مجموعات الإدارة
مجموعات الإدارة هي أداة لمساعدتك في هيكلة بيئاتك السحابية للمؤسسة والحوكمة على نطاق واسع.
يعد النظر في كيفية استخدام مجموعات الإدارة كجزء من تصميم البيئة خطوة أساسية مهمة. استخدم الإرشادات التالية للمساعدة في اتخاذ قرارات بنية السحابة الخاصة بك.
اعتبارات تصميم مجموعة الإدارة
تدعم بنيات مجموعة الإدارة داخل مستأجر Azure Active Directory (Azure AD) التعيين التنظيمي. ضع في اعتبارك بنية مجموعة الإدارة بدقة بينما تخطط مؤسستك لاعتماد Azure على نطاق واسع.
كيف ستفصل مؤسستك الخدمات المملوكة أو التي تديرها فرق محددة؟
هل هناك وظائف محددة يجب الاحتفاظ بها منفصلة لأسباب تتعلق بالتوافق التجاري أو التشغيلي؟
يمكنك استخدام مجموعات الإدارة لتجميع مهام النهج والمبادرة عبر Azure Policy.
يمكن أن تدعم شجرة مجموعة الإدارة ما يصل إلى ستة مستويات من العمق. لا يتضمن هذا الحد مستوى قواعد المستأجر أو مستوى الاشتراك.
يمكن لأي كيان، سواء كان مستخدما أو كيان خدمة، داخل مستأجر Azure AD إنشاء مجموعات إدارة جديدة. يرجع هذا الإذن إلى عدم تمكين تخويل التحكم في الوصول استنادا إلى الدور (RBAC) في Azure لعمليات مجموعة الإدارة بشكل افتراضي. لمزيد من المعلومات، راجع كيفية حماية التسلسل الهرمي للموارد
سيتم وضع جميع الاشتراكات الجديدة ضمن مجموعة إدارة جذر المستأجر بشكل افتراضي.
راجع مجموعات الإدارة لاستكشاف قدراتها بمزيد من التفصيل.
توصيات مجموعة الإدارة
حافظ على التدرج الهرمي لمجموعة الإدارة ثابتا بشكل معقول، من الناحية المثالية مع عدم وجود أكثر من ثلاثة إلى أربعة مستويات. يقلل هذا التقييد من الحمل الإداري والتعقيد.
تجنب تكرار البنية التنظيمية الخاصة بك في التسلسل الهرمي لمجموعة الإدارة شديدة التداخل. استخدم مجموعات الإدارة لتعيين النهج مقابل أغراض الفوترة. يستدعي هذا النهج استخدام مجموعات الإدارة للغرض المقصود منها في البنية المفاهيمية لمنطقة Azure المنتقل إليها. توفر هذه البنية نهج Azure لأحمال العمل التي تتطلب نفس نوع الأمان والتوافق ضمن نفس مستوى مجموعة الإدارة.
أنشئ مجموعات إدارة ضمن مجموعة الإدارة على مستوى الجذر لتمثيل أنواع أحمال العمل التي ستستضيفها. تستند هذه المجموعات إلى احتياجات الأمان والتوافق والاتصال والميزات لأحمال العمل. باستخدام بنية التجميع هذه، يمكنك تطبيق مجموعة من نهج Azure على مستوى مجموعة الإدارة. بنية التجميع هذه مخصصة لجميع أحمال العمل التي تتطلب نفس إعدادات الأمان والتوافق والاتصال والميزة.
استخدم علامات الموارد للاستعلام والتنقل أفقيا عبر التسلسل الهرمي لمجموعة الإدارة. يمكن فرض علامات الموارد أو إلحاقها من خلال نهج Azure. ثم يمكنك بعد ذلك تجميع الموارد لاحتياجات البحث دون الحاجة إلى استخدام تسلسل هرمي لمجموعة الإدارة المُعقدة.
إنشاء مجموعة إدارة بيئة الاختبار المعزولة ذات المستوى الأعلى بحيث يمكن للمستخدمين تجربة Azure على الفور. يمكنهم بعد ذلك تجربة الموارد التي قد لا يسمح بها بعد في بيئات الإنتاج. يوفر وضع بيئة الاختبار المعزولة حالة العزلة عن بيئات التطوير والاختبار والإنتاج.
إنشاء مجموعة إدارة النظام الأساسي ضمن مجموعة إدارة الجذر لدعم نهج النظام الأساسي الشائع وتعيين دور Azure. تضمن بنية التجميع هذه وجود إمكانية لتطبيق نُهج مختلفة على الاشتراكات المستخدمة في مؤسسة Azure. كما يضمن أن تكون فواتير الموارد المشتركة مركزية في مجموعة واحدة من الاشتراكات التأسيسية.
حدد عدد تعيينات نهج Azure التي تم إجراؤها في نطاق مجموعة إدارة الجذر. يقلل هذا القيد تصحيح أخطاء النُّهج المنتقلة إلى مجموعات إدارة المستوى الأدنى.
استخدم النهج لفرض متطلبات التوافق إما في مجموعة الإدارة أو نطاق الاشتراك لتحقيق الإدارة المستندة إلى النهج.
تأكد من أن المستخدمين المتميزين فقط يمكنهم تشغيل مجموعات الإدارة في المستأجر. تمكين تخويل Azure RBAC في إعدادات التسلسل الهرمي لمجموعة الإدارة لتحسين امتيازات المستخدم. بشكل افتراضي، يتم تفويض جميع المستخدمين لإنشاء مجموعات الإدارة الخاصة بهم ضمن مجموعة إدارة الجذر.
تكوين مجموعة إدارة افتراضية مخصصة للاشتراكات الجديدة. تضمن هذه المجموعة عدم وضع أي اشتراكات ضمن مجموعة إدارة الجذر. هذه المجموعة مهمة بشكل خاص إذا كان هناك مستخدمون مؤهلون لشبكة مطوري Microsoft (MSDN) أو مزايا واشتراكات Visual Studio. المرشح الجيد لهذا النوع من مجموعة الإدارة هو مجموعة إدارة بيئة الاختبار المعزولة. لمزيد من المعلومات، راجع الإعداد - مجموعة الإدارة الافتراضية.
لا تقم بإنشاء مجموعات إدارة لبيئات الإنتاج والاختبار والتطوير. إذا لزم الأمر، افصل هذه المجموعات إلى اشتراكات مختلفة في نفس مجموعة الإدارة. لمراجعة المزيد من الإرشادات حول هذا الموضوع، راجع:
مجموعات الإدارة في مسرع منطقة Azure المنتقل إليها ومستودع ALZ-Bicep
وقد اتخذت القرارات التالية وأدرجت في تنفيذ هيكل مجموعة الإدارة. هذه القرارات هي جزء من مسرع منطقة هبوط Azure والوحدة النمطية لمجموعات الإدارة في مستودع ALZ-Bicep.
ملاحظة
يمكن تعديل التسلسل الهرمي لمجموعة الإدارة في وحدة bicep لمنطقة Azure المنتقل إليها عن طريق تحرير managementGroups.bicep.
| مجموعة الإدارة | الوصف |
|---|---|
| مجموعة إدارة الجذر المتوسطة | توجد مجموعة الإدارة هذه مباشرة ضمن مجموعة جذر المستأجر. تم إنشاؤه ببادئة توفرها المؤسسة، والتي تتجنب عن قصد استخدام مجموعة الجذر بحيث يمكن للمؤسسات نقل اشتراكات Azure الموجودة إلى التسلسل الهرمي. كما أنه يتيح السيناريوهات المستقبلية. مجموعة الإدارة هذه هي أصل لجميع مجموعات الإدارة الأخرى التي تم إنشاؤها بواسطة مسرع منطقة Azure المنتقل إليها. |
| النظام الأساسي | تحتوي مجموعة الإدارة هذه على جميع مجموعات الإدارة التابعة للنظام الأساسي، مثل الإدارة والاتصال والهوية. |
| الإدارة | تحتوي مجموعة الإدارة هذه على اشتراك مخصص للإدارة والمراقبة والأمان. سيستضيف هذا الاشتراك مساحة عمل Azure Log Analytics، بما في ذلك الحلول المقترنة وحساب Azure Automation. |
| قابلية التوصيل | تحتوي مجموعة الإدارة هذه على اشتراك مخصص للاتصال. سيستضيف هذا الاشتراك موارد شبكة Azure المطلوبة للنظام الأساسي، مثل Azure Virtual WAN وAzure Firewall ومناطق Azure DNS الخاصة. |
| الهوية | تحتوي مجموعة الإدارة هذه على اشتراك مخصص للهوية. هذا الاشتراك هو عنصر نائب لأجهزة Windows Server خدمات مجال Active Directory (AD DS) الظاهرية (VMs) أو Azure خدمات مجال Active Directory. يتيح الاشتراك أيضا AuthN أو AuthZ لأحمال العمل داخل المناطق المنتقل إليها. يتم تعيين نهج Azure محددة لتقوية الموارد وإدارتها في اشتراك الهوية. |
| المناطق المنتقل إليها | مجموعة الإدارة الأصل لجميع مجموعات الإدارة التابعة للمنطقة المنتقل إليها. سيكون لديها نهج Azure غير محددة لحمل العمل معينة لضمان أمان أحمال العمل ومتوافقة. |
| متصل | مجموعة الإدارة المخصصة للمناطق المنتقل إليها عبر الإنترنت. هذه المجموعة مخصصة لأحمال العمل التي قد تتطلب اتصالا مباشرا بالإنترنت الوارد/الصادر أو لأحمال العمل التي قد لا تتطلب شبكة ظاهرية. |
| كورب | مجموعة الإدارة المخصصة للمناطق المنتقل إليها للشركات. هذه المجموعة مخصصة لأحمال العمل التي تتطلب اتصالا أو اتصالا مختلطا مع شبكة الشركة عبر المركز في اشتراك الاتصال. |
| بيئات الاختبار المعزولة | مجموعة الإدارة المخصصة للاشتراكات التي سيتم استخدامها فقط للاختبار والاستكشاف من قبل المؤسسة. سيتم قطع اتصال هذه الاشتراكات بأمان من مناطق الشركة ومناطق الهبوط عبر الإنترنت. تحتوي بيئات الاختبار المعزولة أيضا على مجموعة أقل تقييدا من النهج المعينة لتمكين اختبار خدمات Azure واستكشافها وتكوينها. |
| المسحوبه | مجموعة الإدارة المخصصة للمناطق المنتقل إليها التي يتم إلغاؤها. سيتم نقل المناطق المنتقل إليها التي تم إلغاؤها إلى مجموعة الإدارة هذه قبل الحذف بواسطة Azure بعد 30-60 يوما. |
ملاحظة
بالنسبة للعديد من المؤسسات، توفر مجموعات الإدارة والإعدادات Online الافتراضية Corp نقطة بداية مثالية.
تحتاج بعض المؤسسات إلى إضافة المزيد، بينما لن تجدها مؤسسات أخرى ذات صلة لمؤسستها.
إذا كنت تفكر في إجراء تغييرات على التسلسل الهرمي لمجموعة الإدارة، فيرجى الرجوع إلى تصميم منطقة هبوط Azure لتلبية إرشادات المتطلبات .
أذونات مسرع منطقة Azure المنتقل إليها
يتطلب اسما أساسيا مخصصا للخدمة (SPN) لتنفيذ عمليات مجموعة الإدارة وعمليات إدارة الاشتراك وتعيين الدور. يقلل استخدام SPN من عدد المستخدمين الذين لديهم حقوق غير مُقيدة ويتبع الإرشادات الأقل امتيازًا.
يتطلب دور مسؤول وصول المستخدم في نطاق مجموعة إدارة الجذر لمنح وصول SPN على مستوى الجذر. بعد منح SPN الأذونات، يمكن إزالة دور User Access Administrator بأمان. باستخدام هذه الطريقة، يكون SPN فقط جزءًا من دور User Access Administrator.
يتطلب دور المساهم في SPN المذكور سابقا في نطاق مجموعة إدارة الجذر، والذي يسمح بالعمليات على مستوى المستأجر. يضمن مستوى الإذن هذا وجود إمكانية لاستخدام SPN لتوزيع الموارد وإدارتها في أي اشتراك داخل المؤسسة.
الخطوات التالية
تعرف على الدور الذي تلعبه الاشتراكات عند التخطيط لاعتماد Azure على نطاق واسع.