Skupiny pro správu
Pomocí skupin pro správu můžete uspořádat a řídit předplatná Azure. S rostoucím počtem předplatných poskytují skupiny pro správu kritickou strukturu pro vaše prostředí Azure a usnadňují správu předplatných. Následující doprovodné materiály vám použijí k vytvoření efektivní hierarchie skupin pro správu a uspořádání předplatných podle osvědčených postupů.
Aspekty návrhu skupin pro správu
Struktury skupin pro správu v rámci tenanta Microsoft Entra podporují mapování organizace. Důkladně zvažte strukturu skupin pro správu, když vaše organizace plánuje přijetí Azure ve velkém měřítku.
Určete, jak vaše organizace odděluje služby, které konkrétní týmy vlastní nebo fungují.
Určete, jestli máte specifické funkce, které potřebujete oddělit z důvodů, jako jsou obchodní požadavky, provozní požadavky, zákonné požadavky, rezidence dat, zabezpečení dat nebo dodržování suverenity dat.
Pomocí skupin pro správu můžete agregovat přiřazení zásad a iniciativ prostřednictvím služby Azure Policy.
Povolení autorizace řízení přístupu na základě role v Azure (RBAC) pro operace skupin pro správu k přepsání výchozí autorizace Ve výchozím nastavení můžou všechny objekty zabezpečení, jako je instanční objekt nebo instanční objekt uživatele, v rámci tenanta Microsoft Entra vytvářet nové skupiny pro správu. Další informace naleznete v tématu Jak chránit hierarchii prostředků.
Zvažte také následující faktory:
Strom skupiny pro správu může podporovat až šest úrovní hloubky. Toto omezení nezahrnuje kořenovou úroveň nebo úroveň předplatného tenanta.
Všechna nová předplatná se ve výchozím nastavení umístí do kořenové skupiny pro správu tenanta.
Další informace najdete v tématu Skupiny pro správu.
Doporučení skupin pro správu
Udržujte hierarchii skupin pro správu přiměřeně plochou, ideálně s maximálně třemi až čtyřmi úrovněmi. Toto omezení snižuje režii a složitost správy.
Nekouplikujte organizační strukturu do hluboko vnořené hierarchie skupin pro správu. Skupiny pro správu používejte pro přiřazení zásad a účely fakturace. Pro tento přístup použijte skupiny pro správu pro jejich zamýšlený účel v koncepční architektuře cílové zóny Azure. Tato architektura poskytuje zásady Azure pro úlohy, které vyžadují stejný typ zabezpečení a dodržování předpisů na stejné úrovni skupiny pro správu.
Vytvořte skupiny pro správu v rámci kořenové skupiny pro správu, které představují typy úloh, které hostujete. Tyto skupiny jsou založené na potřebách zabezpečení, dodržování předpisů, připojení a funkcí úloh. Pomocí této struktury seskupení můžete mít sadu zásad Azure použitou na úrovni skupiny pro správu. Tuto strukturu seskupení použijte pro všechny úlohy, které vyžadují stejné nastavení zabezpečení, dodržování předpisů, připojení a funkcí.
Pomocí značek prostředků můžete dotazovat a vodorovně procházet hierarchii skupin pro správu. Azure Policy můžete použít k vynucení nebo připojení značek prostředků. Potom můžete seskupit prostředky pro potřeby vyhledávání, aniž byste museli použít složitou hierarchii skupiny pro správu.
Vytvořte skupinu pro správu sandboxu nejvyšší úrovně, abyste mohli okamžitě experimentovat s prostředky, než je přesunete do produkčních prostředí. Sandbox poskytuje izolaci od vývojových, testovacích a produkčních prostředí.
Vytvořte skupinu pro správu platformy v kořenové skupině pro správu, která podporuje běžné zásady platformy a přiřazení rolí Azure. Tato struktura seskupení zajišťuje, že na předplatná v základu Azure můžete použít různé zásady. Tento přístup také centralizuje fakturaci běžných prostředků v jedné sadě základních předplatných.
Omezte počet přiřazení azure Policy v oboru kořenové skupiny pro správu. Toto omezení minimalizuje ladění zděděných zásad ve skupinách pro správu nižší úrovně.
Pomocí zásad vynucujte požadavky na dodržování předpisů buď ve skupině pro správu, nebo v oboru předplatného, abyste dosáhli zásad správného řízení řízeného zásadami.
Ujistěte se, že v tenantovi můžou provozovat skupiny pro správu jenom privilegovaní uživatelé. Povolte v nastavení hierarchie skupin pro správu autorizaci Azure RBAC a upřesněte uživatelská oprávnění. Ve výchozím nastavení můžou všichni uživatelé vytvářet vlastní skupiny pro správu v kořenové skupině pro správu.
Nakonfigurujte výchozí vyhrazenou skupinu pro správu pro nová předplatná. Tato skupina zajišťuje, že pod kořenovou skupinou pro správu nepřejdou žádná předplatná. Tato skupina je obzvláště důležitá, pokud uživatelé mají výhody a předplatná microsoftu Microsoft Developer Network (MSDN) nebo Visual Studio. Vhodným kandidátem pro tento typ skupiny pro správu je skupina pro správu sandboxu. Další informace najdete v tématu Nastavení výchozí skupiny pro správu.
Nevytvávejte skupiny pro správu pro produkční, testovací a vývojová prostředí. V případě potřeby tyto skupiny rozdělte do různých předplatných ve stejné skupině pro správu. Další informace naleznete v tématu:
Doporučujeme použít standardní strukturu skupiny pro správu cílových zón Azure pro nasazení ve více oblastech. Nevytvávejte skupiny pro správu výhradně pro modelování různých oblastí Azure. Nezměníte ani nerozbalujte strukturu skupin pro správu na základě využití oblasti nebo více oblastí.
Pokud máte zákonné požadavky na umístění, jako je rezidence dat, zabezpečení dat nebo suverenita dat, měli byste vytvořit strukturu skupiny pro správu na základě umístění. Tuto strukturu můžete implementovat na různých úrovních. Další informace najdete v tématu Úprava architektury cílové zóny Azure.
Skupiny pro správu v akcelerátoru cílových zón Azure a úložišti ALZ-Bicep
Následující příklad ukazuje strukturu skupiny pro správu. Skupiny pro správu v tomto příkladu jsou v akcelerátoru cílové zóny Azure a modulu skupin pro správu úložiště ALZ-Bicep.
Poznámka:
Hierarchii skupin pro správu můžete upravit v modulu bicep cílové zóny Azure úpravou managementGroups.bicep.
| Skupina pro správu | Popis |
|---|---|
| Zprostředkující kořenová skupina pro správu | Tato skupina pro správu je přímo v kořenové skupině tenanta. Organizace poskytuje tuto skupinu pro správu s předponou, aby nemusela používat kořenovou skupinu. Organizace může přesunout existující předplatná Azure do hierarchie. Tento přístup také nastavuje budoucí scénáře. Tato skupina pro správu je nadřazená všem ostatním skupinám pro správu vytvořeným akcelerátorem cílové zóny Azure. |
| Platforma | Tato skupina pro správu obsahuje všechny podřízené skupiny pro správu platformy, jako je správa, připojení a identita. |
| Správa | Tato skupina pro správu obsahuje vyhrazené předplatné pro správu, monitorování a zabezpečení. Toto předplatné hostuje pracovní prostor protokolů služby Azure Monitor, včetně přidružených řešení a účtu Azure Automation. |
| Připojení | Tato skupina pro správu obsahuje vyhrazené předplatné pro připojení. Toto předplatné hostuje síťové prostředky Azure, jako jsou Azure Virtual WAN, Azure Firewall a privátní zóny Azure DNS, které platforma vyžaduje. K zahrnutí prostředků, jako jsou virtuální sítě, instance brány firewall a brány virtuální sítě, které jsou nasazené v různých oblastech, můžete použít různé skupiny prostředků. Některá velká nasazení můžou mít omezení kvóty předplatného pro prostředky připojení. Pro prostředky připojení můžete vytvořit vyhrazená předplatná v každé oblasti. |
| Identita | Tato skupina pro správu obsahuje vyhrazené předplatné pro identitu. Toto předplatné je zástupný symbol pro virtuální počítače Doména služby Active Directory Services (AD DS) nebo Microsoft Entra Domain Services. Různé skupiny prostředků můžete použít k zahrnutí prostředků, jako jsou virtuální sítě a virtuální počítače, které jsou nasazené v různých oblastech. Předplatné také umožňuje AuthN nebo AuthZ pro úlohy v rámci cílových zón. Přiřaďte konkrétní zásady Azure k posílení a správě prostředků v předplatném identity. Některá velká nasazení můžou mít omezení kvóty předplatného pro prostředky připojení. Pro prostředky připojení můžete vytvořit vyhrazená předplatná v každé oblasti. |
| Cílové zóny | Nadřazená skupina pro správu, která obsahuje všechny podřízené skupiny pro správu cílové zóny. Má přiřazené zásady Azure nezávislé na úlohách, aby se zajistilo, že jsou úlohy zabezpečené a vyhovující. |
| Online | Vyhrazená skupina pro správu pro online cílové zóny. Tato skupina je určená pro úlohy, které můžou vyžadovat přímé příchozí nebo odchozí připojení k internetu nebo pro úlohy, které nemusí vyžadovat virtuální síť. |
| Corp | Vyhrazená skupina pro správu pro podnikové cílové zóny. Tato skupina je určená pro úlohy, které vyžadují připojení nebo hybridní připojení k podnikové síti prostřednictvím centra v předplatném připojení. |
| Pískovišť | Vyhrazená skupina pro správu pro předplatná. Organizace používá sandboxy k testování a zkoumání. Tato předplatná jsou bezpečně izolovaná od firemních a online cílových zón. Sandboxy mají také méně omezující sadu zásad přiřazených k povolení testování, zkoumání a konfigurace služeb Azure. |
| Vyřazení | Vyhrazená skupina pro správu pro zrušené cílové zóny. Do této skupiny pro správu přesunete zrušené cílové zóny a Azure je po 30 až 60 dnech odstraní. |
Poznámka:
Pro mnoho organizací představují výchozí Corp a Online skupiny pro správu ideální výchozí bod.
Některé organizace potřebují přidat další skupiny pro správu.
Pokud chcete změnit hierarchii skupin pro správu, přečtěte si téma Přizpůsobení architektury cílové zóny Azure podle požadavků.
Oprávnění pro akcelerátor cílových zón Azure
Akcelerátor cílové zóny Azure:
Vyžaduje vyhrazený hlavní název služby (SPN) ke spouštění operací skupiny pro správu, operací správy předplatného a přiřazení rolí. Pomocí hlavního názvu služby (SPN) snižte počet uživatelů se zvýšenými oprávněními a postupujte podle pokynů pro nejnižší oprávnění.
Vyžaduje roli User Access Správa istrator v oboru kořenové skupiny pro správu k udělení přístupu hlavního názvu služby (SPN) na kořenové úrovni. Jakmile hlavní název služby (SPN) má oprávnění, můžete bezpečně odebrat roli Uživatelský přístup Správa istrator. Tento přístup zajišťuje, že se k roli Uživatelský přístup připojí jenom hlavní název služby (SPN) Správa istrator.
Vyžaduje roli Přispěvatel pro hlavní název služby (SPN) uvedenou v oboru kořenové skupiny pro správu, která umožňuje operace na úrovni tenanta. Tato úroveň oprávnění zajišťuje, že hlavní název služby (SPN) můžete použít k nasazení a správě prostředků do libovolného předplatného ve vaší organizaci.
Další krok
Zjistěte, jak používat předplatná při plánování rozsáhlého přechodu na Azure.