إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
إذا كان لدى مؤسستك العديد من اشتراكات Azure، فقد تحتاج إلى طريقة لإدارة الوصول والنهج والامتثال لهذه الاشتراكات بكفاءة. Management groups provide a governance scope above subscriptions. عند تنظيم الاشتراكات في مجموعات إدارة، تتالي شروط الحوكمة التي تطبقها عن طريق التوريث لجميع الاشتراكات المقترنة.
تمنحك مجموعات الإدارة إدارة على مستوى المؤسسة على نطاق واسع، بغض النظر عن نوع الاشتراكات التي قد تكون لديك. ومع ذلك، يجب أن تثق جميع الاشتراكات داخل مجموعة إدارة واحدة في نفس مستأجر Microsoft Entra.
على سبيل المثال، يمكنك تطبيق نهج على مجموعة إدارة تحد من المناطق المتاحة لإنشاء الجهاز الظاهري (VM). سيتم تطبيق هذا النهج على جميع مجموعات الإدارة المتداخلة والاشتراكات والموارد للسماح بإنشاء الجهاز الظاهري فقط في المناطق المعتمدة.
التسلسل الهرمي لمجموعات الإدارة والاشتراكات
يمكنك إنشاء بنية مرنة لمجموعات الإدارة والاشتراكات لتنظيم مواردك في تسلسل هرمي للحصول على نهج موحد ولإدارة الوصول. يوضح الرسم التخطيطي التالي مثالاً على إنشاء تسلسل هرمي للتحكم باستخدام مجموعات الإدارة.
رسم تخطيطي لمجموعة إدارة الجذر التي تحتوي على كل من مجموعات الإدارة والاشتراكات. تستحوذ بعض مجموعات الإدارة التابعة مجموعات فيما يستحوذ البعض على الاشتراكات، بينما يستحوذ البعض على كليهما. أحد الأمثلة في التسلسل الهرمي للعينة هو أربعة مستويات من مجموعات الإدارة، مع جميع الاشتراكات على المستوى الفرعي.
You can create a hierarchy that applies a policy, for example, that limits VM locations to the West US region in the management group called Corp. This policy inherits all the Enterprise Agreement (EA) subscriptions that are descendants of that management group and applies to all VMs under those subscriptions. لا يمكن لمالك المورد أو الاشتراك تغيير نهج الأمان هذا، للسماح بتحسين الحوكمة.
Note
مجموعات الإدارة غير مدعومة حاليا في ميزات إدارة التكاليف لاشتراكات اتفاقية عملاء Microsoft (MCA).
يتمثّل السيناريو الآخر الذي يمكنك فيه استخدام مجموعات الإدارة في تزويد المستخدم بالوصول إلى اشتراكات متعددة. من خلال نقل اشتراكات متعددة ضمن مجموعة إدارة، يمكنك إنشاء تعيين دور Azure واحد على مجموعة الإدارة. يرث الدور هذا الوصول إلى جميع الاشتراكات. يمكن لتعيين واحد في مجموعة الإدارة تمكين المستخدمين من الوصول إلى كل ما يحتاجون إليه، بدلا من البرمجة النصية للتحكم في الوصول المستند إلى دور Azure (RBAC) عبر اشتراكات مختلفة.
Scenario comparison
| Scenario | Resource Group | Subscription | Management Group | Service Group | Tags |
|---|---|---|---|---|---|
| طلب التوريث من التعيين في النطاق إلى كل مورد عضو/تابع | Supported* | Supported | Supported | Not Supported | Not Supported |
| دمج الموارد لتقليل تعيينات الأدوار/تعيينات النهج | Supported | Supported | Supported | Not Supported | Not Supported |
| تجميع الموارد التي تتم مشاركتها عبر حدود النطاق. Ex. موارد الشبكات العمومية في مجموعة اشتراك/موارد واحدة تتم مشاركتها عبر تطبيقات متعددة لها اشتراكاتها/مجموعات الموارد الخاصة بها. | Not Supported | Not Supported | Not Supported | Supported | Supported |
| إنشاء مجموعات منفصلة تسمح بتجميعات منفصلة للمقاييس | Not Supported | Supported | Supported | Supported | Supported** |
| فرض قيود على مستوى المؤسسة أو تكوينات تنظيمية عبر العديد من الموارد | Supported* | Supported* | Supported* | Not Supported | Supported*** |
*: عند تطبيق نهج على نطاق، يكون الإنفاذ على جميع الأعضاء داخل النطاق. على سبيل المثال، في مجموعة الموارد، ينطبق فقط على الموارد الموجودة ضمنها.
**: يمكن تطبيق العلامات عبر النطاقات وإضافتها إلى الموارد بشكل فردي. يحتوي نهج Azure على نهج مضمنة يمكن أن تساعد في إدارة العلامات.
: يمكن استخدام علامات Azure كمعاياير ضمن نهج Azure لتطبيق النهج على موارد معينة. تخضع علامات Azure للقيود.
حقائق مهمة حول مجموعات الإدارة
يمكن أن يدعم دليل واحد 10000 مجموعة إدارة.
يمكن أن تدعم شجرة مجموعة الإدارة ما يصل إلى ستة مستويات من العمق.
لا يشمل هذا الحد مستوى الجذر أو الاشتراك.
يمكن لكل مجموعة إدارة واشتراك دعم مستوى أصلي فقط.
يمكن أن تمتلك كل مجموعة إدارة العديد من المستويات الفرعية.
تقع جميع الاشتراكات ومجموعات الإدارة ضمن تسلسل هرمي واحد في كل دليل. لمزيد من المعلومات، راجع الحقائق المهمة حول مجموعة إدارة الجذر لاحقا في هذه المقالة.
مجموعة إدارة الجذر لكل دليل
Each directory has a single top-level management group called the root management group. تُدرج مجموعة إدارة الجذر هذه في التسلسل الهرمي لاستيعاب كافة مجموعات الإدارة والاشتراكات.
تسمح مجموعة إدارة الجذر بتطبيق النهج العمومية وتعيينات دور Azure على مستوى الدليل. في البداية، رفع مستوى الوصول لإدارة جميع اشتراكات Azure ومجموعات الإدارة إلى دور مسؤول وصول المستخدم لهذه المجموعة الجذر. بعد أن يرفع مسؤول المستأجر الوصول، يمكن للمسؤول تعيين أي دور Azure لمستخدمي الدليل الآخرين أو المجموعات لإدارة التسلسل الهرمي. بصفتك مسؤولا، يمكنك تعيين حسابك كمالك لمجموعة إدارة الجذر.
حقائق هامة حول مجموعة إدارة الجذر
- بشكل افتراضي، اسم عرض مجموعة إدارة الجذر هو مجموعة جذر المستأجر، وتعمل نفسها كمجموعة إدارة. المعرف هو نفس قيمة معرف مستأجر Microsoft Entra.
- لتغيير اسم العرض، يجب أن يكون لحسابك دور المالك أو المساهم في مجموعة إدارة الجذر. لمزيد من المعلومات، راجع تغيير اسم مجموعة إدارة.
- لا يمكن نقل مجموعة إدارة الجذر أو حذفها، على عكس مجموعات الإدارة الأخرى.
- يتم طي جميع الاشتراكات ومجموعات الإدارة إلى مجموعة إدارة جذر واحدة داخل الدليل.
- تُنقل كافة الموارد في الدليل إلى مجموعة إدارة الجذر للإدارة العالمية.
- الاشتراكات الجديدة افتراضيا تلقائيا إلى مجموعة إدارة الجذر عند إنشائها.
- يمكن لجميع عملاء Azure مشاهدة مجموعة إدارة الجذر، ولكن لا يُسمح لجميع العملاء الوصول لإدارة مجموعة إدارة الجذر هذه.
- يمكن لكل شخص لديه حق الوصول إلى الاشتراك رؤية سياق مكان تواجد هذا الاشتراك في التسلسل الهرمي.
- لا أحد لديه حق الوصول الافتراضي إلى مجموعة إدارة الجذر. مسؤولو Microsoft Entra العموميون هم المستخدمون الوحيدون الذين يمكنهم الارتقاء بأنفسهم للوصول. بعد أن يكون لديهم حق الوصول إلى مجموعة إدارة الجذر، يمكنهم تعيين أي دور Azure للمستخدمين الآخرين لإدارة المجموعة.
Important
ينطبق أي تعيين وصول المستخدم أو النهج في مجموعة إدارة الجذر على كافة الموارد داخل الدليل. وبسبب مستوى الوصول هذا، يجب على جميع العملاء تقييم الحاجة إلى وجود عناصر محددة في هذا النطاق. يجب أن يكون وصول المستخدم وتعيينات النهج "يجب أن يكون" فقط في هذا النطاق.
الإعداد الأولي لمجموعات الإدارة
عندما يبدأ أي مستخدم في استخدام مجموعات الإدارة، تحدث عملية إعداد أولية. الخطوة الأولى هي إنشاء مجموعة إدارة الجذر في الدليل. ثم تصبح جميع الاشتراكات الموجودة في الدليل تابعة لمجموعة إدارة الجذر.
يتمثل السبب وراء هذه العملية في التأكد من وجود تسلسل هرمي واحد فقط لمجموعة الإدارة داخل أي دليل. يسمح التسلسل الهرمي الفردي داخل الدليل للعملاء الإداريين بتطبيق الوصول العالمي والسياسات التي لا يمكن للعملاء الآخرين داخل الدليل تجاوزها.
ينطبق أي شيء تم تعيينه على الجذر على التسلسل الهرمي بأكمله. أي أنه ينطبق على جميع مجموعات الإدارة والاشتراكات ومجموعات الموارد والموارد داخل مستأجر Microsoft Entra هذا.
الوصول إلى مجموعة الإدارة
Azure management groups support Azure RBAC for all resource access and role definitions. ترث الموارد التابعة الموجودة في التسلسل الهرمي هذه الأذونات. يمكن تعيين أي دور Azure إلى مجموعة إدارة ترث التسلسل الهرمي إلى الموارد.
على سبيل المثال، يمكنك تعيين دور Azure VM Contributor إلى مجموعة إدارة. لا يحتوي هذا الدور على أي إجراء على مجموعة الإدارة ولكنه يرث لجميع الأجهزة الظاهرية ضمن مجموعة الإدارة هذه.
يعرض المخطط التالي قائمة الأدوار والإجراءات المعتمدة على مجموعات الإدارة.
| اسم دور Azure | Create | Rename | Move** | Delete | Assign access | Assign policy | Read |
|---|---|---|---|---|---|---|---|
| Owner | X | X | X | X | X | X | X |
| Contributor | X | X | X | X | X | ||
| مساهم مجموعة الإدارة* | X | X | Moving Details | X | X | ||
| Reader | X | ||||||
| قارئ مجموعة الإدارة* | X | ||||||
| المساهم في سياسة الموارد | X | ||||||
| المسؤول عن وصول المستخدم | X | X |
*: تسمح هذه الأدوار للمستخدمين بتنفيذ الإجراءات المحددة فقط على نطاق مجموعة الإدارة.
**: تعيينات الأدوار في مجموعة إدارة الجذر غير مطلوبة لنقل اشتراك أو مجموعة إدارة من وإلى.
نقل الاشتراكات ومجموعات الإدارة
يتطلب نقل الاشتراكات ومجموعات الإدارة تطبيق تعيينات أدوار مختلفة. لنقل اشتراك تابع أو مجموعة إدارة، هناك حاجة إلى الأذونات التالية:
- الاشتراك التابع أو مجموعة الإدارة التي يتم نقلها
Microsoft.management/managementgroups/write-
Microsoft.management/managementgroups/subscriptions/write(للاشتراكات فقط) Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- مجموعة إدارة الأصل المستهدفة
Microsoft.management/managementgroups/write
- مجموعة الإدارة الأصلية الحالية
Microsoft.management/managementgroups/write
لمزيد من المعلومات حول نقل العناصر داخل التسلسل الهرمي، راجع إدارة مواردك باستخدام مجموعات الإدارة.
تعريف وتعيين الدور المخصص في Azure
يمكنك تعريف مجموعة إدارة كنطاق قابل للتعيين في تعريف دور Azure المخصص. يتوفر دور Azure المخصص للتعيين في مجموعة الإدارة هذه وأي مجموعة إدارة أو اشتراك أو مجموعة موارد أو مورد ضمنها. يرث الدور المخصص التسلسل الهرمي مثل أي دور مضمن.
For information about the limitations with custom roles and management groups, see Limitations later in this article.
Example definition
لا يتغير تحديد وإنشاء دور مخصص مع تضمين مجموعات الإدارة. استخدم المسار الكامل لتعريف مجموعة الإدارة: /providers/Microsoft.Management/managementgroups/{_groupId_}.
استخدم معرف مجموعة الإدارة وليس اسم العرض الخاص بمجموعة الإدارة. يحدث هذا الخطأ الشائع لأن كليهما عبارة عن حقول معرفة خصيصا في إنشاء مجموعة إدارة.
...
{
"Name": "MG Test Custom Role",
"Id": "id",
"IsCustom": true,
"Description": "This role provides members understand custom roles.",
"Actions": [
"Microsoft.Management/managementGroups/delete",
"Microsoft.Management/managementGroups/read",
"Microsoft.Management/managementGroups/write",
"Microsoft.Management/managementGroups/subscriptions/delete",
"Microsoft.Management/managementGroups/subscriptions/write",
"Microsoft.resources/subscriptions/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.PolicyInsights/*",
"Microsoft.Authorization/roleAssignments/*",
"Microsoft.Authorization/roledefinitions/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/providers/microsoft.management/managementGroups/ContosoCorporate"
]
}
...
مشاكل تتعلق بقطع مسار التسلسل الهرمي لتعريف الدور والتعيين
تعريفات الأدوار هي نطاقات قابلة للتعيين في أي مكان داخل التسلسل الهرمي لمجموعة الإدارة. يمكن أن يكون تعريف الدور في مجموعة إدارة أصلية، بينما يوجد تعيين الدور الفعلي في الاشتراك التابع. نظرا لوجود علاقة بين العنصرين، يظهر خطأ إذا حاولت فصل التعيين عن تعريفه.
على سبيل المثال، ضع في اعتبارك المثال التالي لمقطع صغير من التسلسل الهرمي.
يركز الرسم التخطيطي على مجموعة إدارة الجذر مع مناطق الهبوط التابعة ومجموعات إدارة بيئة الاختبار المعزولة. تحتوي مجموعة إدارة المناطق المنتقل إليها على مجموعتي إدارة تابعة تسمى Corp و Online، بينما تحتوي مجموعة إدارة بيئة الاختبار المعزولة على اشتراكين تابعين.
افترض أنه تم تعريف دور مخصص في مجموعة إدارة بيئة الاختبار المعزولة. ثم يتم تعيين هذا الدور المخصص على اشتراكي بيئة الاختبار المعزولة.
إذا حاولت نقل أحد هذه الاشتراكات ليكون تابعا لمجموعة إدارة Corp، فإن هذا يقطع المسار من تعيين دور الاشتراك إلى تعريف الدور لمجموعة إدارة بيئة الاختبار المعزولة. في هذا السيناريو، يتم تلقي خطأ يقول إن النقل غير مسموح به لأنه يكسر هذه العلاقة.
لإصلاح هذا السيناريو، لديك هذه الخيارات:
- قم بإزالة تعيين الدور من الاشتراك قبل نقل الاشتراك إلى مجموعة إدارة أصل جديدة.
- أضف الاشتراك إلى نطاق تعريف الدور القابلة للتعيين.
- غيّر النطاق القابل للتعيين ضمن تعريف الدور. في هذا المثال، يمكنك تحديث النطاقات القابلة للتعيين من مجموعة إدارة بيئة الاختبار المعزولة إلى مجموعة إدارة الجذر بحيث يمكن لكلا فرعي التسلسل الهرمي الوصول إلى التعريف.
- يتم تعريف إنشاء دور مخصص آخر في الفرع الآخر. يتطلب هذا الدور الجديد أيضا تغيير الدور في الاشتراك.
Limitations
هناك قيود على استخدام الأدوار المخصصة في مجموعات الإدارة:
- يمكنك تعريف مجموعة إدارة واحدة فقط في النطاقات القابلة للتعيين لدور جديد. تُطبق هذه القيود لتقليل حالات انقطاع اتصال تعريفات الأدوار وتعيينات الأدوار. يحدث هذا النوع من الحالات عندما ينتقل اشتراك أو مجموعة إدارة مع تعيين دور إلى أصل مختلف لا يحتوي على تعريف الدور.
- لا يمكن تعيين أدوار مخصصة مع
DataActionsفي نطاق مجموعة الإدارة. لمزيد من المعلومات، راجع حدود الأدوار المخصصة. - لا يتحقق Azure Resource Manager من وجود مجموعة الإدارة في نطاق تعريف الدور القابل للتعيين. إذا كان هناك خطأ إملائي أو معرف مجموعة إدارة غير صحيح، فلا يزال يتم إنشاء تعريف الدور.
نقل مجموعات الإدارة والاشتراكات
لنقل مجموعة إدارة أو اشتراك ليكون تابعا لمجموعة إدارة أخرى، تحتاج إلى:
- أذونات كتابة مجموعة الإدارة وأذونات كتابة تعيين الدور على الاشتراك الفرعي أو مجموعة الإدارة.
- مثال الدور المدمج: مالك
- الوصول بغرض الكتابة في مجموعة الإدارة على مجموعة الإدارة الأم المستهدفة.
- مثال الدور المضمن: المالك والمساهم والمساهم في مجموعة الإدارة
- الوصول للكتابة في مجموعة الإدارة على مجموعة الإدارة الأم الموجودة.
- مثال الدور المضمن: المالك والمساهم والمساهم في مجموعة الإدارة
هناك استثناء: إذا كان الهدف أو مجموعة الإدارة الأصلية الموجودة هي مجموعة إدارة الجذر، فلا تنطبق متطلبات الإذن. نظرا لأن مجموعة إدارة الجذر هي نقطة الهبوط الافتراضية لجميع مجموعات الإدارة والاشتراكات الجديدة، فلن تحتاج إلى أذونات عليها لنقل عنصر.
إذا كان دور المالك على الاشتراك منقولاً من مجموعة الإدارة الحالية، فستُحدد أهداف النقل. يمكنك نقل الاشتراك فقط إلى مجموعة إدارة أخرى حيث يكون لديك دور المالك. لا يمكنك نقل الاشتراك إلى مجموعة إدارة حيث تكون مساهما فقط لأنك ستفقد ملكية الاشتراك. إذا تم تعيينك مباشرة إلى دور المالك للاشتراك، يمكنك نقله إلى أي مجموعة إدارة يكون لديك فيها دور المساهم.
Important
يقوم Azure Resource Manager بتخزين تفاصيل التسلسل الهرمي لمجموعة الإدارة مؤقتا لمدة تصل إلى 30 دقيقة. ونتيجة لذلك، قد لا يظهر مدخل Microsoft Azure على الفور أنك قمت بنقل مجموعة إدارة.
تدقيق مجموعات الإدارة باستخدام سجلات النشاط
يتم دعم مجموعات الإدارة في سجلات نشاط Azure Monitor. يمكنك الاستعلام عن كافة الأحداث التي تحدث لمجموعة إدارة في نفس الموقع المركزي، مثل موارد Azure الأخرى. فعلى سبيل المثال، يمكنك مشاهدة تعيينات الأدوار أو تغييرات تعيين النهج التي تُجرى على أي مجموعة إدارة.
عندما تريد الاستعلام عن مجموعات الإدارة خارج مدخل Microsoft Azure، يبدو النطاق المستهدف لمجموعات الإدارة مثل "/providers/Microsoft.Management/managementGroups/{management-group-id}".
Note
باستخدام Azure Resource Manager REST API، يمكنك تمكين إعدادات التشخيص على مجموعة إدارة لإرسال إدخالات سجل نشاط Azure Monitor ذات الصلة إلى مساحة عمل Log Analytics أو Azure Storage أو مراكز أحداث Azure. لمزيد من المعلومات، راجع إعدادات تشخيص مجموعة الإدارة: إنشاء أو تحديث.
Related content
لمعرفة المزيد حول مجموعات الإجراءات، راجع: