Guia de início rápido: criar um grupo de gerenciamento com a API REST

  • Artigo

Os grupos de gerenciamento são contêineres que ajudam a gerenciar o acesso, a política e a conformidade em várias assinaturas. Crie esses contêineres para criar uma hierarquia eficaz e eficiente que possa ser usada com a Política do Azure e os Controles de Acesso Baseados em Função do Azure. Para obter mais informações sobre grupos de gerenciamento, consulte Organizar seus recursos com grupos de gerenciamento do Azure.

O primeiro grupo de gerenciamento criado no diretório pode levar até 15 minutos para ser concluído. Há processos que são executados pela primeira vez para configurar o serviço de grupos de gerenciamento no Azure para seu diretório. Você recebe uma notificação quando o processo é concluído. Para obter mais informações, consulte Configuração inicial de grupos de gerenciamento.

Pré-requisitos

  • Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

  • Se ainda não o fez, instale o ARMClient. É uma ferramenta que envia solicitações HTTP para APIs REST baseadas no Azure Resource Manager. Em vez disso, você pode usar o recurso "Try It" na documentação REST ou em ferramentas como Invoke-RestMethod ou Postman do PowerShell.

  • Qualquer usuário do Azure AD no locatário pode criar um grupo de gerenciamento sem a permissão de gravação do grupo de gerenciamento atribuída a esse usuário se a proteção de hierarquia não estiver habilitada. Esse novo grupo de gerenciamento se torna filho do Grupo de Gerenciamento Raiz ou do grupo de gerenciamento padrão e o criador recebe uma atribuição de função "Proprietário". O serviço de grupo de gerenciamento permite essa capacidade para que as atribuições de função não sejam necessárias no nível raiz. Nenhum usuário tem acesso ao Grupo de Gerenciamento Raiz quando ele é criado. Para evitar o obstáculo de encontrar os Administradores Globais do Azure AD para começar a usar grupos de gerenciamento, permitimos a criação dos grupos de gerenciamento iniciais no nível raiz.

Azure Cloud Shell

O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Pode utilizar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção Exemplo/Ligação
Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell. Screenshot that shows an example of Try It for Azure Cloud Shell.
Aceda a https://shell.azure.com ou selecione o botão Iniciar Cloud Shell para abrir o Cloud Shell no browser. Button to launch Azure Cloud Shell.
Selecione o botão Cloud Shell na barra de menus, na parte direita do portal do Azure. Screenshot that shows the Cloud Shell button in the Azure portal

Para usar o Azure Cloud Shell:

  1. Inicie o Cloud Shell.

  2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.

  3. Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.

  4. Selecione Enter para executar o código ou comando.

Criar na API REST

Para a API REST, use o ponto de extremidade Management Groups - Create or Update para criar um novo grupo de gerenciamento. Neste exemplo, o grupo de gerenciamento groupId é Contoso.

  • URI da API REST

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01

  • Corpo sem solicitação

O groupId é um identificador exclusivo que está sendo criado. Esse ID é usado por outros comandos para fazer referência a esse grupo e não pode ser alterado posteriormente.

Se desejar que o grupo de gerenciamento mostre um nome diferente no portal do Azure, adicione a propriedade properties.displayName no corpo da solicitação. Por exemplo, para criar um grupo de gerenciamento com o groupId da Contoso e o nome para exibição do Grupo Contoso, use o seguinte ponto de extremidade e corpo da solicitação:

  • URI da API REST

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01

  • Corpo do Pedido

    {
  "properties": {
    "displayName": "Contoso Group"
  }
}

Nos exemplos anteriores, o novo grupo de gerenciamento é criado sob o grupo de gerenciamento raiz. Para especificar um grupo de gerenciamento diferente como pai, use a propriedade properties.parent.id .

  • URI da API REST

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01

  • Corpo do Pedido

    {
  "properties": {
    "displayName": "Contoso Group",
    "parent": {
      "id": "/providers/Microsoft.Management/managementGroups/HoldingGroup"
    }
  }
}

Clean up resources (Limpar recursos)

Para remover o grupo de gerenciamento criado acima, use o ponto de extremidade Grupos de Gerenciamento - Excluir :

  • URI da API REST

    DELETE https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01

  • Corpo sem solicitação

Próximos passos

Neste guia de início rápido, você criou um grupo de gerenciamento para organizar sua hierarquia de recursos. O grupo de gerenciamento pode conter assinaturas ou outros grupos de gerenciamento.

Para saber mais sobre grupos de gerenciamento e como gerenciar sua hierarquia de recursos, continue:

Organizar os recursos com grupos de gestão