Co jsou skupiny pro správu Azure?

Pokud má vaše organizace mnoho předplatných Azure, možná budete potřebovat způsob, jak u těchto předplatných efektivně spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu poskytují obor zásad správného řízení nad předplatnými. Předplatná uspořádáte do skupin pro správu. podmínky zásad správného řízení, které použijete kaskádovitě dědičností pro všechna přidružená předplatná.

Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaký typ předplatných máte. Všechna předplatná v rámci jedné skupiny pro správu ale musí důvěřovat stejnému tenantovi Azure Active Directory (Azure AD).

Zásady můžete například použít pro skupinu pro správu, která omezuje oblasti dostupné pro vytváření virtuálních počítačů (VM). Tato zásada se použije pro všechny vnořené skupiny pro správu, předplatná a prostředky a povolí vytváření virtuálních počítačů jenom v autorizovaných oblastech.

Hierarchie skupin pro správu a předplatných

Můžete vytvořit flexibilní strukturu skupin pro správu a předplatných a uspořádat tak prostředky do hierarchie umožňující využít jednotné zásady a správu přístupu. Následující diagram ukazuje příklad vytvoření hierarchie pro zásady správného řízení s využitím skupin pro správu.

Diagram ukázkové hierarchie skupin pro správu

Diagram kořenové skupiny pro správu, která obsahuje skupiny pro správu i předplatná Některé podřízené skupiny pro správu obsahují skupiny pro správu, některé blokují předplatná a některé blokují obojí. Jedním z příkladů v ukázkové hierarchii jsou čtyři úrovně skupin pro správu, přičemž podřízenou úrovní jsou všechna předplatná.

Můžete vytvořit hierarchii, která použije zásadu, například která omezí umístění virtuálních počítačů na oblast USA – západ ve skupině pro správu s názvem Produkční. Tato zásada se bude dědit do všech předplatných se smlouvou Enterprise, která jsou následníky dané skupiny pro správu, a bude se vztahovat na všechny virtuální počítače v rámci těchto předplatných. Tuto zásadu zabezpečení nemůže změnit vlastník prostředku ani předplatného. Výsledkem je vylepšení zásad správného řízení.

Poznámka

Skupiny pro správu se v současné době nepodporují ve funkcích služby Cost Management pro předplatná Smlouva se zákazníkem Microsoftu (MCA).

Dalším scénářem, kde by se skupiny pro správu použily, je poskytnutí uživatelského přístupu k několika předplatným. Přesunutím několika předplatných v rámci této skupiny pro správu můžete pro skupinu pro správu vytvořit jedno přiřazení role Azure , které zdědí tento přístup ke všem předplatným. Jedno přiřazení ve skupině pro správu může uživatelům umožnit přístup ke všemu, co potřebují, namísto skriptování Azure RBAC pro různá předplatná.

Důležitá fakta týkající se skupin pro správu

  • Jeden adresář podporuje až 10 000 skupin pro správu.
  • Strom skupin pro správu může mít až šest úrovní vnoření.
    • Toto omezení nezahrnuje kořenovou úroveň ani úroveň předplatného.
  • Každá skupina pro správu a předplatné může mít jenom jeden nadřazený prvek.
  • Každá skupina pro správu může mít mnoho podřízených položek.
  • Všechny skupiny pro správu a předplatná jsou v rámci adresáře v jedné hierarchii. Důležité informace o kořenových skupinách pro správu

Kořenová skupina pro správu pro jednotlivé adresáře

Každému adresáři je přidělena jedna skupina pro správu nejvyšší úrovně označovaná jako kořenová skupina pro správu. Kořenová skupina pro správu je integrovaná do hierarchie, aby se na ni složily všechny skupiny pro správu a předplatná. Tato kořenová skupina pro správu umožňuje použití globálních zásad a přiřazení rolí Azure na úrovni adresáře. Globální správce Azure AD musí sám sobě zvýšit oprávnění, aby v počátečním nastavení měl pro tuto kořenovou skupinu roli správce uživatelského přístupu. Po zvýšení oprávnění přístupu může správce přiřadit jakoukoli roli Azure jiným uživatelům nebo skupinám adresáře, aby mohli spravovat hierarchii. Jako správce můžete jako vlastníka kořenové skupiny pro správu nastavit svůj vlastní účet.

Důležité informace o kořenové skupině pro správu

  • Ve výchozím nastavení je zobrazovaný název kořenové skupiny pro správu kořenová skupina tenanta a funguje jako skupina pro správu. ID je stejná hodnota jako ID tenanta Azure Active Directory (Azure AD).
  • Pokud chcete změnit zobrazovaný název, musí mít váš účet přiřazenou roli Vlastník nebo Přispěvatel v kořenové skupině pro správu. Informace o aktualizaci názvu skupiny pro správu najdete v tématu Změna názvu skupiny pro správu.
  • Kořenová skupina pro správu se na rozdíl od ostatních skupin pro správu nedá přesunout ani odstranit.
  • Všechna předplatná a skupiny pro správu v rámci adresáře spadají do jedné kořenové skupina pro správu.
    • Všechny prostředky v adresáři spadají do kořenové skupiny pro správu, která umožňuje globální správu.
    • Nová předplatná při vytvoření ve výchozím nastavení automaticky spadají do kořenové skupiny pro správu.
  • Kořenovou složku pro správu sice vidí všichni zákazníci Azure, ale ne všichni mají přístup ke správě této skupiny.
    • Každý, kdo má přístup k předplatnému, vidí kontext tohoto předplatného v rámci hierarchie.
    • Ke kořenová skupina pro správu nikdo nemá výchozí přístup. Globální správci Azure AD jsou jedinými uživateli, kteří si sami sobě mohou zvýšit oprávnění a získat tak přístup. Jakmile budou mít přístup ke kořenové skupině pro správu, můžou globální správci přiřadit jakoukoli roli Azure jiným uživatelům, aby ji mohli spravovat.

Důležité

Jakékoli přiřazení uživatelského přístupu nebo zásad v kořenové skupině pro správu platí pro všechny prostředky v adresáři. Vzhledem k tomu by uživatelé měli vyhodnotit, jestli je potřeba mít prostředky definované v tomto rozsahu. Přiřazení uživatelského přístupu nebo zásad by v tomto rozsahu měla být jenom „povinná“.

Počáteční nastavení skupin pro správu

Když libovolný uživatel začne využívat skupiny pro správu, musí proběhnout úvodní proces nastavení. Prvním krokem je, že se v adresáři vytvoří kořenová skupina pro správu. Po vytvoření této skupiny se všechna existující předplatná, která v příslušném adresáři existují, nastaví jako podřízené prvky kořenové skupiny pro správu. Cílem tohoto procesu je zajistit, aby v rámci adresáře existovala jenom jedna hierarchie skupin pro správu. Jedna hierarchie v adresáři umožňuje zákazníkům využít globální přístup a zásady, které ostatní zákazníci v tomto adresáři nemohou obejít. Cokoli přiřazené v kořenovém adresáři bude platit pro celou hierarchii, která zahrnuje všechny skupiny pro správu, předplatná, skupiny prostředků a prostředky v rámci Azure AD tenanta.

Potíže se zobrazením všech předplatných

U několika adresářů, které začaly používat skupiny pro správu na začátku verze Preview před 25. červnem 2018, mohlo docházet k problému, kdy se v hierarchii nenacházely všechna předplatná. Proces pro zařazení předplatných do hierarchie se implementoval až po přiřazení zásad nebo role pro kořenovou skupinu pro správu v příslušném adresáři.

Jak tyto potíže vyřešit

Tento problém můžete vyřešit dvěma způsoby.

  • Odebrání všech přiřazení rolí a zásad z kořenové skupiny pro správu
    • Odebráním všech zásad a přiřazení rolí z kořenové skupiny pro správu služba obnoví všechna předplatná do hierarchie dalšího nočního cyklu. Smyslem tohoto procesu je zajistit, že se žádnému z klientských předplatných neposkytne náhodný přístup nebo přiřazení zásad.
    • Nejlepší způsob, jak tento proces provést, aniž by to mělo vliv na vaše služby, je použít přiřazení rolí nebo zásad o jednu úroveň pod kořenovou skupinou pro správu. Potom můžete všechna přiřazení z kořenového oboru odebrat.
  • Přímé volání rozhraní API pro zahájení procesu obnovení
    • Libovolný uživatel adresáře může volat rozhraní API TenantBackfillStatusRequest nebo StartTenantBackfillRequest. Rozhraní API StartTenantBackfillRequest po zavolání zahájí proces nastavení přesunu všech předplatných do hierarchie. Tento proces také začne vynucovat, aby se všechna nová předplatná stala podřízeným elementem kořenové skupiny pro správu. Tento postup se dá udělat beze změny přiřazení na kořenové úrovni. Voláním rozhraní API říkáte, že je v pořádku, když se přiřazení zásad nebo přístupu na kořenové úrovni použije pro všechna předplatná.

Pokud máte k tomuto procesu obnovení nějaké dotazy, obraťte se na managementgroups@microsoft.com.

Přístup ke skupinám pro správu

Skupiny pro správu Azure podporují řízení přístupu na základě role v Azure (Azure RBAC) pro všechny přístupy k prostředkům a definice rolí. Tato oprávnění se dědí do podřízených prostředků, které v hierarchii existují. Libovolnou roli Azure je možné přiřadit ke skupině pro správu, která zdědí hierarchii prostředkům. Ke skupině pro správu je možné například přiřadit přispěvatele virtuálních počítačů role Azure. Tato role nemá ve skupině pro správu žádnou akci, ale zdědí se do všech virtuálních počítačů v rámci této skupiny.

Následující diagram ukazuje role a podporované akce pro skupiny pro správu.

Název role Azure Vytvořit přejmenování Přesun** Odstranit Přiřazení přístupu Přiřazení zásad Číst
Vlastník × × × × × × ×
Přispěvatel × × × × ×
Přispěvatel MG* × × × × ×
Čtenář ×
Čtenář MG* ×
Přispěvatel zásad prostředků ×
Správce uživatelských přístupů × ×

*: Role Přispěvatel skupiny pro správu a Čtenář skupiny pro správu umožňují uživatelům provádět tyto akce pouze v oboru skupiny pro správu.

**: Přiřazení rolí v kořenové skupině pro správu se k přesunu předplatného nebo skupiny pro správu do a z ní nevyžadují.

Další informace o přesunu položek v rámci hierarchie najdete v tématu věnovaném správě prostředků s využitím skupin pro správu.

Definice a přiřazení vlastní role Azure

Podpora vlastních rolí Azure pro skupiny pro správu je v současné době ve verzi Preview s určitými omezeními. Obor skupiny pro správu můžete definovat v oboru, který se dá přiřadit k definici role. Tato vlastní role Azure pak bude k dispozici pro přiřazení k této skupině pro správu a jakékoli skupině pro správu, předplatnému, skupině prostředků nebo prostředku pod ní. Tato vlastní role se bude dědit v rámci hierarchie jako všechny předdefinované role.

Příklad definice

Definování a vytvoření vlastní role se zahrnutím skupin pro správu nezmění. Úplnou cestu použijte k definování skupiny pro správu /providers/Microsoft.Management/managementgroups/{groupId}.

Použijte ID skupiny pro správu, a ne zobrazovaný název skupiny pro správu. K této běžné chybě dochází, protože při vytváření skupiny pro správu jsou obě pole definovaná jako vlastní.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problémy s přerušením cesty k definici role a hierarchii přiřazení

Definice rolí jsou přiřaditelným oborem kdekoli v hierarchii skupin pro správu. Definici role je možné definovat v nadřazené skupině pro správu, zatímco skutečné přiřazení role existuje v podřízené předplatné. Vzhledem k tomu, že mezi těmito dvěma položkami existuje relace, zobrazí se při pokusu o oddělení přiřazení od jeho definice chyba.

Podívejme se například na malou část hierarchie vizuálu.

Diagram podmnožina ukázkové hierarchie skupin pro správu

Diagram se zaměřuje na kořenovou skupinu pro správu s podřízenými skupinami pro správu I T a Marketing. Skupina pro správu I T má jednu podřízenou skupinu pro správu s názvem Production, zatímco skupina pro správu Marketing má dvě podřízená předplatná bezplatné zkušební verze.

Řekněme, že ve skupině pro správu Marketing je definovaná vlastní role. Tato vlastní role se pak přiřadí ke dvěma předplatným bezplatné zkušební verze.

Pokud se pokusíme přesunout jedno z těchto předplatných tak, aby bylo podřízeným objektem produkční skupiny pro správu, tento přesun by narušil cestu od přiřazení role předplatného k definici role skupiny pro správu Marketing. V tomto scénáři se zobrazí chyba s oznámením, že přesun není povolený, protože dojde k narušení této relace.

Existuje několik různých možností, jak tento scénář vyřešit:

  • Před přesunem předplatného do nové nadřazené sady mg odeberte přiřazení role z předplatného.
  • Přidejte předplatné do přiřaditelného oboru definice role.
  • Změňte přiřaditelný obor v rámci definice role. Ve výše uvedeném příkladu můžete aktualizovat přiřaditelné obory z marketingu na kořenovou skupinu pro správu tak, aby k definici mohly přistupovat obě větve hierarchie.
  • Vytvořte další vlastní roli, která je definovaná v jiné větvi. Tato nová role vyžaduje změnu přiřazení role také v předplatném.

Omezení

Při používání vlastních rolí ve skupinách pro správu existují omezení.

  • V přiřaditelných oborech nové role můžete definovat pouze jednu skupinu pro správu. Toto omezení je zavedeno, aby se snížil počet situací, kdy jsou definice rolí a přiřazení rolí odpojeny. K této situaci dochází, když se předplatné nebo skupina pro správu s přiřazením role přesune do jiného nadřazeného objektu, který nemá definici role.
  • Akce roviny dat poskytovatele prostředků není možné definovat ve vlastních rolích skupiny pro správu. Toto omezení platí, protože při aktualizaci poskytovatelů prostředků roviny dat dochází k problému s latencí. Na tomto problému s latencí se pracuje a tyto akce budou zakázány z definice role, aby se snížila všechna rizika.
  • Azure Resource Manager neověřuje existenci skupiny pro správu v přiřaditelném oboru definice role. Pokud je v seznamu uvedený překlep nebo nesprávné ID skupiny pro správu, definice role se stále vytvoří.
  • Přiřazení role s dataActions se nepodporuje. Místo toho vytvořte přiřazení role v oboru předplatného.

Důležité

Přidání skupiny pro správu do AssignableScopes je aktuálně ve verzi Preview. Tato verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

Přesun skupin pro správu a předplatných

Pokud chcete přesunout skupinu pro správu nebo předplatné na podřízenou položku jiné skupiny pro správu, je potřeba vyhodnotit tři pravidla jako pravdivá.

Pokud provádíte akci přesunu, potřebujete:

  • Oprávnění k zápisu do skupiny pro správu a přiřazení role v podřízené předplatné nebo skupině pro správu.
    • Příklad předdefinované role: Vlastník
  • Přístup pro zápis skupiny pro správu k cílové nadřazené skupině pro správu.
    • Příklad předdefinované role: Vlastník, Přispěvatel, Přispěvatel skupiny pro správu
  • Přístup pro zápis skupiny pro správu k existující nadřazené skupině pro správu
    • Příklad předdefinované role: Vlastník, Přispěvatel, Přispěvatel skupiny pro správu

Výjimka: Pokud je cílová nebo existující nadřazená skupina pro správu kořenovou skupinou pro správu, požadavky na oprávnění se nevztahují. Vzhledem k tomu, že kořenová skupina pro správu je výchozím cílovým místem pro všechny nové skupiny pro správu a předplatná, nepotřebujete k přesunutí položky oprávnění.

Pokud je role vlastníka předplatného zděděná z aktuální skupiny pro správu, vaše cíle přesunu jsou omezené. Předplatné můžete přesunout jenom do jiné skupiny pro správu, ve které máte roli vlastníka . Nemůžete ho přesunout do skupiny pro správu, ve které jste přispěvatelem , protože byste ztratili vlastnictví předplatného. Pokud máte přímo přiřazenou roli vlastníka předplatného (nezdědili jste ji ze skupiny pro správu), můžete ji přesunout do libovolné skupiny pro správu, ve které máte přiřazenou roli Přispěvatel .

Důležité

Azure Resource Manager ukládá podrobnosti hierarchie skupin pro správu do mezipaměti po dobu až 30 minut. V důsledku toho se přesun skupiny pro správu nemusí na webu Azure Portal projevit okamžitě.

Audit skupin pro správu s využitím protokolů aktivit

Skupiny pro správu se podporují v protokolu aktivit Azure. Můžete hledat všechny události, ke kterým dochází ve skupině pro správu ve stejném centrálním umístění jako ostatní prostředky Azure. Můžete například zobrazit všechna přiřazení rolí nebo změny přiřazení zásad provedené v konkrétní skupině pro správu.

Snímek obrazovky s protokoly aktivit a operacemi souvisejícími s vybranou skupinou pro správu

Při dotazování na skupiny pro správu mimo azure Portal vypadá cílový obor pro skupiny pro správu takto : /providers/Microsoft.Management/managementGroups/{management-group-id}.

Poznámka

Pomocí rozhraní Azure Resource Manager REST API můžete povolit nastavení diagnostiky ve skupině pro správu a odesílat související položky protokolu aktivit Azure do pracovního prostoru služby Log Analytics, služby Azure Storage nebo centra událostí Azure. Další informace najdete v tématu Nastavení diagnostiky skupiny pro správu – vytvoření nebo aktualizace.

Další kroky

Další informace o řešeních pro správu najdete v následujících tématech: