إدارة اشتراكات Azure على نطاق واسع باستخدام مجموعات الإدارة
إذا كانت مؤسستك تمتلك العديد من الاشتراكات، فقد تحتاج إلى طريقة لإدارة الوصول والنُهج والامتثال لهذه الاشتراكات بكفاءة. توفرمجموعات إدارة Azure مستوى من النطاق أعلى الاشتراكات. تنظم الاشتراكات في حاويات تسمى مجموعات الإدارة وتطبق شروط الحوكمة الخاصة بك على مجموعات الإدارة. ترث جميع الاشتراكات داخل مجموعة الإدارة الشروط المطبقة على مجموعة الإدارة تلقائياً.
تمنحك مجموعات الإدارة إدارة على مستوى المؤسسة على نطاق واسع بغض النظر عن نوع الاشتراك لديك. لمزيد من المعلومات حول مجموعات الإدارة، يُرجى الرجوع إلى تنظيم الموارد باستخدام مجموعات إدارة Azure.
إشعار
توفر هذه المقالة خطوات حول كيفية حذف بيانات التعريف من الجهاز أو الخدمة، ويمكن استخدامها لدعم التزاماتك بموجب القانون العام لحماية البيانات (GDPR). للحصول على معلومات عامة حول GDPR، راجع قسم GDPR في مركز توثيق Microsoft وقسم GDPR في Service Trust Portal.
هام
تستمر الرموز المميزة لمستخدم Azure Resource Manager وذاكرة التخزين المؤقت لمجموعة الإدارة لمدة 30 دقيقة قبل إجبارها على التحديث. قد يستغرق ظهور أي إجراء مثل نقل مجموعة إدارة أو اشتراك ما يصل إلى 30 دقيقة. لمشاهدة التحديثات في وقت أقرب، تحتاج إلى تحديث الرمز المميز الخاص بك عن طريق تحديث المستعرض أو تسجيل الدخول والخروج أو طلب رمز مميز جديد.
بالنسبة إلى إجراءات Azure PowerShell في هذه المقالة، ضع في اعتبارك أن AzManagementGroupأوامر cmdlets ذات الصلة تذكر أن -GroupId هو اسم مستعار للمعلمة -GroupName .
يمكنك استخدام أي منهما لتوفير معرف مجموعة الإدارة كقيمة سلسلة.
تغيير اسم مجموعة إدارة
يمكنك تغيير اسم مجموعة الإدارة باستخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI.
تغيير الاسم في المدخل
قم بتسجيل الدخول إلى بوابة Azure.
حدد كل الخدمات>مجموعات الإدارة.
حدد مجموعة الإدارة التي تريد إعادة تسميتها.
حدد التفاصيل.
حدد الخيار إعادة تسمية المجموعة في أعلى الجزء.
في جزء إعادة تسمية المجموعة ، أدخل الاسم الجديد الذي تريد عرضه.
حدد حفظ.
تغيير الاسم في Azure PowerShell
لتحديث اسم العرض، استخدم Update-AzManagementGroup في Azure PowerShell. على سبيل المثال، لتغيير اسم العرض لمجموعة إدارة من Contoso IT إلى Contoso Group، قم بتشغيل الأمر التالي:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
تغيير الاسم في Azure CLI
بالنسبة إلى Azure CLI، استخدم update الأمر :
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
حذف مجموعة إدارة
لحذف مجموعة إدارة، يجب أن تفي بالمتطلبات التالية:
لا توجد مجموعات إدارة تابعة أو اشتراكات ضمن مجموعة الإدارة. لنقل اشتراك أو مجموعة إدارة إلى مجموعة إدارة أخرى، راجع نقل مجموعات الإدارة والاشتراكات لاحقا في هذه المقالة.
تحتاج إلى أذونات الكتابة في مجموعة الإدارة (المالك أو المساهم أو مساهم مجموعة الإدارة). لمعرفة الأذونات التي لديك، حدد مجموعة الإدارة ثم حدد IAM. لمعرفة المزيد حول أدوار Azure، راجع ما هو التحكم في الوصول المستند إلى دور Azure (Azure RBAC)؟.
حذف مجموعة إدارة في المدخل
قم بتسجيل الدخول إلى بوابة Azure.
حدد كل الخدمات>مجموعات الإدارة.
حدد مجموعة الإدارة التي تريد حذفها.
حدد التفاصيل.
حدد حذف.
تلميح
إذا لم يكن الزر حذف متوفرا، فإن التمرير فوق الزر يظهر لك السبب.
يتم فتح مربع حوار ويطلب منك تأكيد رغبتك في حذف مجموعة الإدارة.
حدد نعم.
حذف مجموعة إدارة في Azure PowerShell
لحذف مجموعة إدارة، استخدم Remove-AzManagementGroup الأمر في Azure PowerShell:
Remove-AzManagementGroup -GroupId 'Contoso'
حذف مجموعة إدارة في Azure CLI
باستخدام Azure CLI، استخدم الأمر az account management-group delete:
az account management-group delete --name 'Contoso'
عرض مجموعات الإدارة
يمكنك عرض أي مجموعة إدارة إذا كان لديك دور Azure مباشر أو موروث عليها.
عرض مجموعات الإدارة في المدخل
قم بتسجيل الدخول إلى بوابة Azure.
حدد كل الخدمات>مجموعات الإدارة.
تظهر صفحة التسلسل الهرمي لمجموعة الإدارة. في هذه الصفحة، يمكنك استكشاف جميع مجموعات الإدارة والاشتراكات التي يمكنك الوصول إليها. يؤدي تحديد اسم المجموعة إلى أخذك إلى مستوى أدنى في التدرج الهرمي. يعمل التنقل بنفس الطريقة التي يعمل بها مستكشف الملفات.
للاطلاع على تفاصيل مجموعة الإدارة، حدد الارتباط (التفاصيل) بجوار عنوان مجموعة الإدارة. إذا لم يكن هذا الارتباط متوفراً، فليس لديك أذونات لعرض مجموعة الإدارة هذه.
عرض مجموعات الإدارة في Azure PowerShell
يمكنك استخدام Get-AzManagementGroup الأمر لاسترداد كافة المجموعات. للحصول على القائمة GET الكاملة لأوامر PowerShell لمجموعات الإدارة، راجع الوحدات النمطية Az.Resources .
Get-AzManagementGroup
للحصول على معلومات مجموعة إدارة واحدة، استخدم المعلمة -GroupId :
Get-AzManagementGroup -GroupId 'Contoso'
لإرجاع مجموعة إدارة معينة وكافة مستويات التسلسل الهرمي ضمنها، استخدم -Expand المعلمتين و -Recurse :
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
عرض مجموعات الإدارة في Azure CLI
يمكنك استخدام list الأمر لاسترداد جميع المجموعات:
az account management-group list
للحصول على معلومات مجموعة إدارة واحدة، استخدم show الأمر :
az account management-group show --name 'Contoso'
لإرجاع مجموعة إدارة معينة وكافة مستويات التسلسل الهرمي ضمنها، استخدم -Expand المعلمتين و -Recurse :
az account management-group show --name 'Contoso' -e -r
نقل مجموعات الإدارة والاشتراكات
أحد أسباب إنشاء مجموعة إدارة هو تجميع الاشتراكات معًا. يمكن أن تصبح مجموعات الإدارة والاشتراكات فقط تابعة لمجموعة إدارة أخرى. يرث الاشتراك الذي ينتقل إلى مجموعة إدارة جميع وصول المستخدم والنهج من مجموعة الإدارة الأصل.
يمكنك نقل الاشتراكات بين مجموعات الإدارة. يمكن أن يكون للاشتراك مجموعة إدارة أصل واحدة فقط.
عند نقل مجموعة إدارة أو اشتراك ليكون تابعا لمجموعة إدارة أخرى، يجب تقييم ثلاث قواعد على أنها صحيحة.
إذا كنت تقوم بإجراء النقل، فأنت بحاجة إلى إذن في كل من الطبقات التالية:
- اشتراك تابع أو مجموعة إدارة
Microsoft.management/managementgroups/writeMicrosoft.management/managementgroups/subscriptions/write(للاشتراكات فقط)Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- مجموعة إدارة الأصل المستهدفة
Microsoft.management/managementgroups/write
- مجموعة الإدارة الأصلية الحالية
Microsoft.management/managementgroups/write
هناك استثناء: إذا كان الهدف أو مجموعة الإدارة الأصلية الموجودة هي مجموعة إدارة الجذر، فلا تنطبق متطلبات الإذن. نظرا لأن مجموعة إدارة الجذر هي نقطة الهبوط الافتراضية لجميع مجموعات الإدارة والاشتراكات الجديدة، فلن تحتاج إلى أذونات عليها لنقل عنصر.
إذا كان دور المالك على الاشتراك منقولاً من مجموعة الإدارة الحالية، فستُحدد أهداف النقل. يمكنك نقل الاشتراك فقط إلى مجموعة إدارة أخرى حيث يكون لديك دور المالك. لا يمكنك نقل الاشتراك إلى مجموعة إدارة حيث تكون مساهما فقط لأنك ستفقد ملكية الاشتراك. إذا تم تعيينك مباشرة إلى دور المالك للاشتراك، يمكنك نقله إلى أي مجموعة إدارة يكون لديك فيها دور المساهم.
لمعرفة الأذونات التي لديك في مدخل Azure، حدد «مجموعة الإدارة»، ثم حدد IAM. لمعرفة المزيد حول أدوار Azure، راجع ما هو التحكم في الوصول المستند إلى دور Azure (Azure RBAC)؟.
إضافة اشتراك موجود إلى مجموعة إدارة في المدخل
قم بتسجيل الدخول إلى بوابة Azure.
حدد كل الخدمات>مجموعات الإدارة.
حدد مجموعة الإدارة التي تريد أن تكون الأصل.
في أعلى الصفحة، حدد إضافة اشتراك.
حدد الاشتراك في القائمة بالمعرف الصحيح.
حدد حفظ.
إزالة اشتراك من مجموعة إدارة في المدخل
قم بتسجيل الدخول إلى بوابة Azure.
حدد كل الخدمات>مجموعات الإدارة.
حدد مجموعة الإدارة التي هي الأصل الحالي.
حدد علامة الحذف (
...) في نهاية الصف للاشتراك في القائمة التي تريد نقلها.
حدد نقل.
في جزء Move ، حدد قيمة New parent management group ID.
حدد حفظ.
نقل اشتراك في Azure PowerShell
لنقل اشتراك في PowerShell، يمكنك استخدام New-AzManagementGroupSubscription الأمر :
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
لإزالة الارتباط بين الاشتراك ومجموعة الإدارة، استخدم Remove-AzManagementGroupSubscription الأمر :
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
نقل اشتراك في Azure CLI
لنقل اشتراك في Azure CLI، يمكنك استخدام add الأمر :
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
لإزالة الاشتراك من مجموعة الإدارة، استخدم subscription remove الأمر :
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
نقل اشتراك في قالب ARM
لنقل اشتراك في قالب Azure Resource Manager (قالب ARM)، استخدم القالب التالي وانشره على مستوى المستأجر:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
أو استخدم ملف Bicep التالي:
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
نقل مجموعة إدارة في المدخل
قم بتسجيل الدخول إلى بوابة Azure.
حدد كل الخدمات>مجموعات الإدارة.
حدد مجموعة الإدارة التي تريد أن تكون الأصل.
في أعلى الصفحة، حدد إضافة مجموعة إدارة.
في جزء إضافة مجموعة إدارة، اختر ما إذا كنت تريد استخدام مجموعة إدارة جديدة أو موجودة:
- يؤدي تحديد Create new إلى إنشاء مجموعة إدارة جديدة.
- يؤدي تحديد Use existing إلى تقديم قائمة منسدلة لكافة مجموعات الإدارة التي يمكنك نقلها إلى مجموعة الإدارة هذه.
حدد حفظ.
نقل مجموعة إدارة في Azure PowerShell
لنقل مجموعة إدارة ضمن مجموعة مختلفة، استخدم Update-AzManagementGroup الأمر في Azure PowerShell:
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
نقل مجموعة إدارة في Azure CLI
لنقل مجموعة إدارة في Azure CLI، استخدم update الأمر :
az account management-group update --name 'Contoso' --parent ContosoIT
مجموعات إدارة التدقيق باستخدام سجلات النشاط
يتم دعم مجموعات الإدارة في سجلات نشاط Azure Monitor. يمكنك الاستعلام عن كافة الأحداث التي تحدث لمجموعة إدارة في نفس الموقع المركزي، مثل موارد Azure الأخرى. فعلى سبيل المثال، يمكنك مشاهدة تعيينات الأدوار أو تغييرات تعيين النهج التي تُجرى على أي مجموعة إدارة.
عندما تريد الاستعلام عن مجموعات الإدارة خارج مدخل Microsoft Azure، يبدو النطاق المستهدف لمجموعات الإدارة مثل "/providers/Microsoft.Management/managementGroups/{yourMgID}".
مجموعات الإدارة المرجعية من موفري الموارد الآخرين
عندما تشير إلى مجموعات الإدارة من إجراءات موفر موارد آخر، استخدم المسار التالي كنطاق. ينطبق هذا المسار عند استخدام Azure PowerShell وAzure CLI وواجهات برمجة تطبيقات REST.
/providers/Microsoft.Management/managementGroups/{yourMgID}
مثال على استخدام هذا المسار هو عند تعيين دور جديد لمجموعة إدارة في Azure PowerShell:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
يمكنك استخدام نفس مسار النطاق لاسترداد تعريف نهج لمجموعة إدارة:
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
المحتوى ذو الصلة
لمعرفة المزيد حول مجموعات الإجراءات، راجع:
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ