كيفية حماية التسلسل الهرمي لمواردك
تشكل الموارد ومجموعات الموارد والاشتراكات ومجموعات الإدارة والمستأجر بشكل جماعي التسلسل الهرمي لمواردك. يمكن أن تؤثر الإعدادات في مجموعة إدارة الجذر، مثل أدوار Azure المخصصة أو تعيينات Azure Policy، على كل مورد في التسلسل الهرمي للموارد. من المهم حماية التسلسل الهرمي للموارد من التغييرات التي قد تؤثر سلباً على جميع الموارد.
تحتوي مجموعات الإدارة الآن على إعدادات هرمية تمكن مسؤول المستأجر من التحكم في هذه السلوكيات. تتناول هذه المقالة كل إعدادات التدرج الهرمي المتوفرة وكيفية تعيينها.
أذونات Azure RBAC لإعدادات التدرج الهرمي
يتطلب تكوين أي من إعدادات التدرج الهرمي عمليتي موفر الموارد التاليتين في مجموعة إدارة الجذر:
Microsoft.Management/managementgroups/settings/writeMicrosoft.Management/managementgroups/settings/read
تسمح هذه العمليات للمستخدم فقط بقراءة إعدادات التسلسل الهرمي وتحديثها. لا توفر العمليات أي وصول آخر إلى التدرج الهرمي لمجموعة الإدارة أو الموارد الموجودة في التدرج الهرمي. تتوفر هاتان العمليتان في الدور المضمن في Azure المسمى مسؤول إعدادات التدرج الهرمي.
الإعداد - مجموعة الإدارة الافتراضية
بشكل افتراضي، تتم إضافة اشتراك جديد داخل المستأجر كعضو في مجموعة إدارة الجذر. إذا تم تعيين تعيينات النهج، والتحكم في الوصول المستند إلى الدور Azure (Azure RBAC)، وبنيات الإدارة الأخرى لمجموعة إدارة الجذر، فإنها تؤثر على هذه الاشتراكات الجديدة على الفور. لهذا السبب، لا تطبق العديد من المؤسسات هذه التركيبات في مجموعة إدارة الجذر رغم أن هذا هو المكان المطلوب لتعيينها. في حالات أخرى، يلزم وجود مجموعة أكثر تقييداً من عناصر التحكم للاشتراكات الجديدة، ولكن لا ينبغي تعيينها لجميع الاشتراكات. يدعم هذا الإعداد كلا حالتي الاستخدام.
من خلال السماح بتعريف مجموعة الإدارة الافتراضية للاشتراكات الجديدة، يمكن تطبيق بنيات الإدارة على مستوى المؤسسة في مجموعة إدارة الجذر، ويمكن تحديد مجموعة إدارة منفصلة مع تعيينات النهج أو تعيينات دور Azure الأكثر ملاءمة لاشتراك جديد.
تعيين مجموعة الإدارة الافتراضية في المدخل
لتكوين هذا الإعداد في مدخل Microsoft Azure، اتبع الخطوات التالية:
استخدم شريط البحث للبحث عن "مجموعات الإدارة" وتحديدها.
في مجموعة إدارة الجذر، حدد details بجوار اسم مجموعة الإدارة.
ضمن Settings، حدد Hierarchy settings.
حدد الزر Change default management group.
ملاحظة
إذا تم تعطيل الزر Change default management group، فإما أن مجموعة الإدارة التي يتم عرضها ليست مجموعة إدارة الجذر أو أن مدير الأمان لديك لا يمتلك الأذونات اللازمة لتغيير إعدادات التسلسل الهرمي.
حدد مجموعة إدارة من التسلسل الهرمي واستخدم الزر Select.
تعيين مجموعة الإدارة الافتراضية مع REST API
لتكوين هذا الإعداد باستخدام REST API، يتم استدعاء نقطة نهاية إعدادات التسلسل الهرمي . للقيام بذلك، استخدم REST API URI التالي وتنسيق النص الأساسي. استبدل {rootMgID} بمعرف مجموعة إدارة الجذر و{defaultGroupID} بمعرف مجموعة الإدارة لتصبح مجموعة الإدارة الافتراضية:
REST API URI
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01نص الطلب
{ "properties": { "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}" } }
لتعيين مجموعة الإدارة الافتراضية مرة أخرى إلى مجموعة إدارة الجذر، استخدم نفس نقطة النهاية وقم بتعيين defaultManagementGroup إلى قيمة /providers/Microsoft.Management/managementGroups/{rootMgID}.
الإعداد - طلب الإذن
يمكن لأي مستخدم، بشكل افتراضي، إنشاء مجموعات إدارة جديدة داخل المستأجر. قد يرغب مسؤولو المستأجر في توفير هذه الأذونات فقط لمستخدمين محددين للحفاظ على التناسق والتوافق في التسلسل الهرمي لمجموعة الإدارة. في حالة التمكين، يتطلب المستخدم العملية Microsoft.Management/managementGroups/write في مجموعة إدارة الجذر لإنشاء مجموعات إدارة فرعية جديدة.
مجموعة تتطلب التخويل في المدخل
لتكوين هذا الإعداد في مدخل Microsoft Azure، اتبع الخطوات التالية:
استخدم شريط البحث للبحث عن "مجموعات الإدارة" وتحديدها.
في مجموعة إدارة الجذر، حدد details بجوار اسم مجموعة الإدارة.
ضمن Settings، حدد Hierarchy settings.
بدّل الخيار طلب أذونات لإنشاء مجموعات إدارة جديدة. إلى تشغيل.
ملاحظة
إذا تم تعطيل مفتاح التبديل طلب أذونات لإنشاء مجموعات إدارة جديدة. ، فإما أن مجموعة الإدارة التي يتم عرضها ليست مجموعة إدارة الجذر أو أن مدير الأمان لديك لا يمتلك الأذونات اللازمة لتغيير إعدادات التسلسل الهرمي.
تتطلب المجموعة إذناً باستخدام REST API
لتكوين هذا الإعداد باستخدام REST API، يتم استدعاء نقطة نهاية إعدادات التسلسل الهرمي . للقيام بذلك، استخدم REST API URI التالي وتنسيق النص الأساسي. هذه القيمة boolean، لذا قم بتوفير إما true أو false للقيمة. تمكّن قيمة true هذه الطريقة لحماية التسلسل الهرمي لمجموعة الإدارة لديك:
REST API URI
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01نص الطلب
{ "properties": { "requireAuthorizationForGroupCreation": true } }
لإيقاف تشغيل الإعداد، استخدم نفس نقطة النهاية وقم بتعيين requiredAuthorizationForGroupCreation على القيمة false.
نموذج PowerShell
لا يحتوي PowerShell على أمر 'Az' لتعيين مجموعة الإدارة الافتراضية أو تعيين طلب التخويل، ولكن كحل بديل يمكنك استخدام REST API مع نموذج PowerShell أدناه:
$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"
$body = '{
"properties": {
"defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
"requireAuthorizationForGroupCreation": true
}
}'
$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"
Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body
الخطوات التالية
لمعرفة المزيد حول مجموعات الإجراءات، راجع:
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ