Upprätta segmentering med hanteringsgrupper

  • Artikel
  • 3 minuter för att läsa

Hanteringsgrupper kan hantera resurser i flera prenumerationer konsekvent och effektivt. Men på grund av dess flexibilitet kan din design bli komplex och äventyra säkerheten och driften.

Stöd för segmenteringsstrategin med hanteringsgrupper

Strukturera hanteringsgrupper i en enkel design som vägleder företagssegmenteringsmodellen.

Hanteringsgrupper ger möjlighet att konsekvent och effektivt hantera resurser (inklusive flera prenumerationer efter behov). På grund av deras flexibilitet är det dock möjligt att skapa en alltför komplex design. Komplexiteten skapar förvirring och påverkar både åtgärder och säkerhet negativt (vilket illustreras av alltför komplexa organisationsenheter (OU) och grupprincip Object-design (GPO) för Active Directory).

Microsoft rekommenderar att du anpassar den översta nivån av hanteringsgrupper (MGs) till en enkel strategi för företagssegmentering och begränsar nivåerna till högst två.

I exempelreferensenfinns det företagsomfattande resurser som används av alla segment, en uppsättning kärntjänster som delar tjänster, ytterligare segment för varje arbetsbelastning.

  • Rothanteringsgrupp för företagsomfattande resurser.

    Använd rothanteringsgruppen för att inkludera identiteter som har krav på att tillämpa principer för varje resurs. Till exempel regelkrav, till exempel begränsningar som rör datasuveränitet. Den här gruppen är effektiv i genom att tillämpa principer, behörigheter, taggar, för alla prenumerationer.

    Varning

    Var försiktig när du använder rothanteringsgruppen eftersom principerna kan påverka alla resurser i Azure och potentiellt orsaka driftstopp eller andra negativa effekter. Överväganden finns i Använd rothanteringsgrupp med försiktighet senare i den här artikeln.

    Fullständig vägledning om hur du använder hanteringsgrupper för ett företag finns i CAF: Hanteringsgrupp och prenumerationsorganisation.

  • Hanteringsgrupp för varje arbetsbelastningssegment.

    Använd en separat hanteringsgrupp för team med begränsat ansvar. Den här gruppen krävs vanligtvis på grund av organisationens gränser eller regelkrav.

  • Rot- eller segmenthanteringsgrupp för kärnuppsättningen med tjänster.

Använd rothanteringsgruppen med försiktighet

Använd rothanteringsgruppen (MG) för företagskonsekvens, men testa ändringarna noggrant för att minimera risken för driftstörningar.

Med rothanteringsgruppen kan du säkerställa konsekvens i hela företaget genom att tillämpa principer, behörigheter och taggar för alla prenumerationer. Var försiktig när du planerar och implementerar tilldelningar till rothanteringsgruppen eftersom detta kan påverka alla resurser i Azure och potentiellt orsaka avbrott eller andra negativa effekter på produktiviteten i händelse av fel eller oväntade effekter.

  • Planera noggrant: Välj företagsomfattande element till rothanteringsgruppen som har ett tydligt krav på att tillämpas för varje resurs och/eller låg påverkan.

    Välj företagsomfattande identiteter som har ett tydligt krav på att tillämpas på alla resurser. Bra kandidater är:

    • Regelkrav med tydlig affärsrisk/effekt. Till exempel begränsningar som rör datasuveränitet.

    • Nära noll potentiella negativa effekter. Till exempel princip med granskningseffekt, taggtilldelning, Azure RBAC-behörighetstilldelningar som har granskats noggrant.

    Använd ett dedikerat SPN (tjänstens huvudnamn) för att köra hanteringsåtgärder för hanteringsgrupper, hanteringsåtgärder för prenumerationer och rolltilldelning. SPN minskar antalet användare som har utökade rättigheter och följer riktlinjerna för minsta behörighet. Tilldela administratör för användaråtkomst i rothanteringsgruppens omfång (/) för att bevilja det SPN som nyss nämnts åtkomst på rotnivå. När SPN har beviljats behörigheter kan rollen Administratör för användaråtkomst tas bort på ett säkert sätt. På så sätt är endast SPN en del av rollen Administratör för användaråtkomst. Tilldela behörigheten Deltagare till SPN, vilket tillåter åtgärder på klientnivå. Den här behörighetsnivån säkerställer att SPN kan användas för att distribuera och hantera resurser för alla prenumerationer i organisationen.

    Begränsa antalet Azure Policy tilldelningar som görs i rothanteringsgruppens omfång ( / ). Den här begränsningen minimerar felsökning av ärvda principer i hanteringsgrupper på lägre nivå.

    Skapa inga prenumerationer under rothanteringsgruppen. Den här hierarkin säkerställer att prenumerationer inte bara ärver den lilla uppsättningen Azure-principer som tilldelats på rotnivåhanteringsgruppen, som inte representerar en fullständig uppsättning som krävs för en arbetsbelastning.

  • Testa först: Planera, testa och validera alla företagsomfattande ändringar i rothanteringsgruppen innan du tillämpar (princip, taggar, Azure RBAC-modell och så vidare).

    • Testlabb: Representativ klientorganisation för labb eller labbsegment i produktionsklientorganisationen.

    • Produktionstest: Detta kan vara en segmenthanteringsgrupp eller en angiven delmängd i prenumerationens hanteringsgrupp.

  • Verifiera ändringar: för att säkerställa att de har önskad effekt.

Nästa steg

Administrativa konton