Управление ресурсами с помощью групп управленияManage your resources with management groups

Если в вашей организации оформлено много подписок, возможно, потребуется повысить эффективность управления доступом, политиками и соответствием требованиям для этих подписок.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Группы управления Azure обеспечивают высокий уровень охвата подписок.Azure management groups provide a level of scope above subscriptions. Подписки упорядочиваются в контейнеры, которые называются группами управления. К ним применяются условия системы управления.You organize subscriptions into containers called "management groups" and apply your governance conditions to the management groups. Все подписки в группе управления автоматически наследуют условия, применяемые к группе управления.All subscriptions within a management group automatically inherit the conditions applied to the management group.

Группы управления обеспечивают корпоративное управление в больших масштабах независимо от типа подписки.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have. Дополнительные сведения о группах управления см. в статье Упорядочение ресурсов с помощью групп управления Azure.To learn more about management groups, see Organize your resources with Azure management groups.

Примечание

В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR).This article provides steps for how to delete personal data from the device or service and can be used to support your obligations under the GDPR. Если вы ищете общие сведения о GDPR, см. раздел о GDPR на Service Trust Portal.If you’re looking for general info about GDPR, see the GDPR section of the Service Trust portal.

Важно!

Токены пользователей и кэш группы управления в Azure Resource Manager сохраняются в течение 30 минут, а затем принудительно обновляются.Azure Resource Manager user tokens and management group cache lasts for 30 minutes before they are forced to refresh. После выполнения любых действий, таких как перемещение группы управления или подписки, изменения могут отобразиться только через 30 минут.After doing any action like moving a management group or subscription, it might take up to 30 minutes to show. Чтобы увидеть их раньше, вам нужно принудительно обновить токен. Для этого обновите страницу в браузере, выйдите из системы и снова войдите, или запросите новый токен.To see the updates sooner you need to update your token by refreshing the browser, signing in and out, or requesting a new token.

Изменение имени группы управленияChange the name of a management group

Имя группы управления можно изменить с помощью портала, PowerShell или Azure CLI.You can change the name of the management group by using the portal, PowerShell, or Azure CLI.

Изменение имени на порталеChange the name in the portal

  1. Войдите на портал Azure.Log into the Azure portal.

  2. Выберите Все службы > Группы управления.Select All services > Management groups.

  3. Выберите группу управления, которую требуется переименовать.Select the management group you would like to rename.

  4. Щелкните Сведения.Select details.

  5. Выберите параметр Переименовать группу в верхней части страницы.Select the Rename group option at the top of the page.

    Снимок экрана: панель действий и кнопка переименовать группу на странице группы управления.

  6. Когда откроется меню, введите новое имя.When the menu opens, enter the new name you would like to have displayed.

    Снимок экрана: окно Переименование группы и параметры для переименования группы управления.

  7. Щелкните Сохранить.Select Save.

Изменение имени в PowerShellChange the name in PowerShell

Чтобы обновить отображаемое имя, выполните команду Update-AzManagementGroup.To update the display name use Update-AzManagementGroup. Например, чтобы изменить отображаемое имя группы управления с Contoso IT на Contoso Group, выполните следующую команду.For example, to change a management groups display name from "Contoso IT" to "Contoso Group", you run the following command:

Update-AzManagementGroup -GroupName 'ContosoIt' -DisplayName 'Contoso Group'

Изменение имени в Azure CLIChange the name in Azure CLI

Для Azure CLI используется команда обновления.For Azure CLI, use the update command.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Удаление группы управленияDelete a management group

Чтобы удалить группу управления, необходимо выполнить следующие требования:To delete a management group, the following requirements must be met:

  1. В группе управления нет дочерних групп управления или подписок.There are no child management groups or subscriptions under the management group. Сведения о перемещении подписки или группы управления в другую группу управления см. в разделе Перемещение групп управления и подписок в иерархии.To move a subscription or management group to another management group, see Moving management groups and subscriptions in the hierarchy.

  2. Вам потребуются разрешения на запись для группы управления (роль "Владелец", "Участник" или "Участник группы управления").You need write permissions on the management group ("Owner", "Contributor", or "Management Group Contributor"). Чтобы получить сведения об имеющихся разрешениях, выберите группу управления, а затем выберите IAM.To see what permissions you have, select the management group and then select IAM. Дополнительные сведения о ролях Azure см. в разделеTo learn more on Azure roles, see
    Управление доступом и разрешениями с помощью Azure RBAC.Manage access and permissions with RBAC.

Удаление на порталеDelete in the portal

  1. Войдите на портал Azure.Log into the Azure portal.

  2. Выберите Все службы > Группы управления.Select All services > Management groups.

  3. Выберите группу управления, которую требуется удалить.Select the management group you would like to delete.

  4. Щелкните Сведения.Select details.

  5. Выберите Удалить.Select Delete

    Снимок экрана: страница группы управления с выделенной кнопкой Удалить.

    Совет

    Если значок неактивен, наведите указатель мыши на значок, чтобы узнать причину.If the icon is disabled, hovering your mouse selector over the icon shows you the reason.

  6. Откроется окно, в котором нужно подтвердить удаление группы управления.There's a window that opens confirming you want to delete the management group.

    Снимок экрана с диалоговым окном подтверждения Удаление группы для удаления группы управления.

  7. Выберите Да.Select Yes.

Удаление в PowerShellDelete in PowerShell

В PowerShell для удаления группы управления выполните команду Remove-AzManagementGroup.Use the Remove-AzManagementGroup command within PowerShell to delete management groups.

Remove-AzManagementGroup -GroupName 'Contoso'

Удаление в Azure CLIDelete in Azure CLI

В Azure CLI используется команда az account management-group delete.With Azure CLI, use the command az account management-group delete.

az account management-group delete --name 'Contoso'

Просмотр групп управленияView management groups

Вы можете просмотреть любую группу управления, на которой имеется прямая или унаследованная роль Azure.You can view any management group you have a direct or inherited Azure role on.

Просмотр на порталеView in the portal

  1. Войдите на портал Azure.Log into the Azure portal.

  2. Выберите Все службы > Группы управления.Select All services > Management groups.

  3. Загрузится страница иерархического дерева группы управления.The management group hierarchy page will load. На этой странице вы можете изучить все группы управления и подписки, к которым у вас есть доступ.This page is where you can explore all the management groups and subscriptions you have access to. При выборе имени группы открывается нижний уровень в иерархии.Selecting the group name takes you down a level in the hierarchy. Навигация работает так же, как и в обозревателе файлов.The navigation works the same as a file explorer does.

  4. Чтобы просмотреть сведения о группе управления, перейдите по ссылке (подробности) рядом с заголовком группы управления.To see the details of the management group, select the (details) link next to the title of the management group. Если ссылка недоступна, у вас нет разрешения на просмотр этой группы управления.If this link isn't available, you don't have permissions to view that management group.

    Снимок экрана: страница группы управления, в которой отображаются дочерние группы управления и подписки.

Просмотр в PowerShellView in PowerShell

Для получения всех групп выполните команду Get-AzManagementGroup.You use the Get-AzManagementGroup command to retrieve all groups. Полный список команд GET для группы управления в PowerShell см. в документации по модулям Az.Resources.See Az.Resources modules for the full list of management group GET PowerShell commands.

Get-AzManagementGroup

Для получения сведений об одной группе управления используйте параметр -GroupName.For a single management group's information, use the -GroupName parameter

Get-AzManagementGroup -GroupName 'Contoso'

Чтобы получить определенную группу управления и все ее вложенные элементы, используйте параметры -Expand и -Recurse.To return a specific management group and all the levels of the hierarchy under it, use -Expand and -Recurse parameters.

PS C:\> $response = Get-AzManagementGroup -GroupName TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Просмотр в Azure CLIView in Azure CLI

Для извлечения всех групп используется команда вывода списка.You use the list command to retrieve all groups.

az account management-group list

Для получения сведений об одной группе управления используется команда отображения.For a single management group's information, use the show command

az account management-group show --name 'Contoso'

Чтобы получить определенную группу управления и все ее вложенные элементы, используйте параметры -Expand и -Recurse.To return a specific management group and all the levels of the hierarchy under it, use -Expand and -Recurse parameters.

az account management-group show --name 'Contoso' -e -r

Перемещение групп управления и подписокMoving management groups and subscriptions

Одна из причин для создания группы управления — объединение подписок.One reason to create a management group is to bundle subscriptions together. Дочерним элементом группы управления могут быть только подписки и группы управления.Only management groups and subscriptions can be made children of another management group. При перемещении в группу управления подписка наследует все права доступа и политики пользователя из родительской группы управления.A subscription that moves to a management group inherits all user access and policies from the parent management group

При перемещении группы управления или подписки в качестве дочерней для другой группы управления необходимо оценить три правила, как true.When moving a management group or subscription to be a child of another management group, three rules need to be evaluated as true.

Чтобы выполнить перемещение, вам потребуется следующее:If you're doing the move action, you need:

  • Разрешения на запись сведений о группе управления и назначении роли в дочерней подписке или группе управления.Management group write and Role Assignment write permissions on the child subscription or management group.
    • Пример встроенной роли владелецBuilt-in role example Owner
  • Разрешения на запись сведений о группе управления в целевой родительской группе управления.Management group write access on the target parent management group.
    • Пример встроенной роли: Владелец, Участник, Участник группы управления.Built-in role example: Owner, Contributor, Management Group Contributor
  • Разрешения на запись сведений о группе управления в нынешней родительской группе управления.Management group write access on the existing parent management group.
    • Пример встроенной роли: Владелец, Участник, Участник группы управления.Built-in role example: Owner, Contributor, Management Group Contributor

Исключение. Если целевой или нынешней родительской группой управления является корневая группа управления, требования к разрешениям не применяются.Exception: If the target or the existing parent management group is the Root management group, the permissions requirements don't apply. Так как корневая группа управления по умолчанию считается родительской для всех новых групп управления и подписок, перемещение элементов в нее не требует дополнительных разрешений.Since the Root management group is the default landing spot for all new management groups and subscriptions, you don't need permissions on it to move an item.

Если роль владельца подписки наследуется из нынешней родительской группы управления, выбор целевых объектов для перемещения будет ограничен.If the Owner role on the subscription is inherited from the current management group, your move targets are limited. Вы можете переместить подписку только в другую группу управления, для которой у вас есть роль владельца.You can only move the subscription to another management group where you have the Owner role. Вы не сможете переместить ее в группу управления, для которой являетесь участником, так как при этом потеряете роль владельца для подписки.You can't move it to a management group where you're a contributor because you would lose ownership of the subscription. Если роль владельца для подписки назначена вам напрямую (не наследуется от группы управления), вы можете переместить подписку в любую группу управления, участником которой вы являетесь.If you're directly assigned to the Owner role for the subscription (not inherited from the management group), you're able to move it to any management group where you're a contributor.

Чтобы получить на портале Azure сведения о существующих разрешениях, выберите группу управления и щелкните IAM.To see what permissions you have in the Azure portal, select the management group and then select IAM. Дополнительные сведения о ролях Azure см. в статье Управление доступом и разрешениями с помощью RBAC.To learn more on Azure roles, see Manage access and permissions with RBAC.

Перемещение подписокMove subscriptions

Добавление существующей подписки в группу управления с помощью порталаAdd an existing Subscription to a management group in the portal

  1. Войдите на портал Azure.Log into the Azure portal.

  2. Выберите Все службы > Группы управления.Select All services > Management groups.

  3. Выберите группу управления, которую вы планируете сделать родительской.Select the management group you're planning to be the parent.

  4. В верхней части страницы выберите пункт Добавить подписку.At the top of the page, select Add subscription.

  5. Выберите подписку в списке с правильным идентификатором.Select the subscription in the list with the correct ID.

    Снимок экрана с параметрами добавить подписку для выбора существующей подписки, добавляемой в группу управления.

  6. Щелкните "Сохранить".Select "Save".

Удаление подписки из группы управления с помощью порталаRemove a subscription from a management group in the portal

  1. Войдите на портал Azure.Log into the Azure portal.

  2. Выберите Все службы > Группы управления.Select All services > Management groups.

  3. Выберите группу управления, которая является родительской.Select the management group you're planning that is the current parent.

  4. Выберите многоточие в конце строки подписки в списке, которую требуется переместить.Select the ellipse at the end of the row for the subscription in the list you want to move.

    Снимок экрана альтернативного меню подписки для выбора параметра Переместить.

  5. Выберите Переместить.Select Move.

  6. В открывшемся меню выберите родительскую группу управления.On the menu that opens, select the Parent management group.

    Снимок экрана: окно Переместить и параметры для перемещения подписки в другую группу управления.

  7. Щелкните Сохранить.Select Save.

Перемещение подписок в PowerShellMove subscriptions in PowerShell

Чтобы переместить подписку с помощью PowerShell, выполните команду New-AzManagementGroupSubscription.To move a subscription in PowerShell, you use the New-AzManagementGroupSubscription command.

New-AzManagementGroupSubscription -GroupName 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Чтобы удалить связь между подпиской и группой управления, выполните команду Remove-AzManagementGroupSubscription.To remove the link between and subscription and the management group use the Remove-AzManagementGroupSubscription command.

Remove-AzManagementGroupSubscription -GroupName 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Перемещение подписок в Azure CLIMove subscriptions in Azure CLI

Чтобы переместить подписку в CLI, используйте команду добавления.To move a subscription in CLI, you use the add command.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Чтобы удалить подписку из группы управления, используйте команду удаления.To remove the subscription from the management group, use the subscription remove command.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Перемещение групп управленияMove management groups

Перемещение групп управления на порталеMove management groups in the portal

  1. Войдите на портал Azure.Log into the Azure portal.

  2. Выберите Все службы > Группы управления.Select All services > Management groups.

  3. Выберите группу управления, которую вы планируете сделать родительской.Select the management group you're planning to be the parent.

  4. В верхней части страницы выберите пункт Добавить группу управления.At the top of the page, select Add management group.

  5. В открывшемся меню выберите создать новую или использовать существующую группу управления.In the menu that opens, select if you want a new or use an existing management group.

    • Если вы выберете новую, то создадите новую группу управления.Selecting new will create a new management group.
    • Если вы выберете существующую, вы сможете выбрать доступную группу управления из раскрывающегося списка.Selecting an existing will present you with a drop-down of all the management groups you can move to this management group.

    Снимок экрана: параметры добавить группу управления для создания новой группы управления.

  6. Щелкните Сохранить.Select Save.

Перемещение групп управления в PowerShellMove management groups in PowerShell

Чтобы переместить группу управления в другую группу с помощью PowerShell, выполните команду Update-AzManagementGroup.Use the Update-AzManagementGroup command in PowerShell to move a management group under a different group.

$parentGroup = Get-AzManagementGroup -GroupName ContosoIT
Update-AzManagementGroup -GroupName 'Contoso' -ParentId $parentGroup.id

Перемещение групп управления в Azure CLIMove management groups in Azure CLI

Чтобы переместить группу управления с помощью Azure CLI, используйте команду обновления.Use the update command to move a management group with Azure CLI.

az account management-group update --name 'Contoso' --parent ContosoIT

Аудит групп управления с помощью журналов действийAudit management groups using activity logs

Журнал действий Azure поддерживает группы управления.Management groups are supported within Azure Activity Log. Сведения обо всех событиях, происходящих в группе управления, можно получить в том же централизованном расположении, что и для других ресурсов Azure.You can query all events that happen to a management group in the same central location as other Azure resources. Например, вы можете просмотреть сведения обо всех изменениях в назначениях ролей или назначении политик, внесенные в пределах определенной группы управления.For example, you can see all Role Assignments or Policy Assignment changes made to a particular management group.

Снимок экрана журналов действий и операций, связанных с выбранной группой управления.

Если нужно создать запрос к группам управления вне портала Azure, целевая область для групп управления будет такой: "/providers/Microsoft.Management/managementGroups/{идентификатор_вашей_группы_управления}" .When looking to query on Management Groups outside of the Azure portal, the target scope for management groups looks like "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Ссылки на группы управления из других поставщиков ресурсовReferencing management groups from other Resource Providers

При использовании ссылок на группы управления из действий другого поставщика ресурсов используйте в качестве области следующий путь.When referencing management groups from other Resource Provider's actions, use the following path as the scope. Этот путь используется при работе с PowerShell, Azure CLI и REST API.This path is used when using PowerShell, Azure CLI, and REST APIs.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Вот пример использования этого пути при назначении новой роли для группы управления с помощью PowerShell.An example of using this path is when assigning a new role assignment to a management group in PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

При извлечении определения политики в группе управления используется тот же путь к области.The same scope path is used when retrieving a policy definition at a management group.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Дальнейшие действияNext steps

Дополнительные сведения о группах управления:To learn more about management groups, see: