Správa předplatných Azure ve velkém měřítku pomocí skupin pro správu
Pokud má vaše organizace mnoho předplatných, můžete potřebovat způsob, jak efektivně u těchto předplatných spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu Azure poskytují úroveň oboru nad předplatnými. Předplatná uspořádáte do kontejnerů označovaných jako skupiny pro správu a na tyto skupiny pro správu použijete své zásady správného řízení. Všechna předplatná v rámci skupiny pro správu automaticky dědí podmínky, které se na příslušnou skupinu pro správu vztahují.
Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaké typy předplatného případně máte. Další informace oskupinách
Poznámka:
Tento článek obsahuje postup odstranění osobních údajů ze zařízení nebo služby a dá se použít k podpoře vašich povinností v rámci GDPR. Obecné informace o GDPR naleznete v části GDPR Centra zabezpečení společnosti Microsoft a části GDPR Service Trust Portal.
Důležité
Uživatelské tokeny Azure Resource Manageru a mezipaměť skupin pro správu trvají 30 minut před vynucenou aktualizací. Po provedení jakékoli akce, jako je přesunutí skupiny pro správu nebo předplatného, může trvat až 30 minut, než se zobrazí. Pokud chcete aktualizace zobrazit dříve, budete muset token aktualizovat tak, že aktualizujete prohlížeč, přihlásíte se a odhlásíte nebo požádáte o nový token.
Důležité
Rutiny AzManagementGroup související s Az PowerShellem zmíní, že parametr -GroupId je alias parametru -GroupName , abychom mohli k poskytnutí ID skupiny pro správu použít jako řetězcovou hodnotu.
Změna názvu skupiny pro správu
Název skupiny pro správu můžete změnit pomocí portálu, PowerShellu nebo Azure CLI.
Změna názvu na portálu
Přihlaste se k webu Azure Portal.
Vyberte Všechny skupiny pro správu služeb>.
Vyberte skupinu pro správu, kterou chcete přejmenovat.
Vyberte podrobnosti.
V horní části stránky vyberte možnost Přejmenovat skupinu.
Po otevření nabídky zadejte nový název, který chcete zobrazit.
Zvolte Uložit.
Změna názvu v PowerShellu
K aktualizaci zobrazovaného názvu použijte rutinu Update-AzManagementGroup. Pokud například chcete změnit zobrazovaný název skupin pro správu z "Contoso IT" na "Skupina Contoso", spusťte následující příkaz:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Změna názvu v Azure CLI
Pro Azure CLI použijte příkaz update.
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Odstranění skupiny pro správu
K odstranění skupiny pro správu je potřeba splnit následující požadavky:
Ve skupině pro správu nejsou žádné podřízené skupiny pro správu ani předplatná. Pokud chcete přesunout předplatné nebo skupinu pro správu do jiné skupiny pro správu, přečtěte si téma Přesun skupin pro správu a předplatných v hierarchii.
Potřebujete oprávnění k zápisu do skupiny pro správu (Vlastník, Přispěvatel nebo Přispěvatel skupiny pro správu). Pokud chcete zjistit, jaká oprávnění máte, vyberte skupinu pro správu a pak vyberte IAM. Další informace o rolích Azure najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC).
Odstranění na portálu
Přihlaste se k webu Azure Portal.
Vyberte Všechny skupiny pro správu služeb>.
Vyberte skupinu pro správu, kterou chcete odstranit.
Vyberte podrobnosti.
Vyberte Odstranit.
Tip
Pokud je ikona zakázaná, najeďte myší na ikonu a zobrazí se důvod.
Otevře se okno s potvrzením, že chcete odstranit skupinu pro správu.
Vyberte Ano.
Odstranění v PowerShellu
K odstranění skupin pro správu použijte příkaz Remove-AzManagementGroup v PowerShellu.
Remove-AzManagementGroup -GroupId 'Contoso'
Odstranění v Azure CLI
V Azure CLI použijte příkaz az account management-group delete.
az account management-group delete --name 'Contoso'
Zobrazení skupin pro správu
Můžete zobrazit libovolnou skupinu pro správu, ve které máte přímou nebo zděděnou roli Azure.
Zobrazení na portálu
Přihlaste se k webu Azure Portal.
Vyberte Všechny skupiny pro správu služeb>.
Načte se stránka hierarchie skupin pro správu. Na této stránce můžete prozkoumat všechny skupiny pro správu a předplatná, ke kterým máte přístup. Když vyberete název skupiny, přejdete v hierarchii na nižší úroveň. Navigace funguje stejně jako průzkumník souborů.
Pokud chcete zobrazit podrobnosti skupiny pro správu, vyberte odkaz (podrobnosti) vedle názvu skupiny pro správu. Pokud tento odkaz není dostupný, nemáte oprávnění k zobrazení této skupiny pro správu.
Zobrazení v PowerShellu
K načtení všech skupin použijete příkaz Get-AzManagementGroup. Úplný seznam příkazů GET PowerShellu pro skupinu pro správu najdete v modulech Az.Resources .
Get-AzManagementGroup
Pro informace o jedné skupině pro správu použijte parametr -GroupId.
Get-AzManagementGroup -GroupId 'Contoso'
Pokud chcete vrátit konkrétní skupinu pro správu a všechny úrovně hierarchie, použijte parametry -Expand a -Recurse .
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Zobrazení v Azure CLI
Pomocí příkazu list můžete načíst všechny skupiny.
az account management-group list
Pro informace o jedné skupině pro správu použijte příkaz show.
az account management-group show --name 'Contoso'
Pokud chcete vrátit konkrétní skupinu pro správu a všechny úrovně hierarchie, použijte parametry -Expand a -Recurse .
az account management-group show --name 'Contoso' -e -r
Přesun skupin pro správu a předplatných
Jedním z důvodů, proč vytvořit skupinu pro správu, je seskupit předplatná dohromady. Pouze skupiny pro správu a předplatná můžou být podřízené jiné skupině pro správu. Předplatné, které se přesune do skupiny pro správu, dědí veškerý uživatelský přístup a zásady z nadřazené skupiny pro správu. Předplatná můžete přesouvat mezi skupinami pro správu. Mějte na paměti, že předplatné může mít jenom jednu nadřazenou skupinu pro správu.
Při přesunu skupiny pro správu nebo předplatného na podřízenou jinou skupinu pro správu je potřeba vyhodnotit tři pravidla jako true.
Pokud provádíte akci přesunutí, potřebujete oprávnění v každé z následujících vrstev:
- Podřízené předplatné / skupina pro správu
Microsoft.management/managementgroups/write
Microsoft.management/managementgroups/subscriptions/write
(pouze pro předplatná)Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete
Microsoft.Management/register/action
- Cílová nadřazená skupina pro správu
Microsoft.management/managementgroups/write
- Aktuální nadřazená skupina pro správu
Microsoft.management/managementgroups/write
Výjimka: Pokud je cílem nebo existující nadřazenou skupinou pro správu kořenová skupina pro správu, požadavky na oprávnění se nevztahují. Vzhledem k tomu, že kořenová skupina pro správu je výchozím cílovým místem pro všechny nové skupiny pro správu a předplatná, nepotřebujete k přesunu položky oprávnění.
Pokud je role Vlastník v předplatném zděděna z aktuální skupiny pro správu, vaše cíle přesunu jsou omezené. Předplatné můžete přesunout jenom do jiné skupiny pro správu, kde máte roli Vlastník. Předplatné nemůžete přesunout do skupiny pro správu, kde jste jen přispěvatelem, protože byste ztratili vlastnictví předplatného. Pokud jste pro předplatné přímo přiřazeni k roli Vlastník, můžete ji přesunout do libovolné skupiny pro správu, ve které jste přispěvatelem.
Pokud chcete zjistit, jaká oprávnění máte na webu Azure Portal, vyberte skupinu pro správu a pak vyberte IAM. Další informace o rolích Azure najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC).
Přesun předplatných
Přidání existujícího předplatného do skupiny pro správu na portálu
Přihlaste se k webu Azure Portal.
Vyberte Všechny skupiny pro správu služeb>.
Vyberte skupinu pro správu, kterou plánujete mít jako nadřazenou.
V horní části stránky vyberte Přidat předplatné.
V seznamu vyberte předplatné se správným ID.
Vyberte Uložit.
Odebrání předplatného ze skupiny pro správu na portálu
Přihlaste se k webu Azure Portal.
Vyberte Všechny skupiny pro správu služeb>.
Vyberte skupinu pro správu, kterou plánujete, je aktuální nadřazená položka.
V seznamu, který chcete přesunout, vyberte tři tečky na konci řádku předplatného.
Vyberte Přesunout.
V nabídce, která se otevře, vyberte nadřazenou skupinu pro správu.
Zvolte Uložit.
Přesun předplatných v PowerShellu
Pokud chcete přesunout předplatné v PowerShellu, použijte příkaz New-AzManagementGroupSubscription.
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Pokud chcete odebrat propojení mezi předplatným a skupinou pro správu, použijte příkaz Remove-AzManagementGroupSubscription.
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Přesun předplatných v Azure CLI
Pokud chcete přesunout předplatné v rozhraní příkazového řádku, použijte příkaz add.
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Pokud chcete předplatné ze skupiny pro správu odebrat, použijte příkaz pro odebrání předplatného.
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Přesun předplatných v šabloně ARM
Pokud chcete přesunout předplatné v šabloně Azure Resource Manageru (šablona ARM), použijte následující šablonu a nasaďte ji na úrovni tenanta.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Nebo následující soubor Bicep.
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Přesun skupin pro správu
Přesun skupin pro správu na portálu
Přihlaste se k webu Azure Portal.
Vyberte Všechny skupiny pro správu služeb>.
Vyberte skupinu pro správu, kterou plánujete mít jako nadřazenou.
V horní části stránky vyberte Přidat skupinu pro správu.
V nabídce, která se otevře, vyberte, jestli chcete novou, nebo použijte existující skupinu pro správu.
- Když vyberete nové, vytvoří se nová skupina pro správu.
- Když vyberete existující, zobrazí se rozevírací seznam všech skupin pro správu, které můžete přesunout do této skupiny pro správu.
Zvolte Uložit.
Přesun skupin pro správu v PowerShellu
Pomocí příkazu Update-AzManagementGroup v PowerShellu přesuňte skupinu pro správu do jiné skupiny.
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Přesun skupin pro správu v Azure CLI
Pomocí příkazu update přesuňte skupinu pro správu pomocí Azure CLI.
az account management-group update --name 'Contoso' --parent ContosoIT
Audit skupin pro správu s využitím protokolů aktivit
Skupiny pro správu se podporují v rámci protokolu aktivit Azure. Můžete se dotazovat na všechny události, ke kterým dochází ve skupině pro správu ve stejném centrálním umístění jako jiné prostředky Azure. Pro konkrétní skupinu pro správu si můžete si zobrazit všechny změny přiřazení zásad nebo přiřazení rolí.
Pokud se chcete na skupiny pro správu dotazovat mimo Azure Portal, cílový obor pro skupiny pro správu vypadá takto: "/providers/Microsoft.Management/managementGroups/{yourMgID}".
Odkazování na skupiny pro správu od jiných poskytovatelů prostředků
Při odkazování na skupiny pro správu z akcí jiných poskytovatelů prostředků použijte jako obor následující cestu. Tato cesta se používá při použití PowerShellu, Azure CLI a rozhraní REST API.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Příkladem použití této cesty je přiřazení nové role ke skupině pro správu v PowerShellu:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Stejná cesta oboru se používá při načítání definice zásady ve skupině pro správu.
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Další kroky
Další informace o řešeních pro správu najdete v následujících tématech:
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro