Vad är hanteringsgrupper i Azure?What are Azure management groups?

Om din organisation har många prenumerationer kan det behövas ett effektivt sätt att hantera åtkomst, principer och efterlevnad för prenumerationerna.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Azure-hanteringsgrupper ger en omgångsnivå som omfattar prenumerationer.Azure management groups provide a level of scope above subscriptions. Du kan ordna prenumerationerna i containrar som kallas hanteringsgrupper och tillämpa styrningsvillkor för hanteringsgrupperna.You organize subscriptions into containers called "management groups" and apply your governance conditions to the management groups. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas för hanteringsgruppen.All subscriptions within a management group automatically inherit the conditions applied to the management group. Hanteringsgrupper tillhandahåller hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have. Alla prenumerationer i en hanteringsgrupp måste ha förtroende för samma Azure Active Directory-klientorganisation.All subscriptions within a single management group must trust the same Azure Active Directory tenant.

Du kan till exempel tillämpa principer för en hanteringsgrupp som begränsar regionerna som är tillgängliga för att skapa virtuella datorer (VM).For example, you can apply policies to a management group that limits the regions available for virtual machine (VM) creation. Den här principen tillämpas för alla hanteringsgrupper, prenumerationer och resurser under hanteringsgruppen genom att endast tillåta att virtuella datorer skapas i den regionen.This policy would be applied to all management groups, subscriptions, and resources under that management group by only allowing VMs to be created in that region.

Hierarki för hanteringsgrupper och prenumerationerHierarchy of management groups and subscriptions

Du kan skapa en flexibel struktur för hanteringsgrupper och prenumerationer för att organisera dina resurser i en hierarki för enhetlig princip- och åtkomsthantering.You can build a flexible structure of management groups and subscriptions to organize your resources into a hierarchy for unified policy and access management. Följande diagram visar ett exempel på hur du skapar en hierarki för styrning med hjälp av hanteringsgrupper.The following diagram shows an example of creating a hierarchy for governance using management groups.

Diagram över en hierarki för exempel hanterings grupper.

Diagram över en rot hanterings grupp som innehåller både hanterings grupper och prenumerationer.Diagram of a root management group holding both management groups and subscriptions. Vissa underordnade hanterings grupper innehåller hanterings grupper, vissa undantags prenumerationer och vissa har båda.Some child management groups hold management groups, some hold subscriptions, and some hold both. Ett av exemplen i exempel hierarkin är fyra nivåer av hanterings grupper med den underordnade nivån alla prenumerationer.One of the examples in the sample hierarchy is four levels of management groups with the child level being all subscriptions.

Du kan till exempel skapa en hierarki som tillämpar en princip som begränsar VM-platser till regionen USA, västra i gruppen med namnet ”Produktion”.You can create a hierarchy that applies a policy, for example, which limits VM locations to the US West Region in the group called "Production". Den här policyn ärvs av alla EA-prenumerationer (Enterprise-avtal) under den hanteringsgruppen och gäller för alla virtuella datorer i dessa prenumerationer.This policy will inherit onto all the Enterprise Agreement (EA) subscriptions that are descendants of that management group and will apply to all VMs under those subscriptions. Den här säkerhetsprincipen kan inte ändras av resursen eller prenumerationsägaren, vilket leder till bättre styrning.This security policy cannot be altered by the resource or subscription owner allowing for improved governance.

Ett annat scenario där du kan använda hanteringsgrupper är för att ge användaråtkomst till flera prenumerationer.Another scenario where you would use management groups is to provide user access to multiple subscriptions. Genom att flytta flera prenumerationer under den hanterings gruppen kan du skapa en Azure-roll tilldelning i hanterings gruppen, som kommer att ärva den åtkomsten till alla prenumerationer.By moving multiple subscriptions under that management group, you can create one Azure role assignment on the management group, which will inherit that access to all the subscriptions. En tilldelning i hanterings gruppen kan göra det möjligt för användare att få åtkomst till allt de behöver i stället för att skripta Azure RBAC över olika prenumerationer.One assignment on the management group can enable users to have access to everything they need instead of scripting Azure RBAC over different subscriptions.

Viktiga fakta om hanteringsgrupperImportant facts about management groups

  • 10 000 hanteringsgrupper kan användas i en enskild katalog.10,000 management groups can be supported in a single directory.
  • Ett träd för hanteringsgruppen har stöd för upp till sex nivåer.A management group tree can support up to six levels of depth.
    • Den här gränsen omfattar inte rotnivån eller prenumerationsnivån.This limit doesn't include the Root level or the subscription level.
  • Varje hanteringsgrupp och prenumeration har endast stöd för ett överordnat element.Each management group and subscription can only support one parent.
  • Varje hanteringsgrupp kan ha många underordnade.Each management group can have many children.
  • Alla prenumerationer och hanteringsgrupper ingår i en hierarki i varje katalog.All subscriptions and management groups are within a single hierarchy in each directory. Läs Viktiga fakta om rothanteringsgruppen.See Important facts about the Root management group.

En rothanteringsgrupp för varje katalogRoot management group for each directory

Varje katalog tilldelas en hanteringsgrupp på översta nivån som kallas för rothanteringsgruppen.Each directory is given a single top-level management group called the "Root" management group. Rothanteringsgruppen är inbyggd i hierarkin så att alla hanteringsgrupper och prenumerationer är dess underordnade element.This root management group is built into the hierarchy to have all management groups and subscriptions fold up to it. Den här rot hanterings gruppen gör att globala principer och Azure Role-tilldelningar kan tillämpas på katalog nivå.This root management group allows for global policies and Azure role assignments to be applied at the directory level. Den globala administratören för Azure Active Directory måste först utöka sin behörighet till rollen Administratör för användaråtkomst för rotgruppen.The Azure AD Global Administrator needs to elevate themselves to the User Access Administrator role of this root group initially. Efter utökad åtkomst kan administratören tilldela en Azure-roll till andra katalog användare eller grupper för att hantera hierarkin.After elevating access, the administrator can assign any Azure role to other directory users or groups to manage the hierarchy. Som administratör kan du utse ditt eget konto till ägare av rothanteringsgruppen.As administrator, you can assign your own account as owner of the root management group.

Viktiga fakta om rothanteringsgruppenImportant facts about the Root management group

  • Som standard är rothanteringsgruppens visningsnamn Klientorganisationens rotgrupp.By default, the root management group's display name is Tenant root group. ID:t är samma som ID:t för Azure Active Directory.The ID is the Azure Active Directory ID.
  • Om du vill ändra visningsnamnet måste ditt konto ha tilldelats rollen Ägare eller Deltagare i rothanteringsgruppen.To change the display name, your account must be assigned the Owner or Contributor role on the root management group. Se ändra namnet på en hanterings grupp för att uppdatera namnet på en hanterings grupp.See Change the name of a management group to update the name of a management group.
  • Rothanteringsgruppen kan inte flyttas eller tas bort, till skillnad från andra hanteringsgrupper.The root management group can't be moved or deleted, unlike other management groups.
  • Alla prenumerationer och hanteringsgrupper är underordnade rothanteringsgruppen i katalogen.All subscriptions and management groups fold up to the one root management group within the directory.
    • Alla resurser i katalogen är underordnade rothanteringsgruppen för global hantering.All resources in the directory fold up to the root management group for global management.
    • Nya prenumerationer tilldelas som standard till rothanteringsgruppen när de skapas.New subscriptions are automatically defaulted to the root management group when created.
  • Alla Azure-kunder kan se rothanteringsgruppen, men alla kunder får inte hantera rothanteringsgruppen.All Azure customers can see the root management group, but not all customers have access to manage that root management group.
    • Alla som har åtkomst till en prenumeration kan se kontexten för den aktuella prenumerationens placering i hierarkin.Everyone who has access to a subscription can see the context of where that subscription is in the hierarchy.
    • Det är inte någon som får åtkomst till rothanteringsgruppen som standard.No one is given default access to the root management group. Globala administratörer för Azure Active Directory är de enda användarna som kan ge sig själva åtkomst.Azure AD Global Administrators are the only users that can elevate themselves to gain access. När de har åtkomst till rot hanterings gruppen kan de globala administratörerna tilldela en Azure-roll till andra användare som ska hanterasOnce they have access to the root management group, the global administrators can assign any Azure role to other users to manage
      företaget.it.
  • I SDK fungerar rot hanterings gruppen eller klient roten, som en hanterings grupp.In SDK, the root management group, or 'Tenant Root', operates as a management group.

Viktigt

Alla tilldelningar av användaråtkomst eller principtilldelning för rothanteringsgruppen gäller för alla resurser inom katalogen.Any assignment of user access or policy assignment on the root management group applies to all resources within the directory. Alla kunder bör därför utvärdera behovet av objekt som definierats för det här området.Because of this, all customers should evaluate the need to have items defined on this scope. Användar åtkomst och princip tilldelningar ska endast vara "måste ha"User access and policy assignments should be "Must Have" only at this
utrymme.scope.

Initial konfiguration av hanteringsgrupperInitial setup of management groups

När användarna börjar använda hanteringsgrupper måste de genomföra en initial konfigurationsprocess.When any user starts using management groups, there's an initial setup process that happens. Det första steget är att rothanteringsgruppen skapas i katalogen.The first step is the root management group is created in the directory. När den här gruppen har skapats blir alla befintliga prenumerationer i katalogen underordnade rothanteringsgruppen.Once this group is created, all existing subscriptions that exist in the directory are made children of the root management group. Den här processen är till för att kontrollera att det endast finns en hanteringsgrupphierarki i en katalog.The reason for this process is to make sure there's only one management group hierarchy within a directory. Hierarkin i katalogen gör det möjligt för administrativa kunder att använda global åtkomst och principer som andra kunder i katalogen inte kan kringgå.The single hierarchy within the directory allows administrative customers to apply global access and policies that other customers within the directory can't bypass. Allt som tilldelas på roten gäller för hela hierarkin, vilket omfattar alla hanteringsgrupper, prenumerationer, resursgrupper och resurser i Azure Active Directory-klientorganisationen.Anything assigned on the root will apply to the entire hierarchy, which includes all management groups, subscriptions, resource groups, and resources within that Azure AD Tenant.

Problem med att visa alla prenumerationerTrouble seeing all subscriptions

Vissa kataloger som började använda hanteringsgrupper tidigt under förhandsgranskningen, innan den 25 juni 2018, märkte av ett problem där alla prenumerationer inte fanns i hierarkin.A few directories that started using management groups early in the preview before June 25 2018 could see an issue where not all the subscriptions were within the hierarchy. Processen för att lägga till prenumerationer i hierarkin implementerades efter det att en roll- eller principtilldelning utfördes på katalogens rothanteringsgrupp.The process to have all subscriptions in the hierarchy was put in place after a role or policy assignment was done on the root management group in the directory.

Så här löser du problemetHow to resolve the issue

Det finns två alternativ som du kan använda för att lösa problemet.There are two options you can do to resolve this issue.

  • Ta bort alla roll- och principtilldelningar från rothanteringsgruppenRemove all Role and Policy assignments from the root management group
    • Genom att ta bort alla princip-och roll tilldelningar från rot hanterings gruppen, fyller tjänsten i alla prenumerationer i hierarkin nästa natt.By removing any policy and role assignments from the root management group, the service backfills all subscriptions into the hierarchy the next overnight cycle. Den här principen är till för att kontrollera att det inte har getts någon oavsiktlig åtkomst eller principtilldelning till alla prenumerationer i klientorganisationen.This process is so there's no accidental access given or policy assignment to all of the tenants subscriptions.
    • Det bästa sättet att genomföra processen utan att påverka tjänsterna är att tilldela roll- eller principtilldelningar på en nivå lägre än rothanteringsgruppen.The best way to do this process without impacting your services is to apply the role or policy assignments one level below the Root management group. Sedan kan du ta bort alla tilldelningarna från rotomfånget.Then you can remove all assignments from the root scope.
  • Direktanropa API:t och påbörja återfyllningsprocessenCall the API directly to start the backfill process
    • Alla kunder i katalogen kan anropa API:erna TenantBackfillStatusRequest eller StartTenantBackfillRequest.Any customer in the directory can call the TenantBackfillStatusRequest or StartTenantBackfillRequest APIs. När API:n StartTenantBackfillRequest anropas påbörjas den ursprungliga konfigurationsprocessen och alla prenumerationer flyttas till hierarkin.When the StartTenantBackfillRequest API is called, it kicks off the initial setup process of moving all the subscriptions into the hierarchy. Processen gör även att alla nya prenumerationer blir underordnade rothanteringsgruppen.This process also starts the enforcement of all new subscription to be a child of the root management group. Den här processen kan utföras utan att ändra några tilldelningar på rotnivån.This process can be done without changing any assignments on the root level. Genom att anropa API:et godkänner du att alla principer eller åtkomsttilldelningar på roten kan tillämpas på alla prenumerationer.By calling the API, you're saying it's okay that any policy or access assignment on the root can be applied to all subscriptions.

Om du har frågor om återfyllningsprocessen kan du kontakta: managementgroups@microsoft.comIf you have questions on this backfill process, contact: managementgroups@microsoft.com

Åtkomst till hanteringsgruppManagement group access

Azures hanterings grupper har stöd för rollbaserad åtkomst kontroll i Azure (Azure RBAC) för alla resurs åtkomster och roll definitioner.Azure management groups support Azure role-based access control (Azure RBAC) for all resource accesses and role definitions. Dessa behörigheter ärvs av underordnade resurser som finns i hierarkin.These permissions are inherited to child resources that exist in the hierarchy. Alla Azure-roller kan tilldelas till en hanterings grupp som kommer att ärva hierarkin till resurserna.Any Azure role can be assigned to a management group that will inherit down the hierarchy to the resources. Till exempel kan den virtuella Azure-rollens VM-deltagare tilldelas till en hanterings grupp.For example, the Azure role VM contributor can be assigned to a management group. Rollen har ingen åtgärd för hanteringsgruppen, men ärver av alla virtuella datorer under hanteringsgruppen.This role has no action on the management group, but will inherit to all VMs under that management group.

Följande diagram visar listan över roller och åtgärder som stöds för hanteringsgrupper.The following chart shows the list of roles and the supported actions on management groups.

Namn på Azure-rollAzure Role Name SkapaCreate Byt namnRename Fart**Move** Ta bortDelete Tilldela åtkomstAssign Access Tilldela principAssign Policy LäsRead
ÄgareOwner XX XX XX XX XX XX XX
DeltagareContributor XX XX XX XX XX
MG-deltagare*MG Contributor* XX XX XX XX XX
LäsareReader XX
MG-läsare*MG Reader* XX
Deltagare för resursprincipResource Policy Contributor XX
Administratör för användaråtkomstUser Access Administrator XX XX

*: MG Contributor och MG Reader tillåter endast att användare utför dessa åtgärder i hanterings gruppens omfattning.*: MG Contributor and MG Reader only allow users to do those actions on the management group scope.
**: Roll tilldelningar för rot hanterings gruppen krävs inte för att flytta en prenumeration eller hanterings grupp till och från den.**: Role Assignments on the Root management group aren't required to move a subscription or management group to and from it. Läs Hantera dina resurser med hanteringsgrupper för mer information om att flytta objekt inom hierarkin.See Manage your resources with management groups for details on moving items within the hierarchy.

Anpassad roll definition och tilldelning i AzureAzure custom role definition and assignment

Azures anpassade roll stöd för hanterings grupper är för närvarande en för hands version med vissa begränsningar.Azure custom role support for management groups is currently in preview with some limitations. Du kan definiera hanteringsgruppers omfattning i rolldefinitionens tilldelningsbara omfattning.You can define the management group scope in the Role Definition's assignable scope. Den anpassade Azure-rollen kommer sedan att vara tillgänglig för tilldelning för den hanterings gruppen och alla hanterings grupper, prenumerationer, resurs grupper och resurser under den.That Azure custom role will then be available for assignment on that management group and any management group, subscription, resource group, or resource under it. Den här anpassade rollen ärvs nedåt i hierarkin precis som en inbyggd roll.This custom role will inherit down the hierarchy like any built-in role.

Exempel definitionExample definition

Att definiera och skapa en anpassad roll ändras inte med inkludering av hanterings grupper.Defining and creating a custom role doesn't change with the inclusion of management groups. Använd den fullständiga sökvägen för att definiera hanterings gruppens /providers/Microsoft.Management/managementgroups/{GroupID}.Use the full path to define the management group /providers/Microsoft.Management/managementgroups/{groupId}.

Använd hanterings gruppens ID och inte hanterings gruppens visnings namn.Use the management group's ID and not the management group's display name. Detta vanliga fel inträffar eftersom båda är anpassade fält som definieras när du skapar en hanterings grupp.This common error happens since both are custom-defined fields when creating a management group.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id", 
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problem med att bryta sökvägen till roll definitionen och tilldelnings-hierarkinIssues with breaking the role definition and assignment hierarchy path

Roll definitioner är tilldelnings bara omfång var som helst inom hanterings gruppens hierarki.Role definitions are assignable scope anywhere within the management group hierarchy. En roll definition kan definieras i en överordnad hanterings grupp medan den faktiska roll tilldelningen finns i den underordnade prenumerationen.A role definition can be defined on a parent management group while the actual role assignment exists on the child subscription. Eftersom det finns en relation mellan de två objekten får du ett fel meddelande när du försöker avgränsa tilldelningen från definitionen.Since there's a relationship between the two items, you'll receive an error when trying to separate the assignment from its definition.

Låt oss till exempel titta på en liten del av en hierarki för ett visuellt objekt.For example, let's look at a small section of a hierarchy for a visual.

Diagram över en delmängd av hierarkin för exempel hanterings grupper.

Diagrammet fokuserar på rot hanterings gruppen med underordnade IT-och marknadsförings grupper.The diagram focuses on the root management group with child I T and Marketing management groups. Hanterings gruppen I T har en enda underordnad hanterings grupp med namnet produktion medan marknadsförings hanterings gruppen har två kostnads fria underordnade prenumerationer.The I T management group has a single child management group named Production while the Marketing management group has two Free Trial child subscriptions.

Anta att du har definierat en anpassad roll i marknadsförings hanterings gruppen.Let's say there's a custom role defined on the Marketing management group. Den anpassade rollen tilldelas sedan de två kostnads fria utvärderings prenumerationerna.That custom role is then assigned on the two free trial subscriptions.

Om vi försöker flytta en av dessa prenumerationer till en underordnad till produktions hanterings gruppen skulle den här flyttningen bryta sökvägen från prenumerations roll tilldelningen till roll definitionen för hanterings gruppen för marknadsföring.If we try to move one of those subscriptions to be a child of the Production management group, this move would break the path from subscription role assignment to the Marketing management group role definition. I det här scenariot får du ett fel meddelande om att flyttningen inte är tillåten eftersom den kommer att bryta den här relationen.In this scenario, you'll receive an error saying the move isn't allowed since it will break this relationship.

Det finns ett par olika alternativ för att åtgärda det här scenariot:There are a couple different options to fix this scenario:

  • Ta bort roll tilldelningen från prenumerationen innan du flyttar prenumerationen till en ny överordnad MG.Remove the role assignment from the subscription before moving the subscription to a new parent MG.
  • Lägg till prenumerationen i roll definitionen för det tilldelnings bara omfånget.Add the subscription to the Role Definition's assignable scope.
  • Ändra det tilldelnings bara omfånget i roll definitionen.Change the assignable scope within the role definition. I exemplet ovan kan du uppdatera tilldelnings bara omfattningarna från marknadsföring till rot hanterings gruppen så att definitionen kan nås av båda grenar i hierarkin.In the above example, you can update the assignable scopes from Marketing to Root Management Group so that the definition can be reached by both branches of the hierarchy.
  • Skapa en annan anpassad roll som definieras i den andra grenen.Create another Custom Role that is defined in the other branch. Den nya rollen kräver även att roll tilldelningen ändras i prenumerationen.This new role requires the role assignment to be changed on the subscription also.

BegränsningarLimitations

Det finns begränsningar som finns när du använder anpassade roller i hanterings grupper.There are limitations that exist when using custom roles on management groups.

  • Du kan bara definiera en hanterings grupp i de tilldelnings bara omfånget för en ny roll.You can only define one management group in the assignable scopes of a new role. Den här begränsningen är på plats för att minska antalet situationer där roll definitioner och roll tilldelningar är frånkopplade.This limitation is in place to reduce the number of situations where role definitions and role assignments are disconnected. Den här situationen inträffar när en prenumeration eller hanterings grupp med en roll tilldelning flyttas till en annan överordnad som inte har roll definitionen.This situation happens when a subscription or management group with a role assignment moves to a different parent that doesn't have the role definition.
  • Det går inte att definiera data Plans åtgärder för resurs leverantörer i anpassade roller för hanterings grupper.Resource provider data plane actions can't be defined in management group custom roles. Den här begränsningen är på plats när det finns ett problem med att uppdatera data Plans resurs leverantörerna.This restriction is in place as there's a latency issue with updating the data plane resource providers. Den här svars tids frågan bearbetas och de här åtgärderna inaktive ras från roll definitionen för att minska riskerna.This latency issue is being worked on and these actions will be disabled from the role definition to reduce any risks.
  • Azure Resource Manager validerar inte hanterings gruppens existens i roll definitionens tilldelnings omfång.The Azure Resource Manager doesn't validate the management group's existence in the role definition's assignable scope. Om det finns ett skrivfel eller felaktigt ID för hanterings grupp i listan, skapas roll definitionen fortfarande.If there's a typo or an incorrect management group ID listed, the role definition is still created.
  • Roll tilldelning för en roll med dataActions stöds inte.Role assignment for a role with dataActions aren't supported. Skapa roll tilldelningen i prenumerations omfånget i stället.Create the role assignment at the subscription scope instead.

Viktigt

Att lägga till en hanterings grupp i AssignableScopes är för närvarande en för hands version.Adding a management group to AssignableScopes is currently in preview. Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Vissa funktioner kanske inte stöds eller kan vara begränsade.Certain features might not be supported or might have constrained capabilities. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Flytta hanterings grupper och prenumerationerMoving management groups and subscriptions

Om du vill flytta en hanterings grupp eller prenumeration till en underordnad till en annan hanterings grupp måste tre regler utvärderas som sant.To move a management group or subscription to be a child of another management group, three rules need to be evaluated as true.

Om du utför flytt åtgärden behöver du:If you're doing the move action, you need:

  • Hanterings gruppens Skriv-och roll tilldelning Skriv behörigheter för den underordnade prenumerationen eller hanterings gruppen.Management group write and Role Assignment write permissions on the child subscription or management group.
    • Den inbyggda rollens exempel ägareBuilt-in role example Owner
  • Skriv åtkomst till hanterings grupp för den överordnade mål hanterings gruppen.Management group write access on the target parent management group.
    • Exempel på inbyggda roller: ägare, deltagare, hanterings grupp deltagareBuilt-in role example: Owner, Contributor, Management Group Contributor
  • Skriv åtkomst till hanterings grupp för den befintliga överordnade hanterings gruppen.Management group write access on the existing parent management group.
    • Exempel på inbyggda roller: ägare, deltagare, hanterings grupp deltagareBuilt-in role example: Owner, Contributor, Management Group Contributor

Undantag: om målet eller den befintliga överordnade hanterings gruppen är rot hanterings gruppen gäller inte behörighets kraven.Exception: If the target or the existing parent management group is the Root management group, the permissions requirements don't apply. Eftersom rot hanterings gruppen är standard landnings platsen för alla nya hanterings grupper och prenumerationer behöver du inte behörigheter för den för att flytta ett objekt.Since the Root management group is the default landing spot for all new management groups and subscriptions, you don't need permissions on it to move an item.

Om ägar rollen för prenumerationen ärvs från den aktuella hanterings gruppen är dina flyttnings mål begränsade.If the Owner role on the subscription is inherited from the current management group, your move targets are limited. Du kan bara flytta prenumerationen till en annan hanterings grupp där du har ägar rollen.You can only move the subscription to another management group where you have the Owner role. Du kan inte flytta den till en hanterings grupp där du är deltagare eftersom du förlorar prenumerationens ägarskap.You can't move it to a management group where you're a contributor because you would lose ownership of the subscription. Om du är direkt tilldelad till ägar rollen för prenumerationen (ärvs inte från hanterings gruppen) kan du flytta den till en hanterings grupp där du är deltagare.If you're directly assigned to the Owner role for the subscription (not inherited from the management group), you can move it to any management group where you're a contributor.

Granska hanteringsgrupper med hjälp av aktivitetsloggarAudit management groups using activity logs

Hanteringsgrupper kan användas i Azure-aktivitetsloggar.Management groups are supported within Azure Activity Log. Du kan söka efter alla händelser i en hanteringsgrupp från samma centrala plats som andra Azure-resurser.You can search all events that happen to a management group in the same central location as other Azure resources. Du kan till exempel se alla ändringar för rolltilldelningar eller principtilldelningar som gjorts i en viss hanteringsgrupp.For example, you can see all Role Assignments or Policy Assignment changes made to a particular management group.

Skärm bild av aktivitets loggar och åtgärder relaterade till den valda hanterings gruppen.

När du vill fråga hanteringsgrupper utanför Microsoft Azure-portalen är målområdet för hanteringsgrupper: "/providers/Microsoft.Management/managementGroups/{yourMgID}".When looking to query on Management Groups outside of the Azure portal, the target scope for management groups looks like "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Nästa stegNext steps

Läs mer om hanteringslösningar här:To learn more about management groups, see: