Sdílet prostřednictvím

Správa předplatných Azure ve velkém měřítku pomocí skupin pro správu

  • Článek

Pokud má vaše organizace mnoho předplatných, můžete potřebovat způsob, jak efektivně u těchto předplatných spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu Azure poskytují úroveň oboru nad předplatnými. Předplatná uspořádáte do kontejnerů označovaných jako skupiny pro správu a použijete podmínky zásad správného řízení na skupiny pro správu. Všechna předplatná v rámci skupiny pro správu automaticky dědí podmínky, které se na příslušnou skupinu pro správu vztahují.

Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaký typ předplatného máte. Další informace oskupinách

Poznámka:

Tento článek obsahuje postup odstranění osobních údajů ze zařízení nebo služby a dá se použít k podpoře vašich povinností v rámci GDPR. Obecné informace o GDPR naleznete v části GDPR Centra zabezpečení společnosti Microsoft a části GDPR Service Trust Portal.

Důležité

Uživatelské tokeny Azure Resource Manageru a mezipaměť skupin pro správu trvají 30 minut, než se budou muset aktualizovat. Zobrazení jakékoli akce, jako je přesunutí skupiny pro správu nebo předplatného, může trvat až 30 minut. Pokud chcete aktualizace zobrazit dříve, musíte token aktualizovat tak, že aktualizujete prohlížeč, přihlásíte se nebo odhlásíte nebo požádáte o nový token.

U akcí Azure PowerShellu v tomto článku mějte na paměti, že AzManagementGroupsouvisející rutiny zmiňují alias -GroupId parametru -GroupName . K zadání ID skupiny pro správu jako řetězcové hodnoty můžete použít některý z nich.

Změna názvu skupiny pro správu

Název skupiny pro správu můžete změnit pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI.

Změna názvu na portálu

  1. Přihlaste se k portálu Azure.

  2. Vyberte Všechny skupiny pro správu služeb>.

  3. Vyberte skupinu pro správu, kterou chcete přejmenovat.

  4. Vyberte podrobnosti.

  5. V horní části podokna vyberte možnost Přejmenovat skupinu.

    Snímek obrazovky s panelem akcí a tlačítkem Přejmenovat skupinu na stránce skupiny pro správu

  6. V podokně Přejmenovat skupinu zadejte nový název, který chcete zobrazit.

    Snímek obrazovky s možnostmi přejmenování skupiny pro správu

  7. Zvolte Uložit.

Změna názvu v Azure PowerShellu

Pokud chcete aktualizovat zobrazovaný název, použijte Update-AzManagementGroup v Azure PowerShellu. Pokud například chcete změnit zobrazovaný název skupiny pro správu z IT společnosti Contoso na skupinu Contoso, spusťte následující příkaz:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Změna názvu v Azure CLI

Pro Azure CLI použijte update příkaz:

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Odstranění skupiny pro správu

Pokud chcete odstranit skupinu pro správu, musíte splnit následující požadavky:

  • Ve skupině pro správu nejsou žádné podřízené skupiny pro správu ani předplatná. Pokud chcete přesunout předplatné nebo skupinu pro správu do jiné skupiny pro správu, přečtěte si část Přesun skupin pro správu a předplatných dále v tomto článku.

  • Potřebujete oprávnění k zápisu do skupiny pro správu (vlastník, přispěvatel nebo přispěvatel skupiny pro správu). Pokud chcete zjistit, jaká oprávnění máte, vyberte skupinu pro správu a pak vyberte IAM. Další informace o rolích Azure najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?

Odstranění skupiny pro správu na portálu

  1. Přihlaste se k portálu Azure.

  2. Vyberte Všechny skupiny pro správu služeb>.

  3. Vyberte skupinu pro správu, kterou chcete odstranit.

  4. Vyberte podrobnosti.

  5. Vyberte Odstranit.

    Snímek obrazovky se stránkou skupiny pro správu s tlačítkem Odstranit

    Tip

    Pokud tlačítko Odstranit není k dispozici, najeďte myší na tlačítko a zobrazí se důvod.

  6. Otevře se dialogové okno a požádá vás, abyste potvrdili, že chcete odstranit skupinu pro správu.

    Snímek obrazovky s potvrzovací dialog pro odstranění skupiny pro správu

  7. Vyberte Ano.

Odstranění skupiny pro správu v Azure PowerShellu

Pokud chcete odstranit skupinu pro správu, použijte příkaz v Azure PowerShellu Remove-AzManagementGroup :

Remove-AzManagementGroup -GroupId 'Contoso'

Odstranění skupiny pro správu v Azure CLI

Pomocí Azure CLI použijte příkaz az account management-group delete:

az account management-group delete --name 'Contoso'

Zobrazení skupin pro správu

Libovolnou skupinu pro správu můžete zobrazit, pokud máte přímou nebo zděděnou roli Azure.

Zobrazení skupin pro správu na portálu

  1. Přihlaste se k portálu Azure.

  2. Vyberte Všechny skupiny pro správu služeb>.

  3. Zobrazí se stránka hierarchie skupin pro správu. Na této stránce můžete prozkoumat všechny skupiny pro správu a předplatná, ke kterým máte přístup. Když vyberete název skupiny, přejdete v hierarchii na nižší úroveň. Navigace funguje stejně jako průzkumník souborů.

  4. Pokud chcete zobrazit podrobnosti skupiny pro správu, vyberte odkaz (podrobnosti) vedle názvu skupiny pro správu. Pokud tento odkaz není dostupný, nemáte oprávnění k zobrazení této skupiny pro správu.

    Snímek obrazovky se stránkou skupin pro správu, která zobrazuje podřízené skupiny pro správu a předplatná

Zobrazení skupin pro správu v Azure PowerShellu

Příkaz slouží Get-AzManagementGroup k načtení všech skupin. Úplný seznam příkazů PowerShellu GET pro skupiny pro správu najdete v modulech Az.Resources .

Get-AzManagementGroup

Pro informace o jedné skupině pro správu použijte -GroupId parametr:

Get-AzManagementGroup -GroupId 'Contoso'

Pokud chcete vrátit konkrétní skupinu pro správu a všechny úrovně hierarchie, použijte následující -Expand parametry -Recurse :

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Zobrazení skupin pro správu v Azure CLI

Pomocí příkazu načtete list všechny skupiny:

az account management-group list

Informace o jedné skupině pro správu potřebujete pomocí show příkazu:

az account management-group show --name 'Contoso'

Pokud chcete vrátit konkrétní skupinu pro správu a všechny úrovně hierarchie, použijte následující -Expand parametry -Recurse :

az account management-group show --name 'Contoso' -e -r

Přesun skupin pro správu a předplatných

Jedním z důvodů, proč vytvořit skupinu pro správu, je seskupit předplatná dohromady. Podřízené položky jiné skupiny pro správu můžou být pouze skupiny pro správu a předplatná. Předplatné, které se přesune do skupiny pro správu, dědí veškerý uživatelský přístup a zásady z nadřazené skupiny pro správu.

Předplatná můžete přesouvat mezi skupinami pro správu. Předplatné může mít pouze jednu nadřazenou skupinu pro správu.

Když přesunete skupinu pro správu nebo předplatné jako podřízenou jinou skupinu pro správu, je potřeba vyhodnotit tři pravidla jako true.

Pokud provádíte akci přesunutí, potřebujete oprávnění v každé z následujících vrstev:

  • Podřízené předplatné nebo skupina pro správu
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (jenom pro předplatná)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Cílová nadřazená skupina pro správu
    • Microsoft.management/managementgroups/write
  • Aktuální nadřazená skupina pro správu
    • Microsoft.management/managementgroups/write

Existuje výjimka: Pokud je cílem nebo existující nadřazenou skupinou pro správu kořenová skupina pro správu, požadavky na oprávnění se nevztahují. Vzhledem k tomu, že kořenová skupina pro správu je výchozím cílovým místem pro všechny nové skupiny pro správu a předplatná, nepotřebujete k přesunu položky oprávnění.

Pokud je role Vlastník v předplatném zděděna z aktuální skupiny pro správu, vaše cíle přesunu jsou omezené. Předplatné můžete přesunout jenom do jiné skupiny pro správu, kde máte roli Vlastník. Předplatné nemůžete přesunout do skupiny pro správu, kde jste jen přispěvatelem, protože ztratíte vlastnictví předplatného. Pokud máte pro předplatné přímo přiřazenou roli Vlastník, můžete ji přesunout do libovolné skupiny pro správu, ve které máte roli Přispěvatel.

Pokud chcete zjistit, jaká oprávnění máte na webu Azure Portal, vyberte skupinu pro správu a pak vyberte IAM. Další informace o rolích Azure najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?

Přidání existujícího předplatného do skupiny pro správu na portálu

  1. Přihlaste se k portálu Azure.

  2. Vyberte Všechny skupiny pro správu služeb>.

  3. Vyberte skupinu pro správu, kterou chcete být nadřazenou.

  4. V horní části stránky vyberte Přidat předplatné.

  5. V seznamu vyberte předplatné se správným ID.

    Snímek obrazovky s polem pro výběr existujícího předplatného, které chcete přidat do skupiny pro správu

  6. Zvolte Uložit.

Odebrání předplatného ze skupiny pro správu na portálu

  1. Přihlaste se k portálu Azure.

  2. Vyberte Všechny skupiny pro správu služeb>.

  3. Vyberte skupinu pro správu, která je aktuální nadřazená.

  4. V seznamu, který chcete přesunout, vyberte tři tečky (...) na konci řádku předplatného.

    Snímek obrazovky s nabídkou, která obsahuje možnost přesunutí předplatného

  5. Vyberte Přesunout.

  6. V podokně Přesunout vyberte hodnotu pro ID nové nadřazené skupiny pro správu.

    Snímek obrazovky s podoknem pro přesun předplatného do jiné skupiny pro správu

  7. Zvolte Uložit.

Přesun předplatného v Azure PowerShellu

Pokud chcete předplatné přesunout v PowerShellu, použijte tento New-AzManagementGroupSubscription příkaz:

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Pokud chcete odebrat propojení mezi předplatným a skupinou pro správu, použijte Remove-AzManagementGroupSubscription příkaz:

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Přesun předplatného v Azure CLI

Pokud chcete přesunout předplatné v Azure CLI, použijte tento add příkaz:

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Pokud chcete odebrat předplatné ze skupiny pro správu, použijte subscription remove tento příkaz:

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Přesun předplatného v šabloně ARM

Pokud chcete přesunout předplatné v šabloně Azure Resource Manageru (šablona ARM), použijte následující šablonu a nasaďte ji na úrovni tenanta:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Nebo použijte následující soubor Bicep:

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Přesunutí skupiny pro správu na portálu

  1. Přihlaste se k portálu Azure.

  2. Vyberte Všechny skupiny pro správu služeb>.

  3. Vyberte skupinu pro správu, kterou chcete být nadřazenou.

  4. V horní části stránky vyberte Přidat skupinu pro správu.

  5. V podokně Přidat skupinu pro správu zvolte, jestli chcete použít novou nebo existující skupinu pro správu:

    • Výběrem možnosti Vytvořit nový se vytvoří nová skupina pro správu.
    • Když vyberete Možnost Použít existující , zobrazí se rozevírací seznam všech skupin pro správu, které můžete přesunout do této skupiny pro správu.

    Snímek obrazovky s podoknem pro přidání skupiny pro správu

  6. Zvolte Uložit.

Přesun skupiny pro správu v Azure PowerShellu

Pokud chcete přesunout skupinu pro správu do jiné skupiny, použijte příkaz v Azure PowerShellu Update-AzManagementGroup :

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Přesun skupiny pro správu v Azure CLI

Pokud chcete přesunout skupinu pro správu v Azure CLI, použijte update příkaz:

az account management-group update --name 'Contoso' --parent ContosoIT

Auditování skupin pro správu pomocí protokolů aktivit

Skupiny pro správu se podporují v protokolech aktivit služby Azure Monitor. Můžete se dotazovat na všechny události, ke kterým dochází ve skupině pro správu ve stejném centrálním umístění jako jiné prostředky Azure. Můžete například zobrazit všechna přiřazení rolí nebo změny přiřazení zásad provedené v konkrétní skupině pro správu.

Snímek obrazovky s protokoly aktivit a operacemi souvisejícími s vybranou skupinou pro správu

Pokud chcete dotazovat na skupiny pro správu mimo azure Portal, cílový obor pro skupiny pro správu vypadá takto "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Referenční skupiny pro správu od jiných poskytovatelů prostředků

Při odkazování na skupiny pro správu z akcí jiného poskytovatele prostředků použijte jako obor následující cestu. Tato cesta platí, když používáte Azure PowerShell, Rozhraní příkazového řádku Azure a rozhraní REST API.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Příkladem použití této cesty je přiřazení nové role ke skupině pro správu v Azure PowerShellu:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Stejnou cestu oboru použijete k načtení definice zásady pro skupinu pro správu:

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Související obsah

Další informace o řešeních pro správu najdete v následujících tématech: