Grupo de gestão e organização de subscriçãoManagement group and subscription organization

Diagrama a mostrar a hierarquia do grupo de gestão.

Figura 1: Hierarquia do grupo de gestão.Figure 1: Management group hierarchy.

Definir uma hierarquia de grupo de gestãoDefine a management group hierarchy

As estruturas dos grupos de gestão num inquilino do Azure Active Directory (Azure AD) suportam o mapeamento organizacional e têm de ser consideradas minuciosamente quando uma organização planeia a adoção do Azure em escala.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and must be considered thoroughly when an organization plans Azure adoption at scale.

Considerações de conceção:Design considerations:

  • Os grupos de gestão podem ser usados para agregar atribuições de política e iniciativa através da Política Azure.Management groups can be used to aggregate policy and initiative assignments via Azure Policy.
  • Uma árvore de grupo de gestão pode suportar até seis níveis de profundidade.A management group tree can support up to six levels of depth. Este limite não inclui o nível de raiz do inquilino ou o nível de subscrição.This limit doesn't include the tenant root level or the subscription level.
  • Qualquer principal (utilizador, principal de serviço) dentro de um inquilino AZure AD pode criar novos grupos de gestão, uma vez que a autorização do RBAC para operações de grupo de gestão não é ativada por padrão.Any principal (user, service principal) within an Azure AD tenant can create new management groups as RBAC authorization for management group operations is not enabled by default.
  • Todas as novas subscrições serão colocadas sob o grupo de gestão de raiz por padrão.All new subscription will be placed under the root management group by default.

Recomendações de design:Design recommendations:

  • Mantenha a hierarquia do grupo de gestão razoavelmente plana com não mais do que três a quatro níveis, idealmente.Keep the management group hierarchy reasonably flat with no more than three to four levels, ideally. Esta restrição reduz a sobrecarga de gestão e a complexidade.This restriction reduces management overhead and complexity.
  • Evite duplicar a sua estrutura organizacional numa hierarquia de grupo de gestão profundamente aninhada.Avoid duplicating your organizational structure into a deeply nested management group hierarchy. Os grupos de gestão devem ser utilizados para a atribuição de políticas versus efeitos de faturação.Management groups should be used for policy assignment versus billing purposes. Esta abordagem requer a utilização de grupos de gestão para o fim a que se destina na arquitetura em escala empresarial, que está a fornecer políticas Azure para cargas de trabalho que exijam o mesmo tipo de segurança e conformidade ao abrigo do mesmo nível de grupo de gestão.This approach necessitates using management groups for their intended purpose in enterprise-scale architecture, which is providing Azure policies for workloads that require the same type of security and compliance under the same management group level.
  • Crie grupos de gestão no âmbito do seu grupo de gestão de nível de raiz para representar os tipos de cargas de trabalho (arquétipo) que irá hospedar e os que têm em função das suas necessidades de segurança, conformidade, conectividade e funcionalidade.Create management groups under your root-level management group to represent the types of workloads (archetype) that you'll host and ones based on their security, compliance, connectivity, and feature needs. Esta estrutura de agrupamento permite-lhe ter um conjunto de políticas do Azure aplicadas ao nível do grupo de gestão para todas as cargas de trabalho que requerem as mesmas definições de funcionalidade, conectividade, conformidade e segurança.This grouping structure allows you to have a set of Azure policies applied at the management group level for all workloads that require the same security, compliance, connectivity, and feature settings.
  • Utilize etiquetas de recursos, que podem ser impostas ou anexadas através do Azure Policy, para consultar e navegar horizontalmente na hierarquia de grupo de gestão.Use resource tags, which can be enforced or appended through Azure Policy, to query and horizontally navigate across the management group hierarchy. Em seguida, pode agrupar recursos para as necessidades de pesquisa sem ter de utilizar uma hierarquia de grupo de gestão complexa.Then you can group resources for search needs without having to use a complex management group hierarchy.
  • Crie um grupo de gestão de sandbox de nível superior para permitir que os utilizadores experimentem imediatamente o Azure.Create a top-level sandbox management group to allow users to immediately experiment with Azure. Os utilizadores podem experimentar os recursos que ainda não são permitidos nos ambientes de produção.Users can then experiment with resources that might not yet be allowed in production environments. O sandbox fornece isolamento dos seus ambientes de produção, teste e desenvolvimento.The sandbox provides isolation from your development, test, and production environments.
  • Utilize um nome do principal do serviço (SPN) dedicado para executar operações de gestão de grupos de gestão, operações de gestão de subscrições e atribuição de funções.Use a dedicated service principal name (SPN) to execute management group management operations, subscription management operations, and role assignment. A utilização de um SPN reduz o número de utilizadores com direitos elevados e segue as diretrizes de privilégio mínimo.Using an SPN reduces the number of users who have elevated rights and follows least-privilege guidelines.
  • Atribua o User Access Administrator papel de controlo de acesso baseado em funções (RBAC) no âmbito do grupo de gestão de raiz ( ) para conceder ao / SPN o acesso a nível de raiz.Assign the User Access Administrator Azure role-based access control (RBAC) role at the root management group scope (/) to grant the SPN just mentioned access at the root level. Após a autorização do SPN, a User Access Administrator função pode ser removida com segurança.After the SPN is granted permissions, the User Access Administrator role can be safely removed. Desta forma, apenas a SPN faz parte do User Access Administrator papel.In this way, only the SPN is part of the User Access Administrator role.
  • Atribuir Contributor autorização à SPN anteriormente mencionada no âmbito do grupo de gestão de raiz , / que permite operações ao nível do inquilino.Assign Contributor permission to the SPN previously mentioned at the root management group scope (/), which allows tenant-level operations. Este nível de permissão garante que o SPN pode ser utilizado para implementar e gerir recursos para qualquer subscrição na sua organização.This permission level ensures that the SPN can be used to deploy and manage resources to any subscription within your organization.
  • Criar um Platform grupo de gestão no âmbito do grupo de gestão de raízes para apoiar a política comum da plataforma e a atribuição do RBAC.Create a Platform management group under the root management group to support common platform policy and RBAC assignment. Esta estrutura de agrupamento garante que diferentes políticas podem ser aplicadas às subscrições utilizadas para a base do Azure.This grouping structure ensures that different policies can be applied to the subscriptions used for your Azure foundation. Também garante que a faturação de recursos comuns é centralizada num único conjunto de subscrições fundamentais.It also ensures that the billing for common resources is centralized in one set of foundational subscriptions.
  • Limitar o número de atribuições da Política Azure efetuadas no âmbito do grupo de gestão de raiz / ().Limit the number of Azure Policy assignments made at the root management group scope (/). Esta limitação minimiza a depuração das políticas herdadas em grupos de gestão de nível inferior.This limitation minimizes debugging inherited policies in lower-level management groups.
  • Certifique-se de que apenas os utilizadores privilegiados podem operar grupos de gestão no arrendatário, permitindo a autorização do RBAC nas definições da hierarquia do grupo de gestão.Ensure only privileged users can operate management groups in the tenant by enabling RBAC authorization in the management group hierarchy settings.
  • Configure um grupo de gestão padrão e dedicado para novas subscrições para garantir que nenhuma subscrição é colocada sob o grupo de gestão de raiz.Configure a default, dedicated management group for new subscriptions to ensure no subscriptions are placed under the root management group.

Governação e organização da subscriçãoSubscription organization and governance

As subscrições são uma unidade de gestão, faturação e dimensionamento no Azure.Subscriptions are a unit of management, billing, and scale within Azure. Desempenham um papel crítico quando se pretende a adoção em grande escala do Azure.They play a critical role when you're designing for large-scale Azure adoption. Esta secção ajuda a capturar os requisitos da subscrição e criar subscrições de destino com base em fatores críticos.This section helps you capture subscription requirements and design target subscriptions based on critical factors. Estes fatores são o tipo de ambiente, modelo de propriedade e governação, estrutura organizacional e portefólios de aplicações.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

Considerações de conceção:Design considerations:

  • As assinaturas servem como limites para a atribuição de políticas Azure.Subscriptions serve as boundaries for assigning Azure policies. Por exemplo, as cargas de trabalho seguras, como as cargas de trabalho de PCI (Payment Card Industry), requerem normalmente políticas adicionais para alcançar a conformidade.For example, secure workloads such as Payment Card Industry (PCI) workloads typically require additional policies to achieve compliance. Em vez de utilizar um grupo de gestão para agrupar cargas de trabalho que requerem a conformidade com PCI, pode obter o mesmo isolamento com uma subscrição.Instead of using a management group to group workloads that require PCI compliance, you can achieve the same isolation with a subscription. Desta forma, não há muitos grupos de gestão com um pequeno número de subscrições.This way, you don't have too many management groups with a small number of subscriptions.
  • As subscrições servem como uma unidade de escala para que as cargas de trabalho dos componentes possam escalar dentro dos limites de subscriçãoda plataforma.Subscriptions serve as a scale unit so that component workloads can scale within the platform subscription limits. Certifique-se de que considera os limites de recursos de subscrição durante as sessões de design de carga de trabalho.Make sure to consider subscription resource limits during your workload design sessions.
  • As subscrições fornecem um limite de gestão para governação e isolamento, que cria uma separação clara das preocupações.Subscriptions provide a management boundary for governance and isolation, which creates a clear separation of concerns.
  • Há um processo manual, automação futura planeada, que pode ser conduzido para limitar um inquilino AD AZure para usar apenas assinaturas de inscrição do Enterprise Agreement.There's a manual process, planned future automation, that can be conducted to limit an Azure AD tenant to use only Enterprise Agreement enrollment subscriptions. Este processo impede a criação de subscrições da Microsoft Developer Network no âmbito do grupo de gestão de raiz.This process prevents creation of Microsoft Developer Network subscriptions at the root management group scope.

Recomendações de design:Design recommendations:

  • Trate as subscrições como uma unidade de gestão democratizada alinhada com as necessidades e prioridades do negócio.Treat subscriptions as a democratized unit of management aligned with business needs and priorities.
  • Informe os proprietários das subscrições das respetivas funções e responsabilidades:Make subscription owners aware of their roles and responsibilities:
    • Efetue uma revisão de acesso no Azure AD Privileged Identity Management trimestral ou duas vezes por ano para garantir que os privilégios não proliferam à medida que os utilizadores se movem na organização do cliente.Perform an access review in Azure AD Privileged Identity Management quarterly or twice a year to ensure that privileges don't proliferate as users move within the customer organization.
    • Assuma o controlo total dos gastos de orçamento e utilização de recursos.Take full ownership of budget spending and resource utilization.
    • Garanta a conformidade da política e corrija quando necessário.Ensure policy compliance and remediate when necessary.
  • Utilize os seguintes princípios ao identificar requisitos para novas subscrições:Use the following principles when identifying requirements for new subscriptions:
    • Limites de escala: As subscrições servem como uma unidade de escala para as cargas de trabalho dos componentes para escalar dentro dos limites de subscrição da plataforma.Scale limits: Subscriptions serve as a scale unit for component workloads to scale within platform subscription limits. Por exemplo, as cargas de trabalho grandes e especializadas, como computação de alto desempenho, IoT e SAP, são mais adequadas para subscrições separadas de modo a evitar limites (por exemplo, um limite de 50 integrações do Azure Data Factory).For example, large, specialized workloads such as high-performance computing, IoT, and SAP are all better suited to use separate subscriptions to avoid limits (such as a limit of 50 Azure Data Factory integrations).
    • Limite de gestão: As assinaturas proporcionam um limite de gestão para a governação e o isolamento, o que permite uma clara separação de preocupações.Management boundary: Subscriptions provide a management boundary for governance and isolation, which allows for a clear separation of concerns. Por exemplo, diferentes ambientes, como desenvolvimento, teste e produção, são geralmente isolados de uma perspetiva de gestão.For example, different environments such as development, test, and production are often isolated from a management perspective.
    • Limite de política: As assinaturas servem como limite para a atribuição de políticas Azure.Policy boundary: Subscriptions serve as a boundary for the assignment of Azure policies. Por exemplo, as cargas de trabalho seguras, como PCI, requerem normalmente políticas adicionais para alcançar a conformidade.For example, secure workloads such as PCI typically require additional policies to achieve compliance. Esta sobrecarga adicional não tem de ser considerada de forma holística se for utilizada uma subscrição separada.This additional overhead doesn't need to be considered holistically if a separate subscription is used. Da mesma forma, os ambientes de desenvolvimento podem ter requisitos de política mais relaxados em relação aos ambientes de produção.Similarly, development environments might have more relaxed policy requirements relative to production environments.
    • Topologia da rede alvo: As redes virtuais não podem ser partilhadas através de subscrições, mas podem conectar-se com diferentes tecnologias, como o espreitamento de redes virtuais ou o Azure ExpressRoute.Target network topology: Virtual networks can't be shared across subscriptions, but they can connect with different technologies such as virtual network peering or Azure ExpressRoute. Considere que cargas de trabalho têm de comunicar entre si quando decidir se é necessária uma nova subscrição.Consider which workloads must communicate with each other when you decide whether a new subscription is required.
  • Agrupe subscrições em grupos de gestão alinhados na estrutura do grupo de gestão e requisitos de política em escala.Group subscriptions together under management groups aligned within the management group structure and policy requirements at scale. O agrupamento garante que as subscrições com o mesmo conjunto de políticas e atribuições de RBAC podem herdá-las de um grupo de gestão, o que evita atribuições duplicadas.Grouping ensures that subscriptions with the same set of policies and RBAC assignments can inherit them from a management group, which avoids duplicate assignments.
  • Estabeleça uma subscrição de gestão dedicada no grupo de Platform gestão para apoiar capacidades de gestão global, tais como espaços de trabalho Azure Monitor Log Analytics e runbooks da Azure Automation.Establish a dedicated management subscription in the Platform management group to support global management capabilities such as Azure Monitor Log Analytics workspaces and Azure Automation runbooks.
  • Estabeleça uma subscrição de identidade dedicada no grupo de Platform gestão para hospedar controladores de domínio do Windows Server Ative, quando necessário.Establish a dedicated identity subscription in the Platform management group to host Windows Server Active Directory domain controllers, when necessary.
  • Estabeleça uma subscrição de conectividade dedicada no Platform grupo de gestão para hospedar um hub Azure Virtual WAN, sistema privado de nome de domínio (DNS), circuito ExpressRoute e outros recursos de networking.Establish a dedicated connectivity subscription in the Platform management group to host an Azure Virtual WAN hub, private Domain Name System (DNS), ExpressRoute circuit, and other networking resources. Uma subscrição dedicada garante que todos os recursos de rede de base são faturados em conjunto e isolados de outras cargas de trabalho.A dedicated subscription ensures that all foundation network resources are billed together and isolated from other workloads.
  • Evite um modelo de subscrição rígido e opte por um conjunto de critérios flexíveis para agrupar subscrições em toda a organização.Avoid a rigid subscription model, and opt instead for a set of flexible criteria to group subscriptions across the organization. Esta flexibilidade garante que, à medida que a composição da carga de trabalho e estrutura da organização muda, pode criar novos grupos de subscrição em vez de utilizar um conjunto fixo de subscrições existentes.This flexibility ensures that as your organization's structure and workload composition changes, you can create new subscription groups instead of using a fixed set of existing subscriptions. Não existe uma abordagem única para as subscrições.One size doesn't fit all for subscriptions. O que funciona para uma unidade empresarial pode não funcionar para outra.What works for one business unit might not work for another. Algumas aplicações podem coexistir na mesma subscrição de zona de destino, enquanto outras podem exigir a sua própria subscrição.Some applications might coexist within the same landing zone subscription while others might require their own subscription.

Configurar a capacidade e quota da subscriçãoConfigure subscription quota and capacity

Cada região do Azure contém um número finito de recursos.Each Azure region contains a finite number of resources. Quando considera uma adoção do Azure à escala empresarial que envolve grandes quantidades de recursos, certifique-se de que estão disponíveis SKUs e capacidades suficientes, e que a capacidade obtida pode ser compreendida e monitorizada.When you consider an enterprise-scale Azure adoption that involves large resource quantities, ensure that sufficient capacity and SKUs are available and the attained capacity can be understood and monitored.

Considerações de conceção:Design considerations:

  • Considere os limites e quotas na plataforma Azure para cada serviço que as suas cargas de trabalho requerem,Consider limits and quotas within the Azure platform for each service that your workloads require.
  • Considere a disponibilidade de SKUs necessários nas regiões de Azure escolhidas.Consider the availability of required SKUs within chosen Azure regions. Por exemplo, podem estar disponíveis novas funcionalidades apenas em determinadas regiões.For example, new features might be available only in certain regions. A disponibilidade de certos SKUs para determinados recursos, tais como VMs, pode ser diferente de uma região para outra.The availability of certain SKUs for given resources such as VMs might be different from one region to another.
  • Considere que as quotas de subscrição não são garantias de capacidade e são aplicadas por região.Consider that subscription quotas aren't capacity guarantees and are applied on a per-region basis.

Recomendações de design:Design recommendations:

  • Use as subscrições como unidades de escala e escale recursos e subscrições conforme necessário.Use subscriptions as scale units, and scale out resources and subscriptions as required. A sua carga de trabalho pode utilizar os recursos necessários para aumentar horizontalmente, conforme necessário, sem atingir os limites de subscrição na plataforma Azure.Your workload can then use the required resources for scaling out, when needed, without hitting subscription limits in the Azure platform.
  • Utilize instâncias reservadas para priorizar a capacidade reservada em regiões necessárias.Use reserved instances to prioritize reserved capacity in required regions. A sua carga de trabalho terá a capacidade necessária, mesmo quando existir uma grande procura desse recurso numa região específica.Then your workload will have the required capacity even when there's a high demand for that resource in a specific region.
  • Estabeleça um dashboard com vistas personalizadas para monitorizar os níveis de capacidade utilizados.Establish a dashboard with custom views to monitor used capacity levels. Configure alertas se a utilização da capacidade estiver a atingir níveis críticos (por exemplo, 90% de utilização da CPU).Set up alerts if capacity utilization is reaching critical levels (for example, 90 percent CPU utilization).
  • Crie pedidos de suporte para aumento de quota como parte do aprovisionamento da subscrição (por exemplo, total disponível de núcleos de VM numa subscrição).Raise support requests for quota increase as a part of subscription provisioning (for example, total available VM cores within a subscription). Esta abordagem garante que os seus limites de quota são definidos antes que as cargas de trabalho exijam ultrapassar os limites predefinidos.This approach ensures your quota limits are set before your workloads require going over the default limits.
  • Garanta que as funcionalidades e os serviços necessários estão disponíveis nas regiões de implementação escolhidas.Ensure required services and features are available within the chosen deployment regions.

Estabelecer a gestão de custosEstablish cost management

A transparência de custos na propriedade técnica é um desafio de gestão crítico enfrentado por grandes organizações empresariais.Cost transparency across a technical estate is a critical management challenge faced by every large enterprise organization. Esta secção explora os principais aspetos associados à forma como a transparência de custos pode ser obtida em grandes ambientes do Azure.This section explores key aspects associated with how cost transparency can be achieved across large Azure environments.

Considerações de conceção:Design considerations:

  • Potencial necessidade de modelos de backback em que estejam em causa recursos partilhados como um serviço (PaaS), como o Azure App Service Environment e o Azure Kubernetes Service, que poderá ter de ser partilhado para atingir uma maior densidade.Potential need for chargeback models where shared platform as a service (PaaS) resources are concerned, such as Azure App Service Environment and Azure Kubernetes Service, which might need to be shared to achieve higher density.
  • Utilize uma agenda de encerramento para cargas de trabalho de não produção de forma a otimizar os custos.Use a shutdown schedule for nonproduction workloads to optimize costs.
  • Utilize o Assistente do Azure para verificar as recomendações de otimização de custos.Use Azure Advisor to check cost optimization recommendations.

Recomendações de design:Design recommendations:

  • Utilize a Azure Cost Management + Faturação para agregação de custos.Use Azure Cost Management + Billing for cost aggregation. Disponibilize-o para os proprietários das aplicações.Make it available to application owners.
  • Utilize as etiquetas de recursos do Azure para categorização de custos e agrupamento de recursos.Use Azure resource tags for cost categorization and resource grouping. A utilização de etiquetas permite que tenha um mecanismo de estorno para cargas de trabalho que partilham uma subscrição ou para uma determinada carga de trabalho que se estende por várias subscrições.Using tags allows you to have a chargeback mechanism for workloads that share a subscription or for a given workload that spans across multiple subscriptions.