Organisera prenumerationer i hanteringsgrupper och tilldela roller till användare
Hantera din organisations säkerhetsstatus i stor skala genom att tillämpa säkerhetsprinciper på alla Azure-prenumerationer som är länkade till din Microsoft Entra-klientorganisation.
För att få insyn i säkerhetsstatusen för alla prenumerationer som är länkade till en Microsoft Entra-klientorganisation behöver du en Azure-roll med tillräcklig läsbehörighet tilldelad i rothanteringsgruppen.
Organisera dina prenumerationer i hanteringsgrupper
Översikt över hanteringsgrupper
Använd hanteringsgrupper för att effektivt hantera åtkomst, principer och rapportering i grupper av prenumerationer och effektivt hantera hela Azure-egendomen genom att utföra åtgärder i rothanteringsgruppen. Du kan organisera prenumerationer i hanteringsgrupper och tillämpa dina styrningsprinciper på hanteringsgrupperna. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de principer som tillämpas på hanteringsgruppen.
Varje Microsoft Entra-klientorganisation får en enda hanteringsgrupp på högsta nivån som kallas rothanteringsgruppen. Rothanteringsgruppen är inbyggd i hierarkin så att alla hanteringsgrupper och prenumerationer är dess underordnade element. Den här gruppen tillåter att globala principer och Azure-rolltilldelningar tillämpas på katalognivå.
Rothanteringsgruppen skapas automatiskt när du utför någon av följande åtgärder:
- I Azure-portalen väljer du Hanteringsgrupper.
- Skapa en hanteringsgrupp med ett API-anrop.
- Skapa en hanteringsgrupp med PowerShell. PowerShell-instruktioner finns i Skapa hanteringsgrupper för resurs- och organisationshantering.
Hanteringsgrupper krävs inte för att registrera Defender för molnet, men vi rekommenderar att du skapar minst en så att rothanteringsgruppen skapas. När gruppen har skapats länkas alla prenumerationer under din Microsoft Entra-klientorganisation till den.
En detaljerad översikt över hanteringsgrupper finns i artikeln Ordna dina resurser med Azure-hanteringsgrupper .
Visa och skapa hanteringsgrupper i Azure-portalen
Logga in på Azure-portalen.
Sök efter och välj Hanteringsgrupper.
Om du vill skapa en hanteringsgrupp väljer du Skapa, anger relevant information och väljer Skicka.
Hanteringsgruppens ID är den unika katalogidentifierare som används för att skicka kommandon i den här hanteringsgruppen. Den här identifieraren kan inte redigeras när den har skapats eftersom den används i hela Azure-systemet för att identifiera den här gruppen.
Visningsnamnfältet är det namn som visas i Azure-portalen. Ett separat visningsnamn är ett valfritt fält när du skapar hanteringsgruppen och kan ändras när som helst.
Lägga till prenumerationer i en hanteringsgrupp
Du kan lägga till prenumerationer i hanteringsgruppen som du skapade.
Logga in på Azure-portalen.
Sök efter och välj Hanteringsgrupper.
Välj hanteringsgruppen för din prenumeration.
När gruppens sida öppnas väljer du Prenumerationer.
På prenumerationssidan väljer du Lägg till, sedan dina prenumerationer och sedan Spara. Upprepa tills du har lagt till alla prenumerationer i omfånget.
Viktigt!
Hanteringsgrupper kan innehålla både prenumerationer och underordnade hanteringsgrupper. När du tilldelar en användare en Azure-roll till den överordnade hanteringsgruppen ärvs åtkomsten av den underordnade hanteringsgruppens prenumerationer. Principer som anges i den överordnade hanteringsgruppen ärvs också av underordnade.
Tilldela Azure-roller till andra användare
Tilldela Azure-roller till användare via Azure-portalen
Logga in på Azure-portalen.
Sök efter och välj Hanteringsgrupper.
Välj relevant hanteringsgrupp.
Välj Åtkomstkontroll (IAM), öppna fliken Rolltilldelningar och välj Lägg till>rolltilldelning.
På sidan Lägg till rolltilldelning väljer du relevant roll.
På fliken Medlemmar väljer du + Välj medlemmar och tilldelar rollen till relevanta medlemmar.
På fliken Granska + tilldela väljer du Granska + tilldela för att tilldela rollen.
Tilldela Azure-roller till användare med PowerShell
Kör följande kommandon:
# Login to Azure as a Global Administrator user Connect-AzAccount
Logga in med autentiseringsuppgifter för global administratör när du uppmanas att göra det.
Bevilja behörigheter för läsarrollen genom att köra följande kommando:
# Add Reader role to the required user on the Root Management Group # Replace "user@domian.com” with the user to grant access to New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
Om du vill ta bort rollen använder du följande kommando:
Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
Ta bort utökad åtkomst
När Azure-rollerna har tilldelats användarna bör innehavaradministratören ta bort sig själv från administratörsrollen för användaråtkomst.
Logga in på Azure-portalen.
I navigeringslistan väljer du Microsoft Entra-ID och sedan Egenskaper.
Under Åtkomsthantering för Azure-resurser anger du växlingen till Nej.
Spara inställningen genom att välja Spara.
Nästa steg
På den här sidan har du lärt dig hur du organiserar prenumerationer i hanteringsgrupper och tilldelar roller till användare. Relaterad information finns i: