypcji. Wszystkie subskrypcje w ramach jednej grupy zarządzania muszą ufać tej samej dzierżawie usługi Azure Active Directory.

Na przykład możesz zastosować do grupy zarządzania zasady ograniczające regiony dostępne na potrzeby tworzenia maszyny wirtualnej. Te zasady będą stosowane do wszystkich grup zarządzania, subskrypcji i zasobów w ramach tej grupy zarządzania, zezwalając na tworzenie maszyn wirtualnych tylko w tym regionie.

Hierarchia grup zarządzania i subskrypcji

Można utworzyć elastyczną strukturę grup zarządzania i subskrypcji w celu organizowania zasobów w hierarchię na potrzeby ujednoliconego zarządzania zasadami i dostępem. Na poniższym diagramie przedstawiono przykład tworzenia hierarchii dla nadzoru przy użyciu grup zarządzania.

Diagram przykładowej hierarchii grupy zarządzania.

Diagram głównej grupy zarządzania, która zawiera zarówno grupy zarządzania, jak i subskrypcje. Niektóre podrzędne grupy zarządzania mają grupy zarządzania, inne subskrypcje, a niektóre są w obu tych grupach. Jednym z przykładów w przykładowej hierarchii są cztery poziomy grup zarządzania, na których poziom podrzędny to wszystkie subskrypcje.

Możesz utworzyć hierarchię stosującą zasady, na przykład ograniczające lokalizacje maszyn wirtualnych do regionu Zachodnie stany USA w grupie o nazwie „Produkcja”. Te zasady będą dziedziczone przez wszystkie subskrypcje umowy Enterprise Agreement (EA), które są elementami podrzędnymi tej grupy zarządzania i będą stosowane do wszystkich maszyn wirtualnych w ramach tych subskrypcji. Te zasady zabezpieczeń nie mogą zostać zmienione przez właściciela zasobu lub subskrypcji, co zapewnia ulepszony nadzór.

Innym scenariuszem, w którym można użyć grup zarządzania, jest zapewnienie użytkownikom dostępu do wielu subskrypcji. Przenosząc wiele subskrypcji do tej grupy zarządzania, można utworzyć jedno przypisanie roli platformy Azure w grupie zarządzania, które będzie dziedziczyć ten dostęp do wszystkich subskrypcji. Jedno przypisanie do grupy zarządzania może umożliwić użytkownikom dostęp do wszystkiego, czego potrzebują, zamiast wykonywania skryptów kontroli dostępu na podstawie ról platformy Azure w różnych subskrypcjach.

Ważne fakty dotyczące grup zarządzania

  • W jednym katalogu może być obsługiwane 10000 grup zarządzania.
  • Drzewo grupy zarządzania może obsługiwać maksymalnie sześć poziomów głębokości.
    • Ten limit nie obejmuje poziomu głównego lub poziomu subskrypcji.
  • Każda grupa zarządzania i subskrypcja może obsługiwać tylko jeden element nadrzędny.
  • Każda grupa zarządzania może mieć wiele elementów podrzędnych.
  • Wszystkie subskrypcje i grupy zarządzania znajdują się w jednej hierarchii w każdym katalogu. Zobacz Ważne informacje dotyczące głównej grupy zarządzania.

Główna grupa zarządzania dla każdego katalogu

Do każdego katalogu jest przypisywana jedna grupa zarządzania najwyższego poziomu nazywana „główną” grupą zarządzania. Główna grupa zarządzania jest wbudowana w hierarchię, aby wszystkie grupy zarządzania i subskrypcje pod nią podlegały. Ta główna grupa zarządzania umożliwia zastosowanie zasad globalnych i przypisań ról platformy Azure na poziomie katalogu. Administrator globalny usługi Azure AD musi podnieść swój poziom uprawnień do roli Administrator dostępu użytkowników, aby początkowo być właścicielem tej głównej grupy. Po podnieśeniu uprawnień dostępu administrator może przypisać dowolną rolę platformy Azure innym użytkownikom lub grupom katalogu w celu zarządzania hierarchią. Jako administrator możesz przypisać własne konto jako właściciela głównej grupy zarządzania.

Ważne informacje dotyczące głównej grupy zarządzania

  • Domyślnie nazwa wyświetlana głównej grupy zarządzania to Grupa główna dzierżawy. Identyfikatorem jest identyfikator usługi Azure Active Directory.
  • Aby zmienić nazwę wyświetlaną, Twoje konto musi mieć przypisaną rolę właściciela lub współautora w głównej grupie zarządzania. Zobacz Zmienianie nazwy grupy zarządzania, aby zaktualizować nazwę grupy zarządzania.
  • Głównej grupy zarządzania nie można przenieść ani usunąć, w odróżnieniu od innych grup zarządzania.
  • Wszystkie subskrypcje i grupy zarządzania składają się do jednej głównej grupy zarządzania w katalogu.
    • Wszystkie zasoby w katalogu składają się do głównej grupy zarządzania dla globalnego zarządzania.
    • Nowe subskrypcje są automatycznie domyślnie dodawane do głównej grupy zarządzania podczas tworzenia.
  • Główna grupa zarządzania jest widoczna dla wszystkich klientów platformy Azure, ale nie wszyscy klienci mają dostęp do zarządzania tą główną grupą zarządzania.
    • Każdy, kto ma dostęp do subskrypcji, może zobaczyć kontekst, w którym ta subskrypcja znajduje się w hierarchii.
    • Nikt nie otrzymuje domyślnego dostępu do głównej grupy zarządzania. Administratorzy globalni usługi Azure AD są jedynymi użytkownikami, którzy mogą samodzielnie podnieść swój poziom uprawnień, aby uzyskać dostęp. Po dostępie do głównej grupy zarządzania administratorzy globalni mogą przypisać dowolną rolę platformy Azure innym użytkownikom w celu zarządzania nimi.
  • W zestawie SDK główna grupa zarządzania lub "Główny katalog dzierżawy" działa jako grupa zarządzania.

Ważne

Wszystkie przypisania dostępu użytkowników lub zasad w głównej grupie zarządzania dotyczą wszystkich zasobów w katalogu. W związku z tym wszyscy klienci powinni ocenić potrzebę posiadania elementów zdefiniowanych w tym zakresie. Przypisania dostępu użytkowników i zasad powinny być „niezbędne” tylko w tym zakresie.

Konfiguracja początkowa grup zarządzania

Kiedy dowolny użytkownik rozpoczyna korzystanie z grup zarządzania, wykonywany jest proces konfiguracji początkowej. Pierwszym jego krokiem jest utworzenie głównej grupy zarządzania w katalogu. Po utworzeniu tej grupy wszystkie istniejące subskrypcje, które znajdują się w katalogu, stają się elementami podrzędnymi głównej grupy zarządzania. Celem tego procesu jest upewnienie się, że istnieje tylko jedna hierarchia grup zarządzania w katalogu. Pojedyncza hierarchia w katalogu umożliwia klientom administracyjnym klientom stosowanie globalnego dostępu i zasad, których inni klienci w katalogu nie mogą obejść. Wszystkie przypisania w głównej grupie będą stosowane do całej hierarchii, która obejmuje wszystkie grupy zarządzania, subskrypcje, grupy zasobów i zasoby w dzierżawie usługi Azure AD.

Problemy z wyświetlaniem wszystkich subskrypcji

W przypadku niektórych katalogów, które rozpoczęły korzystanie z grup zarządzania niedługo po udostępnieniu wersji zapoznawczej (przed 25 czerwca 2018 r.), mógł wystąpić problem polegający na tym, że nie wszystkie subskrypcje zostały umieszczone w hierarchii. Proces umieszczania subskrypcji w hierarchii był implementowany po przypisaniu roli lub zasad w głównej grupie zarządzania w katalogu.

Jak rozwiązać ten problem

Istnieją dwie opcje rozwiązania tego problemu.

  • Usuń wszystkie przypisania ról i zasad z głównej grupy zarządzania
    • Usuwając wszystkie przypisania zasad i ról z głównej grupy zarządzania, usługa wypełnia wszystkie subskrypcje w hierarchii następnego cyklu z dnia na dzień. Ten proces ma na celu zapewnienie, że nie został przypadkowo udzielony dostęp lub nie przypisano przypadkowo zasad do wszystkich subskrypcji dzierżawy.
    • Najlepszym sposobem wykonania tego procesu bez wpływu na usługi jest zastosowanie przypisań ról lub zasad na poziomie o jeden niższym niż główna grupa zarządzania. Wtedy będzie można usunąć wszystkie przypisania z zakresu głównego.
  • Bezpośrednio wywołaj interfejs API, aby rozpocząć proces wypełniania
    • Każdy klient w katalogu może wywołać interfejs API TenantBackfillStatusRequest lub StartTenantBackfillRequest. Wywołanie interfejsu API StartTenantBackfillRequest powoduje rozpoczęcie procesu początkowej konfiguracji, który polega na przeniesieniu wszystkich subskrypcji do hierarchii. Ten proces rozpoczyna również wymuszanie dodawania wszystkich nowych subskrypcji jako elementu podrzędnego głównej grupy zarządzania. Ten proces można wykonać bez zmiany przydziałów na poziomie głównej grupy. Wywołując ten interfejs API, potwierdzasz, że dowolne zasady i przypisania dostępu określone w grupie głównej mogą być stosowane do wszystkich subskrypcji.

Jeśli masz pytania na temat tego procesu wypełniania, napisz na adres managementgroups@microsoft.com

Dostęp do grupy zarządzania

Grupy zarządzania platformy Azure obsługują kontrolę dostępu opartą na rolach (RBAC) platformy Azure dla wszystkich dostępu do zasobów i definicji ról. Te uprawnienia są dziedziczone do zasobów podrzędnych, które istnieją w hierarchii. Dowolną rolę platformy Azure można przypisać do grupy zarządzania, która będzie dziedziczyć hierarchię do zasobów. Na przykład współautor maszyny wirtualnej roli platformy Azure można przypisać do grupy zarządzania. Ta rola nie ma żadnej akcji wykonywanej na grupie zarządzania, ale będzie dziedziczona do wszystkich maszyn wirtualnych w ramach tej grupy zarządzania.

Na poniższym wykresie przedstawiono listę ról i obsługiwane akcje na grupach zarządzania.

Nazwa roli platformy Azure Utwórz Zmień nazwę Przenieść** Usuń Przypisywanie dostępu Przypisywanie zasad Odczyt
Właściciel X X X X X X X
Współautor X X X X X
Współautor grupy mg* X X X X X
Czytelnik X
Czytelnik mg* X
Współautor zasad zasobów X
Administrator dostępu użytkowników X X

*: Współautor grupy zarządzania i Czytelnik grupy zarządzania zezwalają użytkownikom na te akcje tylko w zakresie grupy zarządzania. **: Przypisania ról w głównej grupie zarządzania nie są wymagane do przeniesienia subskrypcji lub grupy zarządzania do i z tej grupy. Aby uzyskać szczegółowe informacje o przenoszeniu elementów w hierarchii, zobacz Zarządzanie zasobami przy użyciu grup zarządzania.

Definicja i przypisanie roli niestandardowej platformy Azure

Obsługa ról niestandardowych platformy Azure dla grup zarządzania jest obecnie dostępna w wersji zapoznawczej z pewnymi ograniczeniami. Zakres grupy zarządzania można zdefiniować w możliwym do przypisania zakresie definicji roli. Ta rola niestandardowa platformy Azure będzie następnie dostępna do przypisania dla tej grupy zarządzania i dowolnej grupy zarządzania, subskrypcji, grupy zasobów lub zasobu w tej grupie. Ta rola niestandardowa będzie dziedziczyć hierarchię tak jak każda wbudowana rola.

Przykładowa definicja

Definiowanie i tworzenie roli niestandardowej nie zmienia się z uwzględnieniem grup zarządzania. Użyj pełnej ścieżki, aby zdefiniować grupę zarządzania /providers/Microsoft.Management/managementgroups/{groupId}.

Użyj identyfikatora grupy zarządzania, a nie nazwy wyświetlanej grupy zarządzania. Ten powszechny błąd występuje, ponieważ oba są polami zdefiniowanymi niestandardowo podczas tworzenia grupy zarządzania.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problemy z przerywaniem ścieżki hierarchii definicji roli i przypisania

Definicje ról można przypisać w dowolnym miejscu w hierarchii grupy zarządzania. Definicję roli można zdefiniować w nadrzędnej grupie zarządzania, gdy rzeczywiste przypisanie roli istnieje w subskrypcji podrzędnej. Ponieważ między tymi dwoma elementami istnieje relacja, podczas próby oddzielenia przypisania od jego definicji wystąpi błąd.

Przyjrzyjmy się na przykład małej sekcji hierarchii wizualizacji.

Diagram podzestawu hierarchii przykładowej grupy zarządzania.

Diagram koncentruje się na głównej grupie zarządzania z podrzędnymi grupami zarządzania I i Marketing. Grupa zarządzania I T ma jedną podrzędną grupę zarządzania o nazwie Production, a grupa zarządzania Marketing ma dwie subskrypcje podrzędne bezpłatnej wersji próbnej.

Załóżmy, że istnieje rola niestandardowa zdefiniowana w grupie zarządzania Marketing. Ta rola niestandardowa jest następnie przypisywana do dwóch subskrypcji bezpłatnej wersji próbnej.

Jeśli spróbujemy przenieść jedną z tych subskrypcji jako podrzędną grupę zarządzania Production, to przeniesienie przerwie ścieżkę od przypisania roli subskrypcji do definicji roli grupy zarządzania Marketing. W tym scenariuszu zostanie wyświetlony błąd z informacją, że przeniesienie nie jest dozwolone, ponieważ spowoduje to zerwanie tej relacji.

Istnieje kilka różnych opcji rozwiązania tego scenariusza:

  • Usuń przypisanie roli z subskrypcji przed przeniesieniem subskrypcji do nowej nadrzędnej grupy zabezpieczeń.
  • Dodaj subskrypcję do zakresu, który można przypisać definicji roli.
  • Zmień zakres, który można przypisać w definicji roli. W powyższym przykładzie można zaktualizować zakresy, które można przypisać, z Marketing do głównej grupy zarządzania, aby definicja została osiągnięta przez obie gałęzie hierarchii.
  • Utwórz inną rolę niestandardową zdefiniowaną w innej gałęzi. Ta nowa rola wymaga również zmiany przypisania roli w subskrypcji.

Ograniczenia

Istnieją ograniczenia dotyczące używania ról niestandardowych w grupach zarządzania.

  • W zakresach przypisywalnych nowej roli można zdefiniować tylko jedną grupę zarządzania. To ograniczenie ma na celu zmniejszenie liczby sytuacji, w których definicje ról i przypisania ról są rozłączone. Taka sytuacja występuje, gdy subskrypcja lub grupa zarządzania z przypisaniem roli zostanie przeniesiony do innego elementu nadrzędnego, który nie ma definicji roli.
  • Nie można zdefiniować akcji płaszczyzny danych dostawcy zasobów w niestandardowych rolach grupy zarządzania. To ograniczenie jest dostępne, ponieważ występuje problem z opóźnieniem podczas aktualizowania dostawców zasobów płaszczyzny danych. Ten problem z opóźnieniem jest obecnie pracą i te akcje zostaną wyłączone z definicji roli w celu zmniejszenia ryzyka.
  • Azure Resource Manager nie weryfikuje istnienia grupy zarządzania w zakresie, który można przypisać definicji roli. Jeśli na liście znajduje się literówka lub nieprawidłowy identyfikator grupy zarządzania, definicja roli jest nadal tworzona.
  • Przypisanie roli z dataActions nie jest obsługiwane. Zamiast tego utwórz przypisanie roli w zakresie subskrypcji.

Ważne

Dodawanie grupy zarządzania do programu jest AssignableScopes obecnie dostępne w wersji zapoznawczej. Ta wersja zapoznawcza jest dostarczana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Przenoszenie grup zarządzania i subskrypcji

Aby przenieść grupę zarządzania lub subskrypcję jako podrzędną innej grupy zarządzania, należy ocenić trzy reguły jako prawdziwe.

W przypadku wykonywania akcji przenoszenia potrzebne są:

  • Uprawnienia do zapisu grupy zarządzania i przypisania roli w subskrypcji podrzędnej lub grupie zarządzania.
    • Przykładowa rola wbudowana Właściciel
  • Dostęp do zapisu grupy zarządzania w docelowej nadrzędnej grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania
  • Dostęp do zapisu grupy zarządzania w istniejącej nadrzędnej grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania

Wyjątek: jeśli docelowa lub istniejąca nadrzędna grupa zarządzania jest główną grupą zarządzania, wymagania dotyczące uprawnień nie mają zastosowania. Ponieważ główna grupa zarządzania jest domyślnym miejscem docelowym dla wszystkich nowych grup zarządzania i subskrypcji, nie potrzebujesz uprawnień do przenoszenia elementu.

Jeśli rola właściciela subskrypcji jest dziedziczona z bieżącej grupy zarządzania, cele przeniesienia są ograniczone. Subskrypcję można przenieść tylko do innej grupy zarządzania, w której masz rolę właściciela. Nie można przenieść jej do grupy zarządzania, do której jesteś współautorem, ponieważ utracisz własność subskrypcji. Jeśli subskrypcja jest przypisana bezpośrednio do roli właściciel (nie jest dziedziczona z grupy zarządzania), możesz przenieść ją do dowolnej grupy zarządzania, do której jesteś współautorem.

Inspekcja grup zarządzania przy użyciu dzienników aktywności

Grupy zarządzania są obsługiwane w dzienniku aktywności platformy Azure. Możesz wyszukiwać wszystkie zdarzenia, które wystąpiły w grupie zarządzania w tej samej lokalizacji centralnej co inne zasoby platformy Azure. Na przykład widoczne są wszystkie przypisania ról i zmiany przypisań zasad w określonej grupie zarządzania.

Zrzut ekranu przedstawiający dzienniki aktywności i operacje związane z wybraną grupą zarządzania.

Jeśli chcesz wykonać zapytanie dotyczące grup zarządzania spoza witryny Azure Portal, zakres docelowy grup zarządzania wygląda tak: „/providers/Microsoft.Management/managementGroups/{identyfikator_grupy_zarządzania}”.

Następne kroki

Aby dowiedzieć się więcej na temat grup zarządzania, zobacz: