將訂用帳戶組織成管理群組,並將角色指派給使用者

  • 發行項

將安全策略套用至連結至 Microsoft Entra 租使用者的所有 Azure 訂用帳戶,以大規模管理組織的安全性狀態。

若要了解連結至 Microsoft Entra 租使用者之所有訂用帳戶的安全性狀態,您需要具有在根管理群組上指派足夠讀取許可權的 Azure 角色。

將您的訂用帳戶組織成管理群組

管理群組概觀

使用管理群組有效率地管理訂用帳戶群組的存取、原則和報告,並藉由對根管理群組執行動作,有效地管理整個 Azure 資產。 您可以將訂用帳戶組織成管理群組,並將治理原則套用至管理群組。 管理群組中的所有訂用帳戶都會自動繼承套用至管理群組的原則。

每個 Microsoft Entra 租用戶都會獲得稱為根管理群組的單一最上層管理群組。 此根管理群組內建於階層中,讓所有管理群組和訂用帳戶都折疊在階層中。 這個群組可讓全域原則和 Azure 角色指派在目錄層級套用。

當您執行下列任何動作時,系統會自動建立根管理群組:

管理群組不需要上線 適用於雲端的 Defender,但建議您建立至少一個群組,以便建立根管理群組。 建立群組之後,您的 Microsoft Entra 租使用者下的所有訂用帳戶都會連結至該租使用者。

如需管理群組的詳細概觀,請參閱 使用 Azure 管理群組 組織資源一文。

在 Azure 入口網站 中檢視及建立管理群組

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [管理群組]。

  3. 若要建立管理群組,請選取 [建立],輸入相關詳細數據,然後選取 [ 提交]。

    Adding a management group to Azure.

    • 管理 群組標識碼 是用來在此管理群組上提交命令的目錄唯一標識碼。 此標識碼在建立之後無法編輯,因為它會在 Azure 系統中用來識別此群組。

    • 顯示名稱欄位是顯示在 Azure 入口網站 內的名稱。 建立管理群組時,個別的顯示名稱是選擇性字段,隨時可以變更。

將訂用帳戶新增至管理群組

您可以將訂用帳戶新增至您所建立的管理群組。

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [管理群組]。

  3. 選取訂用帳戶的管理群組。

  4. 當群組的頁面開啟時,請選取 [ 訂用帳戶]。

  5. 從 [訂用帳戶] 頁面中,選取 [新增],然後選取您的訂用帳戶,然後選取 [ 儲存]。 重複執行,直到您已新增範圍中的所有訂用帳戶為止。

    Adding a subscription to a management group.

    重要

    管理群組可以同時包含訂用帳戶和子管理群組。 當您將 Azure 角色指派給父管理群組時,子管理群組的訂用帳戶會繼承存取權。 父管理群組上設定的原則也會由子系繼承。

將 Azure 角色指派給其他使用者

透過 Azure 入口網站 將 Azure 角色指派給使用者

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [管理群組]。

  3. 選取相關的管理群組。

  4. 選取 [訪問控制][IAM],開啟 [角色指派] 索引卷標,然後選取 [新增>角色指派]。

    Adding a user to a management group.

  5. 從 [ 新增角色指派 ] 頁面中,選取相關的角色。

    Add role assignment page.

  6. 從 [ 成員] 索引標籤中,選取 [+ 選取成員 ],並將角色指派給相關的成員。

  7. 在 [檢閱 + 指派] 索引標籤上,選取 [檢閱 + 指派] 以指派角色。

使用 PowerShell 將 Azure 角色指派給使用者

  1. 安裝 Azure PowerShell

  2. 執行下列命令:

    # Login to Azure as a Global Administrator user
Connect-AzAccount

  3. 出現提示時,請使用全域管理員認證登入。

    Sign in prompt screenshot.

  4. 執行下列命令來授與讀取者角色許可權:

    # Add Reader role to the required user on the Root Management Group
# Replace "user@domian.com” with the user to grant access to
New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"

  5. 若要移除角色,請使用下列命令:

    Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"

移除已提高的存取權

將 Azure 角色指派給用戶之後,租用戶系統管理員應該從使用者存取系統管理員角色中移除自己。

  1. 登入 Azure 入口網站

  2. 在導覽清單中,選取 [Microsoft Entra ID ],然後選取 [ 屬性]。

  3. 在 [Azure 資源的存取管理] 下,將參數設定為 [否]。

  4. 若要儲存您的設定,請選取 [ 儲存]。

下一步

在此頁面上,您已瞭解如何將訂用帳戶組織成管理群組,並將角色指派給使用者。 如需相關資訊,請參閱: