Správa předplatných Azure ve velkém s využitím skupin pro správu

Pokud má vaše organizace mnoho předplatných, možná budete potřebovat způsob, jak efektivně spravovat přístup, zásady a dodržování předpisů pro tato předplatná. Skupiny pro správu Azure poskytují úroveň oboru nad předplatnými. Předplatná uspořádáte do kontejnerů označovaných jako skupiny pro správu a na tyto skupiny pro správu použijete své zásady správného řízení. Všechna předplatná v rámci skupiny pro správu automaticky dědí podmínky, které se na příslušnou skupinu pro správu vztahují.

Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaké typy předplatného případně máte. Další informace o skupinách pro správu najdete v tématu Uspořádání prostředků pomocí skupin pro správu Azure.

Poznámka

Tento článek obsahuje postup odstranění osobních údajů ze zařízení nebo služby a je možné ho využít k podpoře vašich povinností vyplývajících z GDPR. Obecné informace o GDPR najdete v části GDPR na webu Microsoft Trust Center a v části GDPR na portálu Service Trust Portal.

Důležité

Azure Resource Manager uživatelské tokeny a mezipaměť skupin pro správu trvají 30 minut, než se vynutí jejich aktualizace. Po provedení jakékoli akce, jako je přesun skupiny pro správu nebo předplatného, může trvat až 30 minut, než se zobrazí. Pokud chcete zobrazit aktualizace dříve, musíte aktualizovat token aktualizací prohlížeče, přihlášením a odhlášením nebo vyžádáním nového tokenu.

Důležité

Rutiny Az PowerShellu související s AzManagementGroup zmiňují, že parametr -GroupId je alias parametru -GroupName , takže můžeme použít kteroukoli z těchto rutin k poskytnutí ID skupiny pro správu jako řetězcové hodnoty.

Změna názvu skupiny pro správu

Název skupiny pro správu můžete změnit pomocí portálu, PowerShellu nebo Azure CLI.

Změna názvu na portálu

1. Přihlaste se na Azure Portal.

2. Vyberte Všechny služby>Skupiny pro správu.

3. Vyberte skupinu pro správu, kterou chcete přejmenovat.

4. Vyberte podrobnosti.

5. V horní části stránky vyberte možnost Přejmenovat skupinu .

   

6. Po otevření nabídky zadejte nový název, který chcete zobrazit.

   

7. Vyberte Uložit.

Změna názvu v PowerShellu

Pokud chcete aktualizovat zobrazovaný název , použijte rutinu Update-AzManagementGroup. Pokud například chcete změnit zobrazovaný název skupiny pro správu z "Contoso IT" na "Skupina Contoso", spusťte následující příkaz:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Změna názvu v Azure CLI

V případě Azure CLI použijte příkaz update.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Odstranění skupiny pro správu

K odstranění skupiny pro správu je potřeba splnit následující požadavky:

1. Skupina pro správu neobsahuje žádné podřízené skupiny pro správu ani předplatná. Pokud chcete přesunout předplatné nebo skupinu pro správu do jiné skupiny pro správu, přečtěte si téma Přesun skupin pro správu a předplatných v hierarchii.

2. Potřebujete oprávnění k zápisu do skupiny pro správu (Vlastník, Přispěvatel nebo Přispěvatel skupiny pro správu). Pokud chcete zjistit, jaká oprávnění máte, vyberte skupinu pro správu a pak vyberte IAM. Další informace o rolích Azure najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC).

Odstranění na portálu

1. Přihlaste se na Azure Portal.

2. Vyberte Všechny služby>Skupiny pro správu.

3. Vyberte skupinu pro správu, kterou chcete odstranit.

4. Vyberte podrobnosti.

5. Vyberte Odstranit.

   

   Tip

   Pokud je ikona zakázaná, po najetí myší na ikonu se zobrazí důvod.

6. Otevře se okno s potvrzením, že chcete skupinu pro správu odstranit.

   

7. Vyberte Ano.

Odstranění v PowerShellu

Pomocí příkazu Remove-AzManagementGroup v PowerShellu odstraňte skupiny pro správu.

Remove-AzManagementGroup -GroupId 'Contoso'

Odstranění v Azure CLI

V Azure CLI použijte příkaz az account management-group delete.

az account management-group delete --name 'Contoso'

Zobrazení skupin pro správu

Můžete zobrazit jakoukoli skupinu pro správu, ve které máte přímou nebo zděděnou roli Azure.

Zobrazení na portálu

1. Přihlaste se na Azure Portal.

2. Vyberte Všechny služby>Skupiny pro správu.

3. Načte se stránka hierarchie skupiny pro správu. Na této stránce můžete prozkoumat všechny skupiny pro správu a předplatná, ke kterým máte přístup. Výběrem názvu skupiny přejdete na nižší úroveň v hierarchii. Navigace funguje stejně jako průzkumník souborů.

4. Pokud chcete zobrazit podrobnosti o skupině pro správu, vyberte odkaz (podrobnosti) vedle názvu skupiny pro správu. Pokud tento odkaz není dostupný, nemáte oprávnění k zobrazení této skupiny pro správu.

   

Zobrazení v PowerShellu

Pomocí příkazu Get-AzManagementGroup načtete všechny skupiny. Úplný seznam příkazů Získání PowerShellu pro skupiny pro správu najdete v modulech Az.Resources .

Get-AzManagementGroup

Pokud chcete získat informace o jedné skupině pro správu, použijte parametr -GroupId.

Get-AzManagementGroup -GroupId 'Contoso'

Pokud chcete vrátit konkrétní skupinu pro správu a všechny úrovně hierarchie pod ní, použijte parametry -Expand a -Recurse .

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Zobrazení v Azure CLI

K načtení všech skupin použijte příkaz list.

az account management-group list

Informace o jedné skupině pro správu potřebujete pomocí příkazu show.

az account management-group show --name 'Contoso'

Pokud chcete vrátit konkrétní skupinu pro správu a všechny úrovně hierarchie pod ní, použijte parametry -Expand a -Recurse .

az account management-group show --name 'Contoso' -e -r

Přesun skupin pro správu a předplatných

Jedním z důvodů, proč vytvořit skupinu pro správu, je seskupit předplatná dohromady. Jako podřízené položky jiné skupiny pro správu je možné vytvořit pouze skupiny pro správu a předplatná. Předplatné, které se přesune do skupiny pro správu, dědí veškerý uživatelský přístup a zásady z nadřazené skupiny pro správu.

Když přesunete skupinu pro správu nebo předplatné, aby byly podřízené jiné skupině pro správu, je potřeba vyhodnotit tři pravidla jako pravdivá.

Pokud provádíte akci přesunutí, potřebujete oprávnění v každé z následujících vrstev:

• Podřízené předplatné nebo skupina pro správu
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (pouze pro předplatná)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Cílová nadřazená skupina pro správu
  • Microsoft.management/managementgroups/write
• Aktuální nadřazená skupina pro správu
  • Microsoft.management/managementgroups/write

Výjimka: Pokud je cílová nebo existující nadřazená skupina pro správu kořenová skupina pro správu, požadavky na oprávnění se nevztahují. Vzhledem k tomu, že kořenová skupina pro správu je výchozím cílovým místem pro všechny nové skupiny pro správu a předplatná, nepotřebujete u ní oprávnění k přesunutí položky.

Pokud je role Vlastník předplatného zděděná z aktuální skupiny pro správu, vaše cíle přesunu jsou omezené. Předplatné můžete přesunout jenom do jiné skupiny pro správu, ve které máte roli vlastníka. Předplatné nemůžete přesunout do skupiny pro správu, ve které jste jenom přispěvatelem, protože byste ztratili vlastnictví předplatného. Pokud máte přímo přiřazenou roli Vlastník předplatného, můžete ho přesunout do libovolné skupiny pro správu, ve které jste přispěvatelem.

Pokud chcete zjistit, jaká oprávnění máte v Azure Portal, vyberte skupinu pro správu a pak vyberte IAM. Další informace o rolích Azure najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC).

Přesun předplatných

Přidání existujícího předplatného do skupiny pro správu na portálu

1. Přihlaste se na Azure Portal.

2. Vyberte Všechny služby>Skupiny pro správu.

3. Vyberte skupinu pro správu, kterou chcete mít jako nadřazenou.

4. V horní části stránky vyberte Přidat předplatné.

5. V seznamu vyberte předplatné se správným ID.

   

6. Vyberte Uložit.

Odebrání předplatného ze skupiny pro správu na portálu

1. Přihlaste se na Azure Portal.

2. Vyberte Všechny služby>Skupiny pro správu.

3. Vyberte skupinu pro správu, kterou plánujete a která je aktuální nadřazenou skupinou.

4. V seznamu, který chcete přesunout, vyberte tři tečky na konci řádku předplatného.

   

5. Vyberte Přesunout.

6. V nabídce, která se otevře, vyberte nadřazenou skupinu pro správu.

   

7. Vyberte Uložit.

Přesun předplatných v PowerShellu

Pokud chcete přesunout předplatné v PowerShellu, použijte příkaz New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Pokud chcete odebrat propojení mezi předplatným a skupinou pro správu, použijte příkaz Remove-AzManagementGroupSubscription.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Přesun předplatných v Azure CLI

Pokud chcete přesunout předplatné v rozhraní příkazového řádku, použijte příkaz add.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Pokud chcete odebrat předplatné ze skupiny pro správu, použijte příkaz pro odebrání předplatného.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Přesun předplatných v šabloně ARM

Pokud chcete přesunout předplatné v šabloně Azure Resource Manager (šablona ARM), použijte následující šablonu a nasaďte ji na úrovni tenanta.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Nebo následující soubor Bicep.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Přesun skupin pro správu

Přesun skupin pro správu na portálu

1. Přihlaste se na Azure Portal.

2. Vyberte Všechny služby>Skupiny pro správu.

3. Vyberte skupinu pro správu, kterou chcete mít jako nadřazenou.

4. V horní části stránky vyberte Přidat skupinu pro správu.

5. V nabídce, která se otevře, vyberte, jestli chcete novou, nebo použít existující skupinu pro správu.

   • Výběrem možnosti Nový vytvoříte novou skupinu pro správu.
   • Když vyberete existující, zobrazí se vám rozevírací seznam všech skupin pro správu, které můžete do této skupiny pro správu přesunout.

   

6. Vyberte Uložit.

Přesun skupin pro správu v PowerShellu

Pomocí příkazu Update-AzManagementGroup v PowerShellu přesuňte skupinu pro správu pod jinou skupinu.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Přesun skupin pro správu v Azure CLI

Pomocí příkazu update přesuňte skupinu pro správu pomocí Azure CLI.

az account management-group update --name 'Contoso' --parent ContosoIT

Audit skupin pro správu s využitím protokolů aktivit

Skupiny pro správu se podporují v rámci protokolu aktivit Azure. Můžete se dotazovat na všechny události, ke kterým dochází u skupiny pro správu, ve stejném centrálním umístění jako jiné prostředky Azure. Pro konkrétní skupinu pro správu si můžete si zobrazit všechny změny přiřazení zásad nebo přiřazení rolí.

Pokud se chcete na skupiny pro správu dotazovat mimo Azure Portal, cílový obor pro skupiny pro správu vypadá takto: "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Odkazování na skupiny pro správu od jiných poskytovatelů prostředků

Při odkazování na skupiny pro správu z akcí jiného poskytovatele prostředků použijte jako obor následující cestu. Tato cesta se používá při použití PowerShellu, Azure CLI a rozhraní REST API.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Příkladem použití této cesty je přiřazení nové role ke skupině pro správu v PowerShellu:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Stejná cesta k oboru se používá při načítání definice zásad ve skupině pro správu.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Další kroky

Další informace o řešeních pro správu najdete v následujících tématech:

• Vytváření skupin pro správu pro organizaci prostředků Azure
• Jak měnit, odstraňovat nebo spravovat skupiny pro správu
• Kontrola skupin pro správu v modulu Prostředky Azure PowerShellu
• Kontrola skupin pro správu v rozhraní REST API
• Kontrola skupin pro správu v Azure CLI