Gerencie suas assinaturas do Azure em escala com grupos de gerenciamento

Se a sua organização tiver muitas subscrições, pode precisar de uma forma de gerir o acesso, as políticas e a conformidade dessas subscrições. Os grupos de gestão do Azure fornecem um nível de âmbito acima das subscrições. Estes permitem-lhe organizar as subscrições em contentores chamados "grupos de gestão" e aplicar as suas condições de governação aos grupos de gestão. Todas as subscrições num grupo de gestão herdam automaticamente as condições aplicadas ao grupo de gestão.

Os grupos de gestão dão-lhe capacidades de gestão de nível empresarial em grande escala, independentemente do seu tipo de subscrição. Para saber mais sobre grupos de gerenciamento, consulte Organizar seus recursos com grupos de gerenciamento do Azure.

Nota

Este artigo fornece passos sobre como eliminar dados pessoais do dispositivo ou serviço e pode ser utilizado para apoiar as suas obrigações ao abrigo do RGPD. Para obter informações gerais sobre o RGPD, consulte a secção RGPD do Centro de Confiança da Microsoft e a secção RGPD do Portal de Confiança do Serviço.

Importante

Os tokens de usuário e o cache do grupo de gerenciamento do Azure Resource Manager duram 30 minutos antes de serem forçados a atualizar. Depois de executar qualquer ação, como mover um grupo de gerenciamento ou assinatura, pode levar até 30 minutos para ser exibido. Para ver as atualizações mais cedo, você precisa atualizar seu token atualizando o navegador, entrando e saindo ou solicitando um novo token.

Importante

Os cmdlets Az PowerShell relacionados ao AzManagementGroup mencionam que -GroupId é o alias do parâmetro -GroupName, portanto, podemos usar qualquer um deles para fornecer a ID do Grupo de Gerenciamento como um valor de cadeia de caracteres.

Alterar o nome de um grupo de gestão

Você pode alterar o nome do grupo de gerenciamento usando o portal, o PowerShell ou a CLI do Azure.

Alterar o nome no portal

1. Inicie sessão no portal do Azure.

2. Selecione Todos os grupos de gerenciamento de serviços>.

3. Selecione o grupo de gerenciamento que você deseja renomear.

4. Selecione detalhes.

5. Selecione a opção Renomear grupo na parte superior da página.

   

6. Quando o menu abrir, digite o novo nome que você gostaria de ter exibido.

   

7. Selecione Guardar.

Alterar o nome no PowerShell

Para atualizar o nome para exibição, use Update-AzManagementGroup. Por exemplo, para alterar um nome de exibição de grupos de gerenciamento de "Contoso IT" para "Contoso Group", execute o seguinte comando:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Alterar o nome na CLI do Azure

Para a CLI do Azure, use o comando update.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Excluir um grupo de gerenciamento

Para eliminar um grupo de gestão, tem de cumprir os seguintes requisitos:

1. Não há grupos de gerenciamento filho ou assinaturas no grupo de gerenciamento. Para mover uma assinatura ou grupo de gerenciamento para outro grupo de gerenciamento, consulte Movendo grupos de gerenciamento e assinaturas na hierarquia.

2. Você precisa de permissões de gravação no grupo de gerenciamento ("Proprietário", "Colaborador" ou "Colaborador do Grupo de Gerenciamento"). Para ver quais permissões você tem, selecione o grupo de gerenciamento e, em seguida, selecione IAM. Para saber mais sobre as funções do Azure, consulte Controle de acesso baseado em função do Azure (Azure RBAC).

Eliminar no portal

1. Inicie sessão no portal do Azure.

2. Selecione Todos os grupos de gerenciamento de serviços>.

3. Selecione o grupo de gerenciamento que deseja excluir.

4. Selecione detalhes.

5. Selecione Eliminar

   

   Gorjeta

   Se o ícone estiver desativado, passar o mouse sobre o ícone mostra o motivo.

6. Há uma janela que se abre confirmando que você deseja excluir o grupo de gerenciamento.

   

7. Selecione Yes (Sim).

Excluir no PowerShell

Use o comando Remove-AzManagementGroup no PowerShell para excluir grupos de gerenciamento.

Remove-AzManagementGroup -GroupId 'Contoso'

Eliminação na CLI do Azure

Com a CLI do Azure, use o comando az account management-group delete.

az account management-group delete --name 'Contoso'

Ver grupos de gestão

Você pode exibir qualquer grupo de gerenciamento no qual tenha uma função direta ou herdada do Azure.

Ver no portal

1. Inicie sessão no portal do Azure.

2. Selecione Todos os grupos de gerenciamento de serviços>.

3. A página de hierarquia do grupo de gerenciamento será carregada. Esta página é onde você pode explorar todos os grupos de gerenciamento e assinaturas que você tem acesso. Selecionar o nome do grupo leva você a um nível inferior na hierarquia. A navegação funciona da mesma forma que um explorador de ficheiros.

4. Para ver os detalhes do grupo de gerenciamento, selecione o link (detalhes) ao lado do título do grupo de gerenciamento. Se esse link não estiver disponível, você não terá permissões para exibir esse grupo de gerenciamento.

   

Exibir no PowerShell

Use o comando Get-AzManagementGroup para recuperar todos os grupos. Consulte Módulos Az.Resources para obter a lista completa dos comandos GET PowerShell do grupo de gerenciamento.

Get-AzManagementGroup

Para obter informações de um único grupo de gerenciamento, use o parâmetro -GroupId

Get-AzManagementGroup -GroupId 'Contoso'

Para retornar um grupo de gerenciamento específico e todos os níveis da hierarquia sob ele, use os parâmetros -Expand e -Recurse .

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Exibir na CLI do Azure

Use o comando list para recuperar todos os grupos.

az account management-group list

Para obter informações de um único grupo de gerenciamento, use o comando show

az account management-group show --name 'Contoso'

Para retornar um grupo de gerenciamento específico e todos os níveis da hierarquia sob ele, use os parâmetros -Expand e -Recurse .

az account management-group show --name 'Contoso' -e -r

Mover grupos de gestão e subscrições

Um motivo para criar um grupo de gerenciamento é agrupar assinaturas. Somente grupos de gerenciamento e assinaturas podem ser filhos de outro grupo de gerenciamento. Uma assinatura que é movida para um grupo de gerenciamento herda todo o acesso de usuário e todas as políticas do grupo de gerenciamento pai. Você pode mover assinaturas entre grupos de gerenciamento. Tenha em atenção que uma subscrição só pode ter um grupo de gestão principal.

Ao mover um grupo de gerenciamento ou assinatura para ser filho de outro grupo de gerenciamento, três regras precisam ser avaliadas como verdadeiras.

Se você estiver executando a ação de movimentação, precisará de permissão em cada uma das seguintes camadas:

• Subscrição de criança / grupo de gestão
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (apenas para Subscrições)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Grupo de gerenciamento pai alvo
  • Microsoft.management/managementgroups/write
• Grupo de gerenciamento pai atual
  • Microsoft.management/managementgroups/write

Exceção: Se o destino ou o grupo de gerenciamento pai existente for o grupo de gerenciamento Raiz, os requisitos de permissões não se aplicam. Como o grupo de gerenciamento raiz é o ponto de destino padrão para todos os novos grupos de gerenciamento e assinaturas, você não precisa de permissões nele para mover um item.

Se a função Proprietário na assinatura for herdada do grupo de gerenciamento atual, suas metas de movimentação serão limitadas. Só pode mover a subscrição para outro grupo de gestão onde tenha a função de Proprietário. Não pode mover a subscrição para um grupo de gestão onde é apenas um contribuidor porque perderia a propriedade da subscrição. Se estiver diretamente atribuído à função Proprietário da subscrição, pode movê-la para qualquer grupo de gestão em que seja colaborador.

Para ver que permissões tem no portal do Azure, selecione o grupo de gestão e, em seguida, selecione IAM. Para saber mais sobre as funções do Azure, consulte Controle de acesso baseado em função do Azure (Azure RBAC).

Mover subscrições

Adicionar uma Subscrição existente a um grupo de gestão no portal

1. Inicie sessão no portal do Azure.

2. Selecione Todos os grupos de gerenciamento de serviços>.

3. Selecione o grupo de gerenciamento que você planeja ser o pai.

4. Na parte superior da página, selecione Adicionar assinatura.

5. Selecione a assinatura na lista com o ID correto.

   

6. Selecione "Salvar".

Remover uma subscrição de um grupo de gestão no portal

1. Inicie sessão no portal do Azure.

2. Selecione Todos os grupos de gerenciamento de serviços>.

3. Selecione o grupo de gerenciamento que você está planejando que é o pai atual.

4. Selecione a elipse no final da linha da subscrição na lista que pretende mover.

   

5. Selecione Mover.

6. No menu aberto, selecione o grupo Gerenciamento pai.

   

7. Selecione Guardar.

Mover assinaturas no PowerShell

Para mover uma assinatura no PowerShell, use o comando New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Para remover o link entre a assinatura e o grupo de gerenciamento, use o comando Remove-AzManagementGroupSubscription.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Mover assinaturas na CLI do Azure

Para mover uma assinatura na CLI, use o comando add.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Para remover a assinatura do grupo de gerenciamento, use o comando subscription remove.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Mover assinaturas no modelo ARM

Para mover uma assinatura em um modelo do Azure Resource Manager (modelo ARM), use o modelo a seguir e implante-o no nível do locatário.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Ou, o seguinte arquivo Bicep.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Mover grupos de gerenciamento

Mover grupos de gerenciamento no portal

1. Inicie sessão no portal do Azure.

2. Selecione Todos os grupos de gerenciamento de serviços>.

3. Selecione o grupo de gerenciamento que você planeja ser o pai.

4. Na parte superior da página, selecione Adicionar grupo de gerenciamento.

5. No menu que se abre, selecione se pretende um grupo de gestão novo ou utilizar um existente.

   • Selecionar novo criará um novo grupo de gerenciamento.
   • A seleção de um existente apresentará uma lista suspensa de todos os grupos de gerenciamento que você pode mover para esse grupo de gerenciamento.

   

6. Selecione Guardar.

Mover grupos de gerenciamento no PowerShell

Use o comando Update-AzManagementGroup no PowerShell para mover um grupo de gerenciamento em um grupo diferente.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Mover grupos de gerenciamento na CLI do Azure

Use o comando update para mover um grupo de gerenciamento com a CLI do Azure.

az account management-group update --name 'Contoso' --parent ContosoIT

Auditar os grupos de gestão que utilizam registos de atividades

Os grupos de gestão são suportados no Registo de Atividades do Azure. Você pode consultar todos os eventos que acontecem a um grupo de gerenciamento no mesmo local central que outros recursos do Azure. Por exemplo, pode ver todas as alterações de Atribuições de Funções ou de Atribuição de Política feitas a um grupo de gestão específico.

Quando quiser consultar Grupos de Gestão fora do portal do Azure, o âmbito de destino dos grupos de gestão é semelhante a "/ providers/Microsoft.Management/managementGroups/{yourMgID}".

Referenciando grupos de gerenciamento de outros provedores de recursos

Ao fazer referência a grupos de gerenciamento de outras ações do Provedor de Recursos, use o caminho a seguir como escopo. Esse caminho é usado ao usar o PowerShell, a CLI do Azure e as APIs REST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Um exemplo de uso desse caminho é ao atribuir uma nova atribuição de função a um grupo de gerenciamento no PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

O mesmo caminho de escopo é usado ao recuperar uma definição de política em um grupo de gerenciamento.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Próximos passos

Para saber mais sobre os grupos de gestão, veja:

• Criar grupos de gestão para organizar recursos do Azure
• Como alterar, eliminar ou gerir os seus grupos de gestão
• Rever os grupos de gestão no Módulo de Recursos do Azure PowerShell
• Rever os grupos de gestão na API REST
• Rever os grupos de gestão na CLI do Azure