ما مجموعات إدارة Azure؟
إذا كان لدى مؤسستك العديد من اشتراكات Azure، فقد تحتاج إلى طريقة لإدارة الوصول والسياسات والامتثال لهذه الاشتراكات بكفاءة. توفر مجموعات الإدارة نطاق إدارة أعلى من الاشتراكات. يمكنك تنظيم الاشتراكات في مجموعات الإدارة؛ شروط الحوكمة التي تطبقها تتالي عن طريق التوريث لجميع الاشتراكات المقترنة.
تمنحك مجموعات الإدارة إدارة على مستوى المؤسسة على نطاق واسع، بغض النظر عن نوع الاشتراكات التي قد تكون لديك. مع ذلك، توثق جميع الاشتراكات داخل أي مجموعة إدارة فردية نفس مستأجر Azure Active Directory (Azure AD).
على سبيل المثال، يمكنك تطبيق النُهج على مجموعة إدارة تحدد المناطق المتاحة لإنشاء الجهاز الظاهري (VM). سيتم تطبيق هذا النهج على جميع مجموعات الإدارة المتداخلة والاشتراكات والموارد والسماح بإنشاء الجهاز الظاهري فقط في المناطق المصرح بها.
التسلسل الهرمي لمجموعات الإدارة والاشتراكات
يمكنك إنشاء بنية مرنة لمجموعات الإدارة والاشتراكات لتنظيم مواردك في تسلسل هرمي للحصول على نهج موحد ولإدارة الوصول. يعرض الرسم البياني التالي مثالاً على إنشاء تسلسل هرمي للحوكمة باستخدام مجموعات الإدارة.
رسم تخطيطي لمجموعة إدارة الجذر التي تحمل مجموعات الإدارة والاشتراكات. تستحوذ بعض مجموعات الإدارة التابعة مجموعات فيما يستحوذ البعض على الاشتراكات، بينما يستحوذ البعض على كليهما. أحد الأمثلة في التدرج الهرمي للعينة هو أربعة مستويات من مجموعات الإدارة، مع المستوى التابع هو جميع الاشتراكات.
يمكنك إنشاء تسلسل هرمي يطبق نهج، على سبيل المثال، الذي يحد من مواقع الأجهزة الظاهرية إلى منطقة غرب الولايات المتحدة في مجموعة الإدارة المسماة "Corp". سيرث هذا النهج جميع اشتراكات اتفاقية Enterprise (EA) التابعة لمجموعة الإدارة هذه وسيتم تطبيقها على جميع الأجهزة الظاهرية ضمن تلك الاشتراكات. لا يمكن تغيير نهج الأمان هذا من قبل مالك المورد أو الاشتراك، ما يسمح بتحسين الحوكمة.
ملاحظة
مجموعات الإدارة غير مدعومة حاليا في ميزات Cost Management لاشتراكات اتفاقية عملاء Microsoft (MCA).
يتمثّل السيناريو الآخر الذي يمكنك فيه استخدام مجموعات الإدارة في تزويد المستخدم بالوصول إلى اشتراكات متعددة. عن طريق نقل اشتراكات متعددة ضمن مجموعة الإدارة هذه، يمكنك إنشاء تعيين دور Azure واحد على مجموعة الإدارة، والتي ستنقل هذا الوصول إلى كافة الاشتراكات. يُمكّن أي تعيين في مجموعة الإدارة المستخدمين من الحصول إلى كل ما يحتاجون إليه بدلاً من برمجة Azure RBAC عبر الاشتراكات المختلفة.
حقائق مهمة حول مجموعات الإدارة
- يمكن دعم 10000 مجموعة إدارة في دليل واحد.
- يمكن أن تدعم شجرة مجموعة الإدارة ما يصل إلى ستة مستويات من العمق.
- لا يشمل الحد مستوى الجذر أو مستوى الاشتراك
- يمكن لأي مجموعة إدارة او اشتراك دعم تطبيق أم واحد
- يمكن أن تمتلك كل مجموعة إدارة العديد من المستويات الفرعية.
- تقع جميع الاشتراكات ومجموعات الإدارة ضمن تسلسل هرمي واحد في كل دليل. راجع حقائق هامة حول مجموعة إدارة الجذر.
مجموعة إدارة الجذر لكل دليل
يُمنح لكل دليل مجموعة إدارة واحدة على مستوى عالٍ باسم مجموعة إدارة الجذر. تُدرج مجموعة إدارة الجذر هذه في التسلسل الهرمي لاستيعاب كافة مجموعات الإدارة والاشتراكات. تسمح مجموعة إدارة الجذر هذه بتطبيق النهج العالمية وتعيينات دور Azure على مستوى الدليل. يحتاج مسؤول Azure AD العالمي إلى ترقية نفسه إلى دور مسؤول وصول المستخدم لمجموعة الجذر في البداية. بعد ترقية الوصول، يمكن للمسؤول تعيين أي دور Azure لمستخدمي الدليل أو المجموعات الأخرى لإدارة التسلسل الهرمي. بصفتك مسؤولا، يمكنك تعيين حسابك كمالك لمجموعة إدارة الجذر.
حقائق هامة حول مجموعة إدارة الجذر
- بشكل افتراضي، اسم عرض مجموعة إدارة الجذر هو مجموعة جذر المستأجر ويعمل نفسه كمجموعة إدارة. المعرف هو نفس قيمة معرف مستأجر Azure Active Directory (Azure AD).
- لتغيير اسم العرض، يجب تعيين دور المالك أو المساهم إلى حسابك في مجموعة إدارة الجذر. راجع تغيير اسم مجموعة إدارة لتحديث اسم مجموعة إدارة.
- لا يمكن نقل مجموعة إدارة الجذر أو حذفها، على عكس مجموعات الإدارة الأخرى.
- يتم طي جميع الاشتراكات ومجموعات الإدارة إلى مجموعة إدارة جذر واحدة داخل الدليل.
- تُنقل كافة الموارد في الدليل إلى مجموعة إدارة الجذر للإدارة العالمية.
- تُنقل جميع الاشتراكات الجديدة تلقائيًا إلى مجموعة إدارة الجذر عند إنشائها.
- يمكن لجميع عملاء Azure مشاهدة مجموعة إدارة الجذر، ولكن لا يُسمح لجميع العملاء الوصول لإدارة مجموعة إدارة الجذر هذه.
- يمكن لكل شخص لديه حق الوصول إلى الاشتراك رؤية سياق مكان تواجد هذا الاشتراك في التسلسل الهرمي.
- لا يُمنح أي شخص حق الوصول الافتراضي إلى مجموعة إدارة الجذر. المسؤولون العالميون في Azure AD هم المستخدمون الوحيدون الذين يمكنهم ترقية مستوى الوصول. وبمجرد حصولهم على حق الوصول إلى مجموعة إدارة الجذر، يمكن للمسؤولين العالميين تعيين أي دور Azure للمستخدمين الآخرين لإدارته.
هام
ينطبق أي تعيين وصول المستخدم أو النهج في مجموعة إدارة الجذر على كافة الموارد داخل الدليل. وبسبب هذا، يُقيّم كافة العملاء الحاجة إلى تعريف العناصر على هذا النطاق. يجب أن يُحدد وصول المستخدم وتعيينات النهج على "يجب أن يملك" فقط في هذا النطاق.
الإعداد الأولي لمجموعات الإدارة
عند بدء أي مستخدم باستخدام مجموعات الإدارة، تُطبق عملية إعداد أولية. تكمن الخطوة الأولى في إنشاء مجموعة إدارة الجذر في الدليل. بمجرد إنشاء هذه المجموعة، تتحول كافة الاشتراكات الموجودة في الدليل اشتراكات تابعة لمجموعة إدارة الجذر. يتمثل السبب وراء هذه العملية في التأكد من وجود تسلسل هرمي واحد فقط لمجموعة الإدارة داخل أي دليل. يسمح التسلسل الهرمي الفردي داخل الدليل للعملاء الإداريين بتطبيق الوصول العالمي والسياسات التي لا يمكن للعملاء الآخرين داخل الدليل تجاوزها. سيُطبق أي شيء محدد على الجذر في التسلسل الهرمي بأكمله، والذي يتضمن كافة مجموعات الإدارة والاشتراكات ومجموعات الموارد والموارد داخل مستأجر Azure AD.
الوصول إلى مجموعة الإدارة
تدعم مجموعات إدارة Azure عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC) لجميع عمليات الوصول إلى الموارد وتعريفات الأدوار. تُنقل هذه الأذونات إلى الموارد التابعة الموجودة في التسلسل الهرمي. يمكن تعيين أي دور Azure إلى مجموعة الإدارة التي سوف تُنقل أسفل التسلسل الهرمي إلى الموارد. فعلى سبيل المثال، يمكن تعيين مساهم جهاز افتراضي لدور Azure إلى مجموعة إدارة. لا يحتوي هذا الدور على أي إجراء على مجموعة الإدارة ولكنه سيرث لجميع الأجهزة الظاهرية ضمن مجموعة الإدارة هذه.
يعرض المخطط التالي قائمة الأدوار والإجراءات المعتمدة على مجموعات الإدارة.
| اسم دور Azure | إنشاء | إعادة التسمية | نقل** | حذف | تعيين الوصول | تعيين نهج | Read |
|---|---|---|---|---|---|---|---|
| مالك | X | X | X | X | X | X | X |
| مساهم | X | X | X | X | X | ||
| مساهم MG* | X | X | X | X | X | ||
| القارئ | X | ||||||
| قاري MG* | X | ||||||
| المساهم في سياسة الموارد | X | ||||||
| مسؤول وصول المستخدم | X | X |
*: تسمح أدوار مساهم مجموعة الإدارة وقارئ مجموعة الإدارة للمستخدمين بتنفيذ هذه الإجراءات فقط على نطاق مجموعة الإدارة.
**: لا يُشترط تعيينات الأدوار في مجموعة إدارة الجذر لنقل اشتراك أو مجموعة إدارة من وإلى.
راجع إدارة الموارد باستخدام مجموعات الإدارة للحصول على تفاصيل حول نقل العناصر داخل التسلسل الهرمي.
تعريف وتعيين الدور المخصص في Azure
يمكنك تعريف مجموعة إدارة كنطاق قابل للتعيين في تعريف دور Azure المخصص. سيتوفر دور Azure المخصص بعد ذلك للتعيين على مجموعة الإدارة هذه وأي مجموعة إدارة أو اشتراك أو مجموعة موارد أو مورد ضمنها. سيرث الدور المخصص التسلسل الهرمي مثل أي دور مضمن. للحصول على معلومات حول القيود مع الأدوار المخصصة ومجموعات الإدارة، راجع القيود.
تعريف المثال
لا يتغير تحديد وإنشاء دور مخصص مع تضمين مجموعات الإدارة. استخدم المسار الكامل لتعريف مجموعة /providers/Microsoft.Management/managementgroups/{groupId}.
استخدم معرف مجموعة الإدارة وليس اسم العرض الخاص بمجموعة الإدارة. يحدث هذا الخطأ الشائع، حيث إن كليهما يمثل خانة معرفة حسب الطلب عند إنشاء مجموعة إدارة.
...
{
"Name": "MG Test Custom Role",
"Id": "id",
"IsCustom": true,
"Description": "This role provides members understand custom roles.",
"Actions": [
"Microsoft.Management/managementgroups/delete",
"Microsoft.Management/managementgroups/read",
"Microsoft.Management/managementgroup/write",
"Microsoft.Management/managementgroup/subscriptions/delete",
"Microsoft.Management/managementgroup/subscriptions/write",
"Microsoft.resources/subscriptions/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.PolicyInsights/*",
"Microsoft.Authorization/roleAssignments/*",
"Microsoft.Authorization/roledefinitions/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/providers/microsoft.management/managementGroups/ContosoCorporate"
]
}
...
مشاكل تتعلق بقطع مسار التسلسل الهرمي لتعريف الدور والتعيين
تمثل تعريفات الأدوار نطاقًا قابلاً للتعيين في أي مكان داخل التسلسل الهرمي لمجموعة الإدارة. يمكن تعريف دور داخل مجموعة إدارة أم في أثناء تواجد تعيين الدور الفعلي على الاشتراك التابع. ونظرًا إلى وجود علاقة بين البندين، ستتلقى خطأ عند محاولة فصل التعيين عن تعريفه.
فعلى سبيل المثال، دعونا ننتقل إلى مقطع صغير من التسلسل الهرمي لعرض ذلك.
يركز الرسم التخطيطي على مجموعة إدارة الجذر مع مناطق الهبوط التابعة ومجموعات إدارة بيئة الاختبار المعزولة. تحتوي مجموعة إدارة المناطق المنتقل إليها على مجموعتي إدارة تابعة تسمى Corp و Online بينما تحتوي مجموعة إدارة بيئة الاختبار المعزولة على اشتراكين تابعين.
لنفترض أن هناك دورا مخصصا محددا في مجموعة إدارة بيئة الاختبار المعزولة. ثم يتم تعيين هذا الدور المخصص على اشتراكي بيئة الاختبار المعزولة.
إذا حاولنا نقل أحد هذه الاشتراكات ليكون تابعا لمجموعة إدارة Corp، فإن هذه الخطوة ستقطع المسار من تعيين دور الاشتراك إلى تعريف دور مجموعة إدارة بيئة الاختبار المعزولة. في هذا السيناريو، ستتلقى خطأ مفاده أن هذه الخطوة غير مسموح بها لأنها ستقطع هذه العلاقة.
يتوافر خياران مختلفان لإصلاح هذا السيناريو:
- أزل تعيين الدور من الاشتراك قبل نقل الاشتراك إلى MG أصلي جديد.
- أضف الاشتراك إلى نطاق تعريف الدور القابلة للتعيين.
- غيّر النطاق القابل للتعيين ضمن تعريف الدور. في المثال أعلاه، يمكنك تحديث النطاقات القابلة للتعيين من بيئة الاختبار المعزولة إلى مجموعة إدارة الجذر بحيث يمكن الوصول إلى التعريف بواسطة كلا فرعي التسلسل الهرمي.
- أنشئ دورًا مخصصًا آخر يُحدد في الفرع الآخر. يتطلب هذا الدور الجديد تغيير تعيين الدور على الاشتراك أيضًا.
التقييدات
تفرض بعض القيود على استخدام أدوار مخصصة على مجموعات الإدارة.
- يمكنك تعريف مجموعة إدارة واحدة فقط في النطاقات القابلة للتعيين لدور جديد. تُطبق هذه القيود لتقليل حالات انقطاع اتصال تعريفات الأدوار وتعيينات الأدوار. يحدث ذلك عندما تنتقل مجموعة اشتراك أو إدارة ضمن تعيين دور إلى تطبيق أم آخر لا يحتوي على تعريف الدور.
- لا يمكن تعريف إجراءات مستوى بيانات موفر الموارد في الأدوار المخصصة لمجموعة الإدارة. تُطبق هذه القيود في حالة وجود مشكلة الحد الأدنى للوصول مع تحديث موفري موارد مستوى البيانات. يتم العمل على مشكلة الحد الأدنى للوصول هذه، وسوف تُعطل هذه الإجراءات من تعريف الدور للحد من أي مخاطر.
- لا يتحقق Azure Resource Manager من وجود مجموعة الإدارة في نطاق تعريف الدور القابل للتعيين. في حالة وجود خطأ مطبعي أو معرف مجموعة إدارة غير صحيح، يظل تعريف الدور قيد الإنشاء.
نقل مجموعات الإدارة والاشتراكات
لنقل مجموعة إدارة أو اشتراك لتصبح مجموعة تابعة لمجموعة إدارة أخرى، يجب تقييم صحة ثلاث قواعد.
إذا كنت تقوم بإجراء النقل، فستحتاج إلى:
- أذونات كتابة مجموعة إدارة وتعيين الأدوار على اشتراك تابع أو مجموعة الإدارة.
- مثال الدور المدمج: مالك
- الوصول بغرض الكتابة في مجموعة الإدارة على مجموعة الإدارة الأم المستهدفة.
- مثال دور مدمج: المالكوالمساهم والمساهمفي مساهم مجموعة الإدارة
- الوصول للكتابة في مجموعة الإدارة على مجموعة الإدارة الأم الموجودة.
- مثال دور مدمج: المالكوالمساهم والمساهمفي مساهم مجموعة الإدارة
الاستثناء: إذا كان الهدف أو مجموعة الإدارة الأم الموجودة هي مجموعة إدارة الجذر، لا تنطبق متطلبات الأذونات. نظرًا إلى أن مجموعة إدارة الجذر هي نقطة الهبوط الافتراضية لجميع مجموعات الإدارة والاشتراكات الجديدة، فلا تحتاج إلى أذونات لنقل أي عنصر.
إذا كان دور المالك على الاشتراك منقولاً من مجموعة الإدارة الحالية، فستُحدد أهداف النقل. يمكنك نقل الاشتراك إلى مجموعة إدارة أخرى فقط حيث يكون تتمتع بدور المالك. لا يمكنك نقله إلى مجموعة إدارة تكون مساهمًا فيها لأنك ستفقد ملكية الاشتراك. إذا تم تعيينك مباشرة إلى دور المالك للاشتراك (غير منقول من مجموعة الإدارة)، فإنه يمكنك نقله إلى أي مجموعة إدارة تكون مساهمًا فيها.
هام
يقوم مدير موارد Azure بتخزين تفاصيل التسلسل الهرمي لمجموعة الإدارة لمدة تصل إلى 30 دقيقة. ونتيجة لذلك، قد لا تُنقل مجموعة الإدارة على الفور لتظهر في مدخل Azure.
مجموعات إدارة التدقيق باستخدام سجلات الأنشطة
تُدعم مجموعات الإدارة داخل سجل نشاط Azure. يمكنك البحث في جميع الأحداث التي تحدث لمجموعة الإدارة في نفس الموقع المركزي كموارد Azure الأخرى. فعلى سبيل المثال، يمكنك مشاهدة تعيينات الأدوار أو تغييرات تعيين النهج التي تُجرى على أي مجموعة إدارة.
عند البحث عن الاستعلام عن مجموعات الإدارة خارج مدخل Azure، سيظهر النطاق المستهدف لمجموعات الإدارة كالتالي "/providers/Microsoft.Management/managementGroups/{management-group-id}".
ملاحظة
باستخدام واجهة برمجة تطبيقات REST Azure Resource Manager، يمكنك تمكين إعدادات التشخيص على مجموعة إدارة لإرسال إدخالات سجل نشاط Azure ذات الصلة إلى مساحة عمل Log Analytics أو Azure Storage أو مركز أحداث Azure. لمزيد من المعلومات، راجع إعدادات تشخيص مجموعة الإدارة - إنشاء أو تحديث.
الخطوات التالية
لمعرفة المزيد حول مجموعات الإجراءات، راجع: