Co jsou skupiny pro správu Azure?

Článek
05/17/2024

Pokud má vaše organizace mnoho předplatných Azure, možná budete potřebovat způsob, jak efektivně spravovat přístup, zásady a dodržování předpisů pro tato předplatná. Skupiny pro správu poskytují obor zásad správného řízení nad předplatnými. Uspořádáte předplatná do skupin pro správu; podmínky zásad správného řízení, které použijete kaskádové dědičností u všech přidružených předplatných.

Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaký typ předplatných můžete mít. Všechna předplatná v rámci jedné skupiny pro správu ale musí důvěřovat stejnému tenantovi Azure Active Directory (Azure AD).

Zásady můžete například použít pro skupinu pro správu, která omezuje oblasti dostupné pro vytváření virtuálních počítačů (VM). Tato zásada se použije pro všechny vnořené skupiny pro správu, předplatná a prostředky a povolí vytváření virtuálních počítačů jenom v autorizovaných oblastech.

Hierarchie skupin pro správu a předplatných

Můžete vytvořit flexibilní strukturu skupin pro správu a předplatných a uspořádat tak prostředky do hierarchie umožňující využít jednotné zásady a správu přístupu. Následující diagram ukazuje příklad vytvoření hierarchie pro zásady správného řízení s využitím skupin pro správu.

Diagram ukázkové hierarchie skupin pro správu

Můžete vytvořit hierarchii, která použije zásadu, například která omezuje umístění virtuálních počítačů na oblast USA – západ ve skupině pro správu s názvem "Corp". Tato zásada dědí všechna předplatná smlouva Enterprise (EA), která jsou potomky této skupiny pro správu, a budou platit pro všechny virtuální počítače v rámci těchto předplatných. Tuto zásadu zabezpečení nemůže změnit vlastník prostředku nebo předplatného, což umožňuje lepší zásady správného řízení.

Poznámka:

Skupiny pro správu se v současné době nepodporují v funkcích služby Cost Management pro předplatná Smlouva se zákazníkem Microsoftu (MCA).

Dalším scénářem, kde by se skupiny pro správu použily, je poskytnutí uživatelského přístupu k několika předplatným. Přesunutím několika předplatných do této skupiny pro správu můžete vytvořit jedno přiřazení role Azure ve skupině pro správu, které zdědí tento přístup ke všem předplatným. Jedno přiřazení ve skupině pro správu umožňuje uživatelům mít přístup ke všemu, co potřebují, místo skriptování Azure RBAC přes různá předplatná.

Důležitá fakta týkající se skupin pro správu

Jeden adresář podporuje až 10 000 skupin pro správu.
Strom skupin pro správu může mít až šest úrovní vnoření.
- Toto omezení nezahrnuje kořenovou úroveň ani úroveň předplatného.
Každá skupina pro správu a předplatné může mít jenom jeden nadřazený prvek.
Každá skupina pro správu může mít mnoho podřízených položek.
Všechny skupiny pro správu a předplatná jsou v rámci adresáře v jedné hierarchii. Důležité informace o kořenových skupinách pro správu

Kořenová skupina pro správu pro jednotlivé adresáře

Každému adresáři se přidělí jedna skupina pro správu nejvyšší úrovně označovaná jako kořenová skupina pro správu. Kořenová skupina pro správu je integrovaná do hierarchie, aby se do ní složily všechny skupiny pro správu a předplatná. Tato kořenová skupina pro správu umožňuje použití globálních zásad a přiřazení rolí Azure na úrovni adresáře. Globální správce Azure AD musí sám sobě zvýšit oprávnění, aby v počátečním nastavení měl pro tuto kořenovou skupinu roli správce uživatelského přístupu. Po zvýšení úrovně přístupu může správce přiřadit jakoukoli roli Azure jiným uživatelům nebo skupinám adresáře ke správě hierarchie. Jako správce můžete svůj účet přiřadit jako vlastníka kořenové skupiny pro správu.

Důležitá fakta o kořenové skupině pro správu

Zobrazovaný název kořenové skupiny pro správu je ve výchozím nastavení kořenová skupina tenanta a funguje jako skupina pro správu. ID je stejná hodnota jako ID tenanta Azure Active Directory (Azure AD).
Pokud chcete změnit zobrazovaný název, musí mít váš účet přiřazenou roli Vlastník nebo Přispěvatel v kořenové skupině pro správu. Informace o změně názvu skupiny pro správu naleznete v tématu Změna názvu skupiny pro správu.
Kořenová skupina pro správu se na rozdíl od ostatních skupin pro správu nedá přesunout ani odstranit.
Všechna předplatná a skupiny pro správu se skládají do jedné kořenové skupiny pro správu v rámci adresáře.
- Všechny prostředky v adresáři spadají do kořenové skupiny pro správu, která umožňuje globální správu.
- Nová předplatná při vytvoření ve výchozím nastavení automaticky spadají do kořenové skupiny pro správu.
Kořenovou složku pro správu sice vidí všichni zákazníci Azure, ale ne všichni mají přístup ke správě této skupiny.
- Každý, kdo má přístup k předplatnému, vidí kontext tohoto předplatného v rámci hierarchie.
- Ke kořenová skupina pro správu nikdo nemá výchozí přístup. Globální správci Azure AD jsou jedinými uživateli, kteří si sami sobě mohou zvýšit oprávnění a získat tak přístup. Jakmile mají přístup ke kořenové skupině pro správu, můžou globální správci přiřadit ke správě libovolnou roli Azure jiným uživatelům.

Důležité

Jakékoli přiřazení uživatelského přístupu nebo zásad v kořenové skupině pro správu platí pro všechny prostředky v adresáři. Vzhledem k tomu by uživatelé měli vyhodnotit, jestli je potřeba mít prostředky definované v tomto rozsahu. Přiřazení uživatelského přístupu nebo zásad by v tomto rozsahu měla být jenom „povinná“.

Počáteční nastavení skupin pro správu

Když libovolný uživatel začne využívat skupiny pro správu, musí proběhnout úvodní proces nastavení. Prvním krokem je, že se v adresáři vytvoří kořenová skupina pro správu. Po vytvoření této skupiny se všechna existující předplatná, která v příslušném adresáři existují, nastaví jako podřízené prvky kořenové skupiny pro správu. Cílem tohoto procesu je zajistit, aby v rámci adresáře existovala jenom jedna hierarchie skupin pro správu. Jedna hierarchie v adresáři umožňuje zákazníkům využít globální přístup a zásady, které ostatní zákazníci v tomto adresáři nemohou obejít. Všechno, co je v kořenovém adresáři přiřazené, se použije na celou hierarchii, která zahrnuje všechny skupiny pro správu, předplatná, skupiny prostředků a prostředky v rámci daného tenanta Azure AD.

Přístup ke skupinám pro správu

Skupiny pro správu Azure podporují řízení přístupu na základě role v Azure (Azure RBAC) pro všechny přístupy k prostředkům a definice rolí. Tato oprávnění se dědí do podřízených prostředků, které v hierarchii existují. Libovolnou roli Azure je možné přiřadit ke skupině pro správu, která zdědí hierarchii k prostředkům. Přispěvatel virtuálních počítačů role Azure je například možné přiřadit ke skupině pro správu. Tato role nemá žádnou akci na skupině pro správu, ale bude dědit do všech virtuálních počítačů v této skupině pro správu.

Následující diagram ukazuje role a podporované akce pro skupiny pro správu.

Název role Azure	Vytvoření	Přejmenovat	Přesun**	Odstranění	Přiřazení přístupu	Přiřazení zásad	Čteno
Vlastník	X	X	X	X	X	X	X
Přispěvatel	X	X	X	X			X
Přispěvatel MG*	X	X	X	X			X
Čtenář							X
Čtenář MG*							X
Přispěvatel zásad prostředků						X
Správce uživatelských přístupů					X	X

*: Role Přispěvatel skupin pro správu a Čtenář skupiny pro správu umožňují uživatelům provádět tyto akce pouze v oboru skupiny pro správu.

**: Přiřazení rolí v kořenové skupině pro správu nejsou nutná k přesunu předplatného nebo skupiny pro správu do a z ní.

Další informace o přesunu položek v rámci hierarchie najdete v tématu věnovaném správě prostředků s využitím skupin pro správu.

Definice a přiřazení vlastní role Azure

Skupinu pro správu můžete definovat jako přiřaditelný obor v definici vlastní role Azure. Vlastní role Azure bude pak k dispozici pro přiřazení této skupiny pro správu a jakékoli skupiny pro správu, předplatného, skupiny prostředků nebo prostředku v ní. Vlastní role dědí hierarchii stejně jako jakákoli předdefinovaná role. Informace o omezeních vlastních rolí a skupin pro správu najdete v tématu Omezení.

Příklad definice

Definování a vytvoření vlastní role se nezmění s zahrnutím skupin pro správu. Úplnou cestu použijte k definování skupiny pro správu /providers/Microsoft.Management/managementgroups/{groupId}.

Použijte ID skupiny pro správu, nikoli zobrazovaný název skupiny pro správu. K této běžné chybě dochází, protože obě jsou vlastní pole definovaná při vytváření skupiny pro správu.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problémy s porušením definice role a cesty hierarchie přiřazení

Definice rolí jsou přiřaditelný obor kdekoli v hierarchii skupin pro správu. Definici role lze definovat v nadřazené skupině pro správu, zatímco skutečné přiřazení role existuje v podřízené předplatné. Vzhledem k tomu, že mezi těmito dvěma položkami existuje vztah, při pokusu o oddělení přiřazení od jeho definice se zobrazí chyba.

Podívejme se například na malou část hierarchie vizuálu.

Diagram podmnožina ukázkové hierarchie skupin pro správu

Řekněme, že ve skupině pro správu sandboxu je definovaná vlastní role. Tato vlastní role se pak přiřadí ke dvěma předplatným sandboxu.

Pokud se pokusíme přesunout jedno z těchto předplatných na podřízenou skupinu pro správu Corp, tento přesun by přerušil cestu od přiřazení role předplatného k definici role skupiny pro správu sandboxu. V tomto scénáři se zobrazí chyba s oznámením, že přesunutí není povolené, protože tento vztah přeruší.

Tento scénář můžete vyřešit několika různými způsoby:

Před přesunutím předplatného do nové nadřazené mg odeberte přiřazení role z předplatného.
Přidejte předplatné do přiřaditelného oboru definice role.
Změňte přiřaditelný obor v rámci definice role. Ve výše uvedeném příkladu můžete aktualizovat přiřaditelné obory z sandboxu do kořenové skupiny pro správu, aby byla definice přístupná oběma větvemi hierarchie.
Vytvořte další vlastní roli definovanou v druhé větvi. Tato nová role vyžaduje, aby se v předplatném změnilo také přiřazení role.

Omezení

Při používání vlastních rolí ve skupinách pro správu existují určitá omezení.

V přiřaditelných oborech nové role můžete definovat pouze jednu skupinu pro správu. Toto omezení se používá ke snížení počtu situací, kdy se odpojí definice rolí a přiřazení rolí. K této situaci dochází, když se předplatné nebo skupina pro správu s přiřazením role přesune do jiného nadřazeného objektu, který nemá definici role.
Vlastní role s vlastností DataActions není možné přiřadit v oboru skupiny pro správu. Další informace najdete v tématu Omezení vlastních rolí.
Azure Resource Manager neověřuje existenci skupiny pro správu v přiřaditelném oboru definice role. Pokud je uvedené překlep nebo nesprávné ID skupiny pro správu, definice role se stále vytvoří.

Přesun skupin pro správu a předplatných

Pokud chcete přesunout skupinu pro správu nebo předplatné jako podřízenou jinou skupinu pro správu, je potřeba vyhodnotit tři pravidla jako true.

Pokud provádíte akci přesunutí, potřebujete:

Oprávnění k zápisu do skupiny pro správu a přiřazování rolí pro podřízené předplatné nebo skupinu pro správu
- Příklad předdefinované role: Vlastník
Přístup k zápisu skupiny pro správu v cílové nadřazené skupině pro správu
- Příklad předdefinované role: Vlastník, Přispěvatel, Přispěvatel skupin pro správu
Přístup k zápisu skupiny pro správu u existující nadřazené skupiny pro správu
- Příklad předdefinované role: Vlastník, Přispěvatel, Přispěvatel skupin pro správu

Výjimka: Pokud je cílem nebo existující nadřazenou skupinou pro správu kořenová skupina pro správu, požadavky na oprávnění se nevztahují. Vzhledem k tomu, že kořenová skupina pro správu je výchozím cílovým místem pro všechny nové skupiny pro správu a předplatná, nepotřebujete k přesunu položky oprávnění.

Pokud je role Vlastník v předplatném zděděna z aktuální skupiny pro správu, vaše cíle přesunu jsou omezené. Předplatné můžete přesunout jenom do jiné skupiny pro správu, kde máte roli Vlastník . Nemůžete ho přesunout do skupiny pro správu, kde jste přispěvatelem , protože byste ztratili vlastnictví předplatného. Pokud jste přímo přiřazení k roli Vlastník předplatného (nezděděno ze skupiny pro správu), můžete ji přesunout do libovolné skupiny pro správu, ve které máte přiřazenou roli Přispěvatel.

Důležité

Azure Resource Manager ukládá do mezipaměti podrobnosti o hierarchii skupin pro správu po dobu až 30 minut. V důsledku toho se přesun skupiny pro správu nemusí okamžitě projevit na webu Azure Portal.

Audit skupin pro správu s využitím protokolů aktivit

Skupiny pro správu se podporují v protokolu aktivit Azure. Můžete hledat všechny události, ke kterým dochází ve skupině pro správu ve stejném centrálním umístění jako ostatní prostředky Azure. Můžete například zobrazit všechna přiřazení rolí nebo změny přiřazení zásad provedené v konkrétní skupině pro správu.

Snímek obrazovky s protokoly aktivit a operacemi souvisejícími s vybranou skupinou pro správu

Při dotazování na skupiny pro správu mimo web Azure Portal vypadá cílový obor pro skupiny pro správu jako /providers/Microsoft.Management/managementGroups/{management-group-id}.