إدارة اشتراكات Azure على نطاق واسع باستخدام مجموعات الإدارة
إذا كان لدى مؤسستك العديد من الاشتراكات، فقد تحتاج إلى طريقة لإدارة الوصول والسياسات والامتثال لهذه الاشتراكات بكفاءة. توفرمجموعات إدارة Azure مستوى من النطاق أعلى الاشتراكات. تنظم الاشتراكات في حاويات باسم "مجموعات الإدارة" وتطبق شروط الحوكمة على مجموعات الإدارة. ترث جميع الاشتراكات داخل مجموعة الإدارة الشروط المطبقة على مجموعة الإدارة تلقائياً.
تمنحك مجموعات الإدارة إدارة على مستوى المؤسسة على نطاق واسع بغض النظر عن نوع الاشتراكات التي قد تحصل عليها. لمزيد من المعلومات حول مجموعات الإدارة، يُرجى الرجوع إلى تنظيم الموارد باستخدام مجموعات إدارة Azure.
إشعار
توفر هذه المقالة خطوات حول كيفية حذف بيانات التعريف من الجهاز أو الخدمة، ويمكن استخدامها لدعم التزاماتك بموجب القانون العام لحماية البيانات (GDPR). للحصول على معلومات عامة حول GDPR، راجع قسم GDPR في مركز توثيق Microsoft وقسم GDPR في Service Trust Portal.
هام
تستمر الرموز المميزة للمستخدم Resource Manager Azure وذاكرة التخزين المؤقت لمجموعة الإدارة لمدة 30 دقيقة قبل أن يتم إجبارها على التحديث. بعد القيام بأي إجراء، مثل نقل مجموعة إدارة أو اشتراك، قد يستغرق إظهاره ما يصل إلى 30 دقيقة. لمشاهدة التحديثات في وقت أقرب تحتاج إلى تحديث الرمز المميز الخاص بك عن طريق تحديث المستعرض أو تسجيل الدخول والخروج أو طلب رمز مميز جديد.
هام
تشير أوامر «AzManagementGroup» ذات الصلة بـ Az PowerShell cmdlets إلى أن -GroupId هو الاسم المستعار للمعلمة -GroupName حتى نتمكن من استخدام أي منهما لتوفير معرف مجموعة الإدارة كقيمة سلسلة.
تغيير اسم مجموعة إدارة
يمكنك تغيير اسم مجموعة الإدارة باستخدام المدخل أو PowerShell أو Azure CLI.
تغيير الاسم في المدخل
سجّل الدخول إلى مدخل Microsoft Azure.
حدد كل الخدمات>مجموعات الإدارة.
حدد مجموعة الإدارة التي ترغب في إعادة تسميتها.
حدد التفاصيل.
حدد خيار إعادة تسمية المجموعة في أعلى الصفحة.
عند فتح القائمة، أدخل الاسم الجديد الذي ترغب في عرضه.
حدد حفظ.
تغيير الاسم في PowerShell
لتحديث اسم العرض، استخدم Update-AzManagementGroup. على سبيل المثال، لتغيير اسم عرض مجموعات الإدارة من "Contoso IT" إلى "Contoso Group"، يمكنك تشغيل الأمر التالي:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
تغيير الاسم في Azure CLI
بالنسبة إلى Azure CLI، استخدم أمر التحديث.
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
حذف مجموعة إدارة
لحذف مجموعة إدارة، يجب استيفاء المتطلبات التالية:
لا توجد مجموعات إدارة تابعة أو اشتراكات ضمن مجموعة الإدارة. لنقل اشتراك أو مجموعة إدارة إلى مجموعة إدارة أخرى، راجع نقل مجموعات الإدارة والاشتراكات في التدرج الهرمي.
تحتاج إلى أذونات الكتابة في مجموعة الإدارة ("المالك" أو "المساهم" أو "مساهم مجموعة الإدارة"). لمعرفة الأذونات التي لديك، حدد مجموعة الإدارة ثم حدد IAM. لمعرفة المزيد حول أدوار Azure، راجع التحكم في الوصول استناداً إلى الدور Azure (Azure RBAC).
حذف في المدخل
سجّل الدخول إلى مدخل Microsoft Azure.
حدد كل الخدمات>مجموعات الإدارة.
حدد مجموعة الإدارة التي ترغب في حذفها.
حدد التفاصيل.
حدد حذف
تلميح
إذا تم تعطيل الأيقونة، فإن تمرير محدد الماوس فوق الأيقونة يظهر لك السبب.
هناك نافذة تفتح لتأكيد رغبتك في حذف مجموعة الإدارة.
حدد نعم.
حذف في PowerShell
استخدم الأمر Remove-AzManagementGroup داخل PowerShell لحذف مجموعات الإدارة.
Remove-AzManagementGroup -GroupId 'Contoso'
الحذف في Azure CLI
باستخدام Azure CLI، استخدم الأمر «az account management-group delete».
az account management-group delete --name 'Contoso'
عرض مجموعات الإدارة
يمكنك أن تعرض لأي مجموعة إدارة لديك دوراً مباشراً أو موروثاً في Azure.
عرض في المدخل
سجّل الدخول إلى مدخل Microsoft Azure.
حدد كل الخدمات>مجموعات الإدارة.
سيتم تحميل صفحة التدرج الهرمي لمجموعة الإدارة. هذه الصفحة هي المكان الذي يمكنك فيه استكشاف جميع مجموعات الإدارة والاشتراكات التي يمكنك الوصول إليها. يؤدي تحديد اسم المجموعة إلى أخذك إلى مستوى أدنى في التدرج الهرمي. يعمل التنقل بنفس الطريقة التي يعمل بها مستكشف الملفات.
للاطلاع على تفاصيل مجموعة الإدارة، حدد الارتباط (التفاصيل) بجوار عنوان مجموعة الإدارة. إذا لم يكن هذا الارتباط متوفراً، فليس لديك أذونات لعرض مجموعة الإدارة هذه.
العرض في PowerShell
يمكنك استخدام الأمر Get-AzManagementGroup لاسترداد كافة المجموعات. راجع وحدات Az.Resources للحصول على القائمة الكاملة لأوامر GET PowerShell لمجموعة الإدارة.
Get-AzManagementGroup
للحصول على معلومات مجموعة إدارة واحدة، استخدم المعلمة «-GroupId»
Get-AzManagementGroup -GroupId 'Contoso'
لإرجاع مجموعة إدارة معينة وكافة مستويات التدرج الهرمي ضمنها، استخدم معلمتي -Expand و-Recurse.
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
العرض في Azure CLI
يمكنك استخدام أمر القائمة لاسترداد كافة المجموعات.
az account management-group list
للحصول على معلومات مجموعة إدارة واحدة، استخدم الأمر «show»
az account management-group show --name 'Contoso'
لإرجاع مجموعة إدارة معينة وكافة مستويات التدرج الهرمي ضمنها، استخدم معلمتي -Expand و-Recurse.
az account management-group show --name 'Contoso' -e -r
نقل مجموعات الإدارة والاشتراكات
أحد أسباب إنشاء مجموعة إدارة هو تجميع الاشتراكات معًا. يمكن جعل مجموعات الإدارة والاشتراكات فقط تابعة لمجموعة إدارة أخرى. يرث الاشتراك الذي ينتقل إلى مجموعة إدارة جميع وصول المستخدم والنهج من مجموعة الإدارة الأصل. يمكنك نقل الاشتراكات بين مجموعات الإدارة. لاحظ أن الاشتراك يمكن أن يحتوي على مجموعة إدارة أصل واحدة فقط.
عند نقل مجموعة إدارة أو اشتراك ليكون تابعاً لمجموعة إدارة أخرى، يجب تقييم ثلاث قواعد على أنها صحيحة.
إذا كنت تقوم بإجراء النقل، فأنت بحاجة إلى إذن في كل من الطبقات التالية:
- اشتراك فرعي / مجموعة إدارة
Microsoft.management/managementgroups/write
Microsoft.management/managementgroups/subscriptions/write
(فقط للاشتراكات)Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete
Microsoft.Management/register/action
- مجموعة إدارة الأصل المستهدفة
Microsoft.management/managementgroups/write
- مجموعة الإدارة الأصلية الحالية
Microsoft.management/managementgroups/write
الاستثناء: إذا كان الهدف أو مجموعة الإدارة الأصلية الموجودة هي مجموعة إدارة الجذر، فلا تنطبق متطلبات الأذونات. نظرًا إلى أن مجموعة إدارة الجذر هي نقطة الهبوط الافتراضية لجميع مجموعات الإدارة والاشتراكات الجديدة، فلا تحتاج إلى أذونات لنقل أي عنصر.
إذا كان دور المالك على الاشتراك منقولاً من مجموعة الإدارة الحالية، فستُحدد أهداف النقل. يمكنك نقل الاشتراك إلى مجموعة إدارة أخرى فقط حيث يكون تتمتع بدور المالك. لا يمكنك نقل الاشتراك إلى مجموعة إدارة، حيث تكون مساهماً فقط لأنك ستفقد ملكية الاشتراك. إذا تم تعيينك مباشرة إلى دور «المالك» للاشتراك، يمكنك نقله إلى أي مجموعة إدارة حيث تكون مساهماً.
لمعرفة الأذونات التي لديك في مدخل Azure، حدد «مجموعة الإدارة»، ثم حدد IAM. لمعرفة المزيد حول أدوار Azure، راجع التحكم في الوصول استناداً إلى الدور Azure (Azure RBAC).
نقل الاشتراكات
إضافة «اشتراك» موجود إلى مجموعة إدارة في المدخل
سجّل الدخول إلى مدخل Microsoft Azure.
حدد كل الخدمات>مجموعات الإدارة.
حدد مجموعة الإدارة التي تخطط لتكون الأصل.
في أعلى الصفحة، حدد إضافة اشتراك.
حدد الاشتراك في القائمة بالمعرف الصحيح.
حدد "حفظ".
إزالة اشتراك من مجموعة إدارة في المدخل
سجّل الدخول إلى مدخل Microsoft Azure.
حدد كل الخدمات>مجموعات الإدارة.
حدد مجموعة الإدارة التي تخطط لها، وهي الأصل الحالي.
حدد علامة الحذف في نهاية الصف للاشتراك في القائمة التي تريد نقلها.
حدد نقل.
في القائمة التي تفتح، حدد مجموعة الإدارة الأصل.
حدد حفظ.
نقل الاشتراكات في PowerShell
لنقل اشتراك في PowerShell، يمكنك استخدام الأمر «New-AzManagementGroupSubscription».
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
لإزالة الارتباط بين الاشتراك ومجموعة الإدارة، استخدم الأمر Remove-AzManagementGroupSubscription.
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
نقل الاشتراكات في Azure CLI
لنقل اشتراك في CLI، يمكنك استخدام الأمر «add».
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
لإزالة الاشتراك من مجموعة الإدارة، استخدم الأمر «remove» للاشتراك.
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
نقل الاشتراكات في قالب ARM
لنقل اشتراك في قالب Azure Resource Manager (قالب ARM)، استخدم القالب التالي ووزعِّه على مستوى المستأجر.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
أو ملف Bicep التالي.
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
نقل مجموعات الإدارة
نقل مجموعات الإدارة في المدخل
سجّل الدخول إلى مدخل Microsoft Azure.
حدد كل الخدمات>مجموعات الإدارة.
حدد مجموعة الإدارة التي تخطط لتكون الأصل.
في أعلى الصفحة، حدد إضافة مجموعة إدارة.
في القائمة التي تفتح، حدد ما إذا كنت تريد مجموعة إدارة جديدة، أو استخدم مجموعة إدارة موجودة.
- سيؤدي تحديد جديد إلى إنشاء مجموعة إدارة جديدة.
- سيؤدي تحديد موجود إلى تقديم قائمة منسدلة لكافة مجموعات الإدارة التي يمكنك نقلها إلى مجموعة الإدارة هذه.
حدد حفظ.
نقل مجموعات الإدارة في PowerShell
استخدم الأمر «Update-AzManagementGroup» في PowerShell لنقل مجموعة إدارة ضمن مجموعة مختلفة.
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
نقل مجموعات الإدارة في Azure CLI
استخدم أمر التحديث لنقل مجموعة إدارة باستخدام Azure CLI.
az account management-group update --name 'Contoso' --parent ContosoIT
مجموعات إدارة التدقيق باستخدام سجلات الأنشطة
يتم دعم مجموعات الإدارة داخل سجل نشاط Azure. يمكنك الاستعلام عن كافة الأحداث التي تحدث لمجموعة إدارة في نفس الموقع المركزي، مثل موارد Azure الأخرى. فعلى سبيل المثال، يمكنك مشاهدة تعيينات الأدوار أو تغييرات تعيين النهج التي تُجرى على أي مجموعة إدارة.
عند البحث عن الاستعلام عن مجموعات الإدارة خارج مدخل Microsoft Azure، يبدو النطاق المستهدف لمجموعات الإدارة مثل "/providers/Microsoft.Management/managementGroups/{yourMgID}".
الرجوع إلى مجموعات الإدارة من موفري الموارد الآخرين
عند الرجوع إلى مجموعات الإدارة من إجراءات موفر الموارد الأخرى، استخدم المسار التالي كنطاق. يُستخدم هذا المسار عند استخدام PowerShell وAzure CLI وواجهات برمجة تطبيقات REST.
/providers/Microsoft.Management/managementGroups/{yourMgID}
مثال على استخدام هذا المسار هو عند تعيين دور جديد لمجموعة إدارة في PowerShell:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
يتم استخدام نفس مسار النطاق عند استرداد تعريف نهج في مجموعة إدارة.
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
الخطوات التالية
لمعرفة المزيد حول مجموعات الإجراءات، راجع: