ما مجموعات إدارة Azure؟

إذا كان لدى مؤسستك العديد من اشتراكات Azure، فقد تحتاج إلى طريقة لإدارة الوصول والنهج والامتثال لهذه الاشتراكات بكفاءة. توفر مجموعات الإدارة نطاق إدارة أعلى من الاشتراكات. عند تنظيم الاشتراكات في مجموعات إدارة، تتالي شروط الحوكمة التي تطبقها عن طريق التوريث لجميع الاشتراكات المقترنة.

تمنحك مجموعات الإدارة إدارة على مستوى المؤسسة على نطاق واسع، بغض النظر عن نوع الاشتراكات التي قد تكون لديك. ومع ذلك، يجب أن تثق جميع الاشتراكات داخل مجموعة إدارة واحدة في نفس مستأجر Microsoft Entra.

على سبيل المثال، يمكنك تطبيق نهج على مجموعة إدارة تحد من المناطق المتاحة لإنشاء الجهاز الظاهري (VM). سيتم تطبيق هذا النهج على جميع مجموعات الإدارة المتداخلة والاشتراكات والموارد للسماح بإنشاء الجهاز الظاهري فقط في المناطق المعتمدة.

التسلسل الهرمي لمجموعات الإدارة والاشتراكات

يمكنك إنشاء بنية مرنة لمجموعات الإدارة والاشتراكات لتنظيم مواردك في تسلسل هرمي للحصول على نهج موحد ولإدارة الوصول. يوضح الرسم التخطيطي التالي مثالاً على إنشاء تسلسل هرمي للتحكم باستخدام مجموعات الإدارة.

رسم تخطيطي للتسلسل الهرمي لمجموعة إدارة نموذج.

رسم تخطيطي لمجموعة إدارة الجذر التي تحتوي على كل من مجموعات الإدارة والاشتراكات. تستحوذ بعض مجموعات الإدارة التابعة مجموعات فيما يستحوذ البعض على الاشتراكات، بينما يستحوذ البعض على كليهما. أحد الأمثلة في التسلسل الهرمي للعينة هو أربعة مستويات من مجموعات الإدارة، مع جميع الاشتراكات على المستوى الفرعي.

يمكنك إنشاء تسلسل هرمي يطبق نهج، على سبيل المثال، يحد من مواقع الأجهزة الظاهرية إلى منطقة غرب الولايات المتحدة في مجموعة الإدارة التي تسمى Corp. سيرث هذا النهج جميع اشتراكات اتفاقية Enterprise (EA) التابعة لمجموعة الإدارة هذه وسيتم تطبيقها على جميع الأجهزة الظاهرية ضمن تلك الاشتراكات. لا يمكن لمالك المورد أو الاشتراك تغيير نهج الأمان هذا، للسماح بتحسين الحوكمة.

إشعار

مجموعات الإدارة غير مدعومة حاليا في ميزات إدارة التكاليف لاشتراكات اتفاقية عملاء Microsoft (MCA).

يتمثّل السيناريو الآخر الذي يمكنك فيه استخدام مجموعات الإدارة في تزويد المستخدم بالوصول إلى اشتراكات متعددة. من خلال نقل اشتراكات متعددة ضمن مجموعة إدارة، يمكنك إنشاء تعيين دور Azure واحد على مجموعة الإدارة. سيرث الدور هذا الوصول إلى جميع الاشتراكات. يمكن لتعيين واحد في مجموعة الإدارة تمكين المستخدمين من الوصول إلى كل ما يحتاجون إليه، بدلا من البرمجة النصية للتحكم في الوصول المستند إلى دور Azure (RBAC) عبر اشتراكات مختلفة.

حقائق مهمة حول مجموعات الإدارة

  • يمكن أن يدعم دليل واحد 10000 مجموعة إدارة.

  • يمكن أن تدعم شجرة مجموعة الإدارة ما يصل إلى ستة مستويات من العمق.

    لا يشمل هذا الحد مستوى الجذر أو الاشتراك.

  • يمكن لكل مجموعة إدارة واشتراك دعم مستوى أصلي فقط.

  • يمكن أن تمتلك كل مجموعة إدارة العديد من المستويات الفرعية.

  • تقع جميع الاشتراكات ومجموعات الإدارة ضمن تسلسل هرمي واحد في كل دليل. لمزيد من المعلومات، راجع الحقائق المهمة حول مجموعة إدارة الجذر لاحقا في هذه المقالة.

مجموعة إدارة الجذر لكل دليل

يحتوي كل دليل على مجموعة إدارة واحدة من المستوى الأعلى تسمى مجموعة إدارة الجذر . تُدرج مجموعة إدارة الجذر هذه في التسلسل الهرمي لاستيعاب كافة مجموعات الإدارة والاشتراكات.

تسمح مجموعة إدارة الجذر بتطبيق النهج العمومية وتعيينات دور Azure على مستوى الدليل. في البداية، يحتاج مسؤول Microsoft Entra العمومي إلى الارتقاء إلى دور مسؤول وصول المستخدم لهذه المجموعة الجذر. بعد ترقية الوصول، يمكن للمسؤول تعيين أي دور Azure لمستخدمي الدليل أو المجموعات الأخرى لإدارة التسلسل الهرمي. بصفتك مسؤولا، يمكنك تعيين حسابك كمالك لمجموعة إدارة الجذر.

حقائق هامة حول مجموعة إدارة الجذر

  • بشكل افتراضي، اسم عرض مجموعة إدارة الجذر هو مجموعة جذر المستأجر، وتعمل نفسها كمجموعة إدارة. المعرف هو نفس قيمة معرف مستأجر Microsoft Entra.
  • لتغيير اسم العرض، يجب أن يكون لحسابك دور المالك أو المساهم في مجموعة إدارة الجذر. لمزيد من المعلومات، راجع تغيير اسم مجموعة إدارة.
  • لا يمكن نقل مجموعة إدارة الجذر أو حذفها، على عكس مجموعات الإدارة الأخرى.
  • يتم طي جميع الاشتراكات ومجموعات الإدارة إلى مجموعة إدارة جذر واحدة داخل الدليل.
    • تُنقل كافة الموارد في الدليل إلى مجموعة إدارة الجذر للإدارة العالمية.
    • الاشتراكات الجديدة افتراضيا تلقائيا إلى مجموعة إدارة الجذر عند إنشائها.
  • يمكن لجميع عملاء Azure مشاهدة مجموعة إدارة الجذر، ولكن لا يُسمح لجميع العملاء الوصول لإدارة مجموعة إدارة الجذر هذه.
    • يمكن لكل شخص لديه حق الوصول إلى الاشتراك رؤية سياق مكان تواجد هذا الاشتراك في التسلسل الهرمي.
    • لا أحد لديه حق الوصول الافتراضي إلى مجموعة إدارة الجذر. مسؤولو Microsoft Entra العموميون هم المستخدمون الوحيدون الذين يمكنهم الارتقاء بأنفسهم للوصول. بعد أن يكون لديهم حق الوصول إلى مجموعة إدارة الجذر، يمكنهم تعيين أي دور Azure للمستخدمين الآخرين لإدارة المجموعة.

هام

ينطبق أي تعيين وصول المستخدم أو النهج في مجموعة إدارة الجذر على كافة الموارد داخل الدليل. وبسبب مستوى الوصول هذا، يجب على جميع العملاء تقييم الحاجة إلى وجود عناصر محددة في هذا النطاق. يجب أن يكون وصول المستخدم وتعيينات النهج "يجب أن يكون" فقط في هذا النطاق.

الإعداد الأولي لمجموعات الإدارة

عندما يبدأ أي مستخدم في استخدام مجموعات الإدارة، تحدث عملية إعداد أولية. الخطوة الأولى هي إنشاء مجموعة إدارة الجذر في الدليل. ثم تصبح جميع الاشتراكات الموجودة في الدليل تابعة لمجموعة إدارة الجذر.

يتمثل السبب وراء هذه العملية في التأكد من وجود تسلسل هرمي واحد فقط لمجموعة الإدارة داخل أي دليل. يسمح التسلسل الهرمي الفردي داخل الدليل للعملاء الإداريين بتطبيق الوصول العالمي والسياسات التي لا يمكن للعملاء الآخرين داخل الدليل تجاوزها.

ينطبق أي شيء تم تعيينه على الجذر على التسلسل الهرمي بأكمله. أي أنه ينطبق على جميع مجموعات الإدارة والاشتراكات ومجموعات الموارد والموارد داخل مستأجر Microsoft Entra هذا.

الوصول إلى مجموعة الإدارة

تدعم مجموعات إدارة Azure Azure RBAC لجميع الوصول إلى الموارد وتعريفات الأدوار. ترث الموارد التابعة الموجودة في التسلسل الهرمي هذه الأذونات. يمكن تعيين أي دور Azure إلى مجموعة الإدارة التي سوف تُنقل أسفل التسلسل الهرمي إلى الموارد.

على سبيل المثال، يمكنك تعيين دور Azure VM Contributor إلى مجموعة إدارة. لا يحتوي هذا الدور على أي إجراء على مجموعة الإدارة ولكنه سيرث لجميع الأجهزة الظاهرية ضمن مجموعة الإدارة هذه.

يعرض المخطط التالي قائمة الأدوار والإجراءات المعتمدة على مجموعات الإدارة.

اسم دور Azure إنشاء إعادة تسمية نقل** حذف تعيين الوصول تعيين السياسة قراءة
المالك X X X X X X X
مساهم X X X X X
مساهم مجموعة الإدارة* X X X X X
القارئ س
قارئ مجموعة الإدارة* س
المساهم في سياسة الموارد س
المسؤول عن وصول المستخدم X X

*: تسمح هذه الأدوار للمستخدمين بتنفيذ الإجراءات المحددة فقط على نطاق مجموعة الإدارة.

**: تعيينات الأدوار في مجموعة إدارة الجذر غير مطلوبة لنقل اشتراك أو مجموعة إدارة من وإلى.

للحصول على تفاصيل حول نقل العناصر داخل التسلسل الهرمي، راجع إدارة مواردك باستخدام مجموعات الإدارة.

تعريف وتعيين الدور المخصص في Azure

يمكنك تعريف مجموعة إدارة كنطاق قابل للتعيين في تعريف دور Azure المخصص. سيتوفر دور Azure المخصص بعد ذلك للتعيين على مجموعة الإدارة هذه وأي مجموعة إدارة أو اشتراك أو مجموعة موارد أو مورد ضمنها. سيرث الدور المخصص التسلسل الهرمي مثل أي دور مضمن.

للحصول على معلومات حول القيود المتعلقة بالأدوار المخصصة ومجموعات الإدارة، راجع القيود لاحقا في هذه المقالة.

تعريف المثال

لا يتغير تحديد وإنشاء دور مخصص مع تضمين مجموعات الإدارة. استخدم المسار الكامل لتعريف مجموعة الإدارة: /providers/Microsoft.Management/managementgroups/{_groupId_}.

استخدم معرف مجموعة الإدارة وليس اسم العرض الخاص بمجموعة الإدارة. يحدث هذا الخطأ الشائع لأن كليهما عبارة عن حقول معرفة خصيصا في إنشاء مجموعة إدارة.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementGroups/delete",
    "Microsoft.Management/managementGroups/read",
    "Microsoft.Management/managementGroups/write",
    "Microsoft.Management/managementGroups/subscriptions/delete",
    "Microsoft.Management/managementGroups/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

مشاكل تتعلق بقطع مسار التسلسل الهرمي لتعريف الدور والتعيين

تعريفات الأدوار هي نطاقات قابلة للتعيين في أي مكان داخل التسلسل الهرمي لمجموعة الإدارة. يمكن أن يكون تعريف الدور في مجموعة إدارة أصلية، بينما يوجد تعيين الدور الفعلي في الاشتراك التابع. نظرا لوجود علاقة بين العنصرين، ستتلقى خطأ إذا حاولت فصل التعيين عن تعريفه.

على سبيل المثال، ضع في اعتبارك المثال التالي لمقطع صغير من التسلسل الهرمي.

رسم تخطيطي للتسلسل الهرمي لمجموعة إدارة نموذجية.

يركز الرسم التخطيطي على مجموعة إدارة الجذر مع مناطق الهبوط التابعة ومجموعات إدارة بيئة الاختبار المعزولة. تحتوي مجموعة إدارة المناطق المنتقل إليها على مجموعتي إدارة تابعة تسمى Corp و Online، بينما تحتوي مجموعة إدارة بيئة الاختبار المعزولة على اشتراكين تابعين.

افترض أنه تم تعريف دور مخصص في مجموعة إدارة بيئة الاختبار المعزولة. ثم يتم تعيين هذا الدور المخصص على اشتراكي بيئة الاختبار المعزولة.

إذا حاولت نقل أحد هذه الاشتراكات لتكون تابعا لمجموعة إدارة Corp، فستقطع المسار من تعيين دور الاشتراك إلى تعريف الدور لمجموعة إدارة بيئة الاختبار المعزولة. في هذا السيناريو، ستتلقى خطأ يفيد بأن النقل غير مسموح به لأنه سيقطع هذه العلاقة.

لإصلاح هذا السيناريو، لديك هذه الخيارات:

  • قم بإزالة تعيين الدور من الاشتراك قبل نقل الاشتراك إلى مجموعة إدارة أصل جديدة.
  • أضف الاشتراك إلى نطاق تعريف الدور القابلة للتعيين.
  • غيّر النطاق القابل للتعيين ضمن تعريف الدور. في هذا المثال، يمكنك تحديث النطاقات القابلة للتعيين من مجموعة إدارة بيئة الاختبار المعزولة إلى مجموعة إدارة الجذر بحيث يمكن لكلا فرعي التسلسل الهرمي الوصول إلى التعريف.
  • إنشاء دور مخصص آخر تم تعريفه في الفرع الآخر. يتطلب هذا الدور الجديد أيضا تغيير الدور في الاشتراك.

القيود

هناك قيود على استخدام الأدوار المخصصة في مجموعات الإدارة:

  • يمكنك تعريف مجموعة إدارة واحدة فقط في النطاقات القابلة للتعيين لدور جديد. تُطبق هذه القيود لتقليل حالات انقطاع اتصال تعريفات الأدوار وتعيينات الأدوار. يحدث هذا النوع من الحالات عندما ينتقل اشتراك أو مجموعة إدارة مع تعيين دور إلى أصل مختلف لا يحتوي على تعريف الدور.
  • لا يمكن تعيين أدوار مخصصة مع DataActions في نطاق مجموعة الإدارة. لمزيد من المعلومات، راجع حدود الأدوار المخصصة.
  • لا يتحقق Azure Resource Manager من وجود مجموعة الإدارة في نطاق تعريف الدور القابل للتعيين. إذا كان هناك خطأ إملائي أو معرف مجموعة إدارة غير صحيح، فلا يزال يتم إنشاء تعريف الدور.

نقل مجموعات الإدارة والاشتراكات

لنقل مجموعة إدارة أو اشتراك ليكون تابعا لمجموعة إدارة أخرى، تحتاج إلى:

  • أذونات كتابة مجموعة الإدارة وأذونات كتابة تعيين الدور على الاشتراك الفرعي أو مجموعة الإدارة.
    • مثال الدور المدمج: مالك
  • الوصول بغرض الكتابة في مجموعة الإدارة على مجموعة الإدارة الأم المستهدفة.
    • مثال الدور المضمن: المالك والمساهم والمساهم في مجموعة الإدارة
  • الوصول للكتابة في مجموعة الإدارة على مجموعة الإدارة الأم الموجودة.
    • مثال الدور المضمن: المالك والمساهم والمساهم في مجموعة الإدارة

هناك استثناء: إذا كان الهدف أو مجموعة الإدارة الأصلية الموجودة هي مجموعة إدارة الجذر، فلا تنطبق متطلبات الإذن. نظرا لأن مجموعة إدارة الجذر هي نقطة الهبوط الافتراضية لجميع مجموعات الإدارة والاشتراكات الجديدة، فلن تحتاج إلى أذونات عليها لنقل عنصر.

إذا كان دور المالك على الاشتراك منقولاً من مجموعة الإدارة الحالية، فستُحدد أهداف النقل. يمكنك نقل الاشتراك فقط إلى مجموعة إدارة أخرى حيث يكون لديك دور المالك. لا يمكنك نقل الاشتراك إلى مجموعة إدارة حيث تكون مساهما فقط لأنك ستفقد ملكية الاشتراك. إذا تم تعيينك مباشرة إلى دور المالك للاشتراك، يمكنك نقله إلى أي مجموعة إدارة يكون لديك فيها دور المساهم.

هام

يقوم Azure Resource Manager بتخزين تفاصيل التسلسل الهرمي لمجموعة الإدارة مؤقتا لمدة تصل إلى 30 دقيقة. ونتيجة لذلك، قد لا يظهر مدخل Microsoft Azure على الفور أنك قمت بنقل مجموعة إدارة.

تدقيق مجموعات الإدارة باستخدام سجلات النشاط

يتم دعم مجموعات الإدارة في سجلات نشاط Azure Monitor. يمكنك الاستعلام عن كافة الأحداث التي تحدث لمجموعة إدارة في نفس الموقع المركزي، مثل موارد Azure الأخرى. فعلى سبيل المثال، يمكنك مشاهدة تعيينات الأدوار أو تغييرات تعيين النهج التي تُجرى على أي مجموعة إدارة.

لقطة شاشة لسجلات النشاط والعمليات المتعلقة بمجموعة إدارة محددة.

عندما تريد الاستعلام عن مجموعات الإدارة خارج مدخل Microsoft Azure، يبدو النطاق المستهدف لمجموعات الإدارة مثل "/providers/Microsoft.Management/managementGroups/{management-group-id}".

إشعار

باستخدام Azure Resource Manager REST API، يمكنك تمكين إعدادات التشخيص على مجموعة إدارة لإرسال إدخالات سجل نشاط Azure Monitor ذات الصلة إلى مساحة عمل Log Analytics أو Azure Storage أو مراكز أحداث Azure. لمزيد من المعلومات، راجع إعدادات تشخيص مجموعة الإدارة: إنشاء أو تحديث.

لمعرفة المزيد حول مجموعات الإجراءات، راجع: