Co to są grupy zarządzania platformy Azure?
Jeśli Organizacja ma wiele subskrypcji platformy Azure, może być konieczne efektywne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania zapewniają zakres nadzoru powyżej subskrypcji. Subskrypcje można organizować w grupy zarządzania; warunki ładu stosowane kaskadowo przez dziedziczenie do wszystkich skojarzonych subskrypcji.
Grupy zarządzania zapewniają zarządzanie klasy korporacyjnej na dużą skalę, niezależnie od typu subskrypcji, które możesz mieć. Jednak wszystkie subskrypcje w ramach jednej grupy zarządzania muszą ufać tej samej dzierżawie usługi Azure Active Directory (Azure AD).
Na przykład możesz zastosować do grupy zarządzania zasady ograniczające regiony dostępne na potrzeby tworzenia maszyny wirtualnej. Te zasady będą stosowane do wszystkich zagnieżdżonych grup zarządzania, subskrypcji i zasobów oraz zezwalania na tworzenie maszyn wirtualnych tylko w autoryzowanych regionach.
Hierarchia grup zarządzania i subskrypcji
Można utworzyć elastyczną strukturę grup zarządzania i subskrypcji w celu organizowania zasobów w hierarchię na potrzeby ujednoliconego zarządzania zasadami i dostępem. Na poniższym diagramie przedstawiono przykład tworzenia hierarchii dla nadzoru przy użyciu grup zarządzania.
Diagram głównej grupy zarządzania zawierającej zarówno grupy zarządzania, jak i subskrypcje. Niektóre podrzędne grupy zarządzania przechowują grupy zarządzania, niektóre przechowują subskrypcje, a niektóre przechowują obie te grupy. Jednym z przykładów w przykładowej hierarchii jest cztery poziomy grup zarządzania, a poziom podrzędny to wszystkie subskrypcje.
Można utworzyć hierarchię, która stosuje zasady, na przykład ograniczające lokalizacje maszyn wirtualnych do regionu Zachodnie stany USA w grupie zarządzania o nazwie "Corp". Te zasady będą dziedziczyć wszystkie subskrypcje Enterprise Agreement (EA), które są elementami podrzędnymi tej grupy zarządzania i będą stosowane do wszystkich maszyn wirtualnych w ramach tych subskrypcji. Te zasady zabezpieczeń nie mogą być zmieniane przez właściciela zasobu lub subskrypcji, co zapewnia lepsze zarządzanie.
Uwaga
Grupy zarządzania nie są obecnie obsługiwane w funkcjach usługi Cost Management dla subskrypcji Umowa z Klientem Microsoft (MCA).
Innym scenariuszem, w którym można użyć grup zarządzania, jest zapewnienie użytkownikom dostępu do wielu subskrypcji. Przenosząc wiele subskrypcji w ramach tej grupy zarządzania, można utworzyć jedno przypisanie roli platformy Azure w grupie zarządzania, która będzie dziedziczyć ten dostęp do wszystkich subskrypcji. Jedno przypisanie w grupie zarządzania może umożliwić użytkownikom dostęp do wszystkiego, czego potrzebują, zamiast wykonywać skrypty kontroli dostępu opartej na rolach platformy Azure w ramach różnych subskrypcji.
Ważne fakty dotyczące grup zarządzania
- W jednym katalogu może być obsługiwane 10000 grup zarządzania.
- Drzewo grupy zarządzania może obsługiwać maksymalnie sześć poziomów głębokości.
- Ten limit nie obejmuje poziomu głównego lub poziomu subskrypcji.
- Każda grupa zarządzania i subskrypcja może obsługiwać tylko jeden element nadrzędny.
- Każda grupa zarządzania może mieć wiele elementów podrzędnych.
- Wszystkie subskrypcje i grupy zarządzania znajdują się w jednej hierarchii w każdym katalogu. Zobacz Ważne informacje dotyczące głównej grupy zarządzania.
Główna grupa zarządzania dla każdego katalogu
Każdy katalog ma jedną grupę zarządzania najwyższego poziomu o nazwie głównej grupy zarządzania. Główna grupa zarządzania jest wbudowana w hierarchię, aby wszystkie grupy zarządzania i subskrypcje zostały złożone. Ta główna grupa zarządzania umożliwia stosowanie zasad globalnych i przypisań ról platformy Azure na poziomie katalogu. Administrator globalny usługi Azure AD musi podnieść swój poziom uprawnień do roli Administrator dostępu użytkowników, aby początkowo być właścicielem tej głównej grupy. Po dokonaniu dostępu administrator może przypisać dowolną rolę platformy Azure do innych użytkowników katalogu lub grup w celu zarządzania hierarchią. Jako administrator możesz przypisać swoje konto jako właściciela głównej grupy zarządzania.
Ważne fakty dotyczące głównej grupy zarządzania
- Domyślnie nazwa wyświetlana głównej grupy zarządzania to Grupa główna dzierżawy i działa jako grupa zarządzania. Identyfikator jest taką samą wartością jak identyfikator dzierżawy usługi Azure Active Directory (Azure AD).
- Aby zmienić nazwę wyświetlaną, twoje konto musi mieć przypisaną rolę Właściciel lub Współautor w głównej grupie zarządzania. Zobacz Zmienianie nazwy grupy zarządzania , aby zaktualizować nazwę grupy zarządzania.
- Głównej grupy zarządzania nie można przenieść ani usunąć, w odróżnieniu od innych grup zarządzania.
- Wszystkie subskrypcje i grupy zarządzania składają się w jedną główną grupę zarządzania w katalogu.
- Wszystkie zasoby w katalogu składają się do głównej grupy zarządzania dla globalnego zarządzania.
- Nowe subskrypcje są automatycznie domyślnie dodawane do głównej grupy zarządzania podczas tworzenia.
- Główna grupa zarządzania jest widoczna dla wszystkich klientów platformy Azure, ale nie wszyscy klienci mają dostęp do zarządzania tą główną grupą zarządzania.
- Każdy, kto ma dostęp do subskrypcji, może zobaczyć kontekst, w którym ta subskrypcja znajduje się w hierarchii.
- Nikt nie otrzymuje domyślnego dostępu do głównej grupy zarządzania. Administratorzy globalni usługi Azure AD są jedynymi użytkownikami, którzy mogą samodzielnie podnieść swój poziom uprawnień, aby uzyskać dostęp. Po uzyskaniu dostępu do głównej grupy zarządzania administratorzy globalni mogą przypisać dowolną rolę platformy Azure innym użytkownikom do zarządzania nią.
Ważne
Każde przypisanie dostępu użytkownika lub zasad w głównej grupie zarządzania ma zastosowanie do wszystkich zasobów w katalogu. W związku z tym wszyscy klienci powinni ocenić potrzebę posiadania elementów zdefiniowanych w tym zakresie. Przypisania dostępu użytkowników i zasad powinny być „niezbędne” tylko w tym zakresie.
Konfiguracja początkowa grup zarządzania
Kiedy dowolny użytkownik rozpoczyna korzystanie z grup zarządzania, wykonywany jest proces konfiguracji początkowej. Pierwszym jego krokiem jest utworzenie głównej grupy zarządzania w katalogu. Po utworzeniu tej grupy wszystkie istniejące subskrypcje, które znajdują się w katalogu, stają się elementami podrzędnymi głównej grupy zarządzania. Celem tego procesu jest upewnienie się, że istnieje tylko jedna hierarchia grup zarządzania w katalogu. Pojedyncza hierarchia w katalogu umożliwia klientom administracyjnym klientom stosowanie globalnego dostępu i zasad, których inni klienci w katalogu nie mogą obejść. Wszystkie elementy przypisane do katalogu głównego będą miały zastosowanie do całej hierarchii, która obejmuje wszystkie grupy zarządzania, subskrypcje, grupy zasobów i zasoby w ramach tej dzierżawy Azure AD.
Dostęp do grupy zarządzania
Grupy zarządzania platformy Azure obsługują kontrolę dostępu opartą na rolach (RBAC) platformy Azure dla wszystkich definicji dostępu do zasobów i ról. Te uprawnienia są dziedziczone do zasobów podrzędnych, które istnieją w hierarchii. Dowolną rolę platformy Azure można przypisać do grupy zarządzania, która będzie dziedziczyć hierarchię do zasobów. Na przykład współautor maszyny wirtualnej roli platformy Azure można przypisać do grupy zarządzania. Ta rola nie ma żadnej akcji w grupie zarządzania, ale dziedziczy wszystkie maszyny wirtualne w ramach tej grupy zarządzania.
Na poniższym wykresie przedstawiono listę ról i obsługiwane akcje na grupach zarządzania.
| Nazwa roli platformy Azure | Utwórz | Zmień nazwę | Przenoszenie** | Usuń | Przypisywanie dostępu | Przypisywanie zasad | Read |
|---|---|---|---|---|---|---|---|
| Właściciel | X | X | X | X | X | X | X |
| Współautor | X | X | X | X | X | ||
| Współautor grupy zarządzania* | X | X | X | X | X | ||
| Czytelnik | X | ||||||
| Czytelnik grupy zarządzania* | X | ||||||
| Współautor zasad zasobów | X | ||||||
| Administrator dostępu użytkowników | X | X |
*: Role Współautor grupy zarządzania i Czytelnik grupy zarządzania umożliwiają użytkownikom wykonywanie tych akcji tylko w zakresie grupy zarządzania.
**: Przypisania ról w głównej grupie zarządzania nie są wymagane do przeniesienia subskrypcji lub grupy zarządzania do i z niej.
Aby uzyskać szczegółowe informacje o przenoszeniu elementów w hierarchii, zobacz Zarządzanie zasobami przy użyciu grup zarządzania.
Niestandardowa definicja i przypisanie roli platformy Azure
Grupę zarządzania można zdefiniować jako możliwy do przypisania zakres w niestandardowej definicji roli platformy Azure. Rola niestandardowa platformy Azure będzie następnie dostępna do przypisania dla tej grupy zarządzania i dowolnej grupy zarządzania, subskrypcji, grupy zasobów lub zasobu. Rola niestandardowa będzie dziedziczyć hierarchię jak każda wbudowana rola. Aby uzyskać informacje o ograniczeniach dotyczących ról niestandardowych i grup zarządzania, zobacz Ograniczenia.
Przykładowa definicja
Definiowanie i tworzenie roli niestandardowej nie zmienia się wraz z dołączeniem grup zarządzania. Użyj pełnej ścieżki, aby zdefiniować grupę zarządzania /providers/Microsoft.Management/managementgroups/{groupId}.
Użyj identyfikatora grupy zarządzania, a nie nazwy wyświetlanej grupy zarządzania. Ten typowy błąd występuje, ponieważ oba te pola są polami zdefiniowanymi niestandardowymi podczas tworzenia grupy zarządzania.
...
{
"Name": "MG Test Custom Role",
"Id": "id",
"IsCustom": true,
"Description": "This role provides members understand custom roles.",
"Actions": [
"Microsoft.Management/managementgroups/delete",
"Microsoft.Management/managementgroups/read",
"Microsoft.Management/managementgroup/write",
"Microsoft.Management/managementgroup/subscriptions/delete",
"Microsoft.Management/managementgroup/subscriptions/write",
"Microsoft.resources/subscriptions/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.PolicyInsights/*",
"Microsoft.Authorization/roleAssignments/*",
"Microsoft.Authorization/roledefinitions/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/providers/microsoft.management/managementGroups/ContosoCorporate"
]
}
...
Problemy z przerywaniem definicji roli i ścieżki hierarchii przypisań
Definicje ról są przypisywanym zakresem w dowolnym miejscu w hierarchii grup zarządzania. Definicję roli można zdefiniować w nadrzędnej grupie zarządzania, gdy rzeczywiste przypisanie roli istnieje w subskrypcji podrzędnej. Ponieważ istnieje relacja między dwoma elementami, podczas próby oddzielenia przypisania od jego definicji zostanie wyświetlony błąd.
Przyjrzyjmy się na przykład małej sekcji hierarchii wizualizacji.
Diagram koncentruje się na głównej grupie zarządzania z podrzędnymi strefami docelowymi i grupami zarządzania piaskownicy. Grupa zarządzania strefami docelowymi ma dwie podrzędne grupy zarządzania o nazwie Corp i Online, podczas gdy grupa zarządzania piaskownicą ma dwie podrzędne subskrypcje.
Załóżmy, że istnieje rola niestandardowa zdefiniowana w grupie zarządzania piaskownicą. Ta rola niestandardowa jest następnie przypisywana w dwóch subskrypcjach piaskownicy.
Jeśli spróbujemy przenieść jedną z tych subskrypcji jako element podrzędny grupy zarządzania Corp, to przeniesienie spowoduje przerwanie ścieżki z przypisania roli subskrypcji do definicji roli grupy zarządzania piaskownicą. W tym scenariuszu zostanie wyświetlony błąd informujący, że przeniesienie nie jest dozwolone, ponieważ spowoduje to przerwanie tej relacji.
Istnieje kilka różnych opcji rozwiązania tego scenariusza:
- Usuń przypisanie roli z subskrypcji przed przeniesieniem subskrypcji do nowej nadrzędnej grupy dostępności.
- Dodaj subskrypcję do możliwego do przypisania zakresu definicji roli.
- Zmień zakres możliwy do przypisania w definicji roli. W powyższym przykładzie można zaktualizować możliwe do przypisania zakresy z piaskownicy do głównej grupy zarządzania, aby można było uzyskać dostęp do definicji przez obie gałęzie hierarchii.
- Utwórz inną rolę niestandardową zdefiniowaną w innej gałęzi. Ta nowa rola wymaga również zmiany przypisania roli w subskrypcji.
Ograniczenia
Istnieją ograniczenia, które istnieją w przypadku korzystania z ról niestandardowych w grupach zarządzania.
- Można zdefiniować tylko jedną grupę zarządzania w możliwych do przypisania zakresach nowej roli. To ograniczenie ma na celu zmniejszenie liczby sytuacji, w których definicje ról i przypisania ról są rozłączane. Taka sytuacja występuje, gdy subskrypcja lub grupa zarządzania z przypisaniem roli zostanie przeniesiona do innego elementu nadrzędnego, który nie ma definicji roli.
- Nie można zdefiniować akcji płaszczyzny danych dostawcy zasobów w rolach niestandardowych grupy zarządzania. To ograniczenie ma miejsce, ponieważ występuje problem z opóźnieniem podczas aktualizowania dostawców zasobów płaszczyzny danych. Ten problem z opóźnieniem jest opracowywany i te akcje zostaną wyłączone z definicji roli, aby zmniejszyć ryzyko.
- Usługa Azure Resource Manager nie weryfikuje istnienia grupy zarządzania w zakresie możliwym do przypisania określonym w definicji roli. Jeśli na liście znajduje się literówka lub nieprawidłowy identyfikator grupy zarządzania, definicja roli jest nadal tworzona.
Przenoszenie grup zarządzania i subskrypcji
Aby przenieść grupę zarządzania lub subskrypcję jako element podrzędny innej grupy zarządzania, należy ocenić trzy reguły jako prawdziwe.
Jeśli wykonujesz akcję przenoszenia, potrzebne są następujące elementy:
- Uprawnienia do zapisu i przypisywania ról grupy zarządzania w podrzędnej subskrypcji lub grupie zarządzania.
- Przykład roli wbudowanej: Właściciel
- Dostęp do zapisu grupy zarządzania w docelowej nadrzędnej grupie zarządzania.
- Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania
- Dostęp do zapisu grupy zarządzania w istniejącej nadrzędnej grupie zarządzania.
- Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania
Wyjątek: Jeśli element docelowy lub istniejąca nadrzędna grupa zarządzania jest główną grupą zarządzania, wymagania dotyczące uprawnień nie mają zastosowania. Ponieważ główna grupa zarządzania jest domyślnym miejscem docelowym dla wszystkich nowych grup zarządzania i subskrypcji, nie potrzebujesz uprawnień do przeniesienia elementu.
Jeśli rola Właściciel subskrypcji jest dziedziczona z bieżącej grupy zarządzania, cele przenoszenia są ograniczone. Subskrypcję można przenieść tylko do innej grupy zarządzania, w której masz rolę Właściciel . Nie można przenieść go do grupy zarządzania, w której jesteś współautorem , ponieważ utracisz własność subskrypcji. Jeśli jesteś bezpośrednio przypisany do roli Właściciel dla subskrypcji (nie dziedziczonej z grupy zarządzania), możesz przenieść ją do dowolnej grupy zarządzania, w której przypisano rolę Współautor .
Ważne
Usługa Azure Resource Manager buforuje szczegóły hierarchii grup zarządzania przez maksymalnie 30 minut. W związku z tym przeniesienie grupy zarządzania może nie zostać natychmiast odzwierciedlone w Azure Portal.
Inspekcja grup zarządzania przy użyciu dzienników aktywności
Grupy zarządzania są obsługiwane w dzienniku aktywności platformy Azure. Możesz wyszukiwać wszystkie zdarzenia, które wystąpiły w grupie zarządzania w tej samej lokalizacji centralnej co inne zasoby platformy Azure. Na przykład można zobaczyć wszystkie przypisania ról lub zmiany przypisania zasad wprowadzone w określonej grupie zarządzania.
Podczas wykonywania zapytań dotyczących grup zarządzania poza Azure Portal zakres docelowy grup zarządzania wygląda następująco: "/providers/Microsoft.Management/managementGroups/{management-group-id}".
Uwaga
Za pomocą interfejsu API REST usługi Azure Resource Manager można włączyć ustawienia diagnostyczne w grupie zarządzania w celu wysyłania powiązanych wpisów dziennika aktywności platformy Azure do obszaru roboczego usługi Log Analytics, usługi Azure Storage lub usługi Azure Event Hub. Aby uzyskać więcej informacji, zobacz Ustawienia diagnostyczne grupy zarządzania — tworzenie lub aktualizowanie.
Następne kroki
Aby dowiedzieć się więcej na temat grup zarządzania, zobacz: