Schützen der Ressourcenhierarchie

Ihre Ressourcen, Ressourcengruppen, Abonnements, Verwaltungsgruppen und Mandanten bilden zusammen Ihre Ressourcenhierarchie. Die Einstellungen in der Stammverwaltungsgruppe, z. B. benutzerdefinierte Azure-Rollen oder Azure Policy-Richtlinienzuweisungen, können sich auf jede Ressource in der Ressourcenhierarchie auswirken. Es ist wichtig, die Ressourcenhierarchie vor Änderungen zu schützen, die sich negativ auf alle Ressourcen auswirken könnten.

Verwaltungsgruppen enthalten jetzt Hierarchieeinstellungen, über die der Mandantenadministrator diese Verhaltensweisen steuern kann. In diesem Artikel werden die einzelnen verfügbaren Hierarchieeinstellungen und deren Festlegung erläutert.

Azure RBAC-Berechtigungen für Hierarchieeinstellungen

Zum Konfigurieren der Hierarchieeinstellungen sind die folgenden zwei Ressourcenanbietervorgänge in der Stammverwaltungsgruppe erforderlich:

• Microsoft.Management/managementgroups/settings/write
• Microsoft.Management/managementgroups/settings/read

Diese Vorgänge ermöglichen einem Benutzer nur, die Hierarchieeinstellungen zu lesen und zu aktualisieren. Die Vorgänge ermöglichen keinen anderen Zugriff auf die Verwaltungsgruppenhierarchie oder die Ressourcen in der Hierarchie. Beide Vorgänge sind in der integrierten Azure-Rolle Hierarchieeinstellungsadministrator verfügbar.

Einstellung für Standardverwaltungsgruppe

Standardmäßig wird ein neues Abonnement, das in einem Mandanten hinzugefügt wird, als Mitglied der Stammverwaltungsgruppe hinzugefügt. Wenn der Stammverwaltungsgruppe Richtlinienzuweisungen, die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) und andere Governancekonstrukte zugewiesen werden, wirken sie sich sofort auf die neuen Abonnements aus. Aus diesem Grund wenden viele Organisationen diese Konstrukte nicht in der Stammverwaltungsgruppe an, obwohl dies der gewünschte Ort für die Zuweisung ist. In anderen Fällen wird eine restriktivere Gruppe von Steuerungsmöglichkeiten für neue Abonnements gewünscht, soll jedoch nicht allen Abonnements zugewiesen werden. Diese Einstellung unterstützt beide Anwendungsfälle.

Dadurch dass die Standardverwaltungsgruppe für neue Abonnements definiert werden kann, können organisationsweite Governancekonstrukte in der Stammverwaltungsgruppe angewandt werden, und eine separate Verwaltungsgruppe kann mit Richtlinienzuweisungen oder Azure-Rollenzuweisungen definiert werden, die sich für ein neues Abonnement besser eignen.

Festlegen der Standardverwaltungsgruppe im Portal

Führen Sie die folgenden Schritte aus, um diese Einstellung im Azure-Portal zu konfigurieren:

1. Verwenden Sie die Suchleiste, um „Verwaltungsgruppen“ zu suchen und diese auszuwählen.

2. Wählen Sie in der Stammverwaltungsgruppe neben dem Namen der Verwaltungsgruppe Details aus.

3. Wählen Sie unter Einstellungen die Option Hierarchieeinstellungen aus.

4. Wählen Sie die Schaltfläche Change default management group (Standardverwaltungsgruppe ändern) aus.

   Hinweis

   Wenn die Schaltfläche Change default management group (Standardverwaltungsgruppe ändern) deaktiviert ist, ist entweder die angezeigte Verwaltungsgruppe nicht die Stammverwaltungsgruppe, oder Ihr Sicherheitsprinzipal verfügt nicht über die erforderlichen Berechtigungen, um die Hierarchieeinstellungen zu ändern.

5. Wählen Sie eine Verwaltungsgruppe aus Ihrer Hierarchie aus, und verwenden Sie die Schaltfläche Auswählen.

Festlegen der Standardverwaltungsgruppe mit der REST-API

Zum Konfigurieren dieser Einstellung mit der REST-API wird der Endpunkt mit den Hierarchieeinstellungen aufgerufen. Verwenden Sie hierzu den folgenden REST-API-URI und das folgende Textformat. Ersetzen Sie {rootMgID} durch die ID der Stammverwaltungsgruppe und {defaultGroupID} durch die ID der Verwaltungsgruppe, die zur Standardverwaltungsgruppe werden soll:

• REST-API-URI

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Anforderungstext

  {
      "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
      }
  }
  

Wenn Sie die Standardverwaltungsgruppe wieder auf die Stammverwaltungsgruppe festlegen möchten, verwenden Sie denselben Endpunkt, und legen Sie defaultManagementGroup auf den Wert /providers/Microsoft.Management/managementGroups/{rootMgID} fest.

Einstellung zum Anfordern der Autorisierung

Jeder Benutzer kann standardmäßig neue Verwaltungsgruppen innerhalb eines Mandanten erstellen. Administratoren eines Mandanten können diese Berechtigungen nur für bestimmte Benutzer bereitstellen, um die Konsistenz und Konformität in der Verwaltungsgruppenhierarchie aufrechtzuerhalten. Wenn diese Einstellung aktiviert ist, benötigt ein Benutzer den Vorgang Microsoft.Management/managementGroups/write in der Stammverwaltungsgruppe, um neue untergeordnete Verwaltungsgruppen erstellen zu können.

Festlegen einer erforderlichen Autorisierung im Portal

Führen Sie die folgenden Schritte aus, um diese Einstellung im Azure-Portal zu konfigurieren:

1. Verwenden Sie die Suchleiste, um „Verwaltungsgruppen“ zu suchen und diese auszuwählen.

2. Wählen Sie in der Stammverwaltungsgruppe neben dem Namen der Verwaltungsgruppe Details aus.

3. Wählen Sie unter Einstellungen die Option Hierarchieeinstellungen aus.

4. Schalten Sie die Option Benötige Berechtigungen für die Erstellung neuer Verwaltungsgruppen auf ein.

   Hinweis

   Wenn der Schalter Berechtigungen für die Erstellung neuer Verwaltungsgruppen erfordern deaktiviert ist, ist entweder die betrachtete Verwaltungsgruppe nicht die Stammverwaltungsgruppe oder Ihr Sicherheitsprinzipal verfügt nicht über die erforderlichen Berechtigungen zum Ändern der Hierarchieeinstellungen.

Festlegen einer erforderlichen Autorisierung mit der Rest-API

Zum Konfigurieren dieser Einstellung mit der REST-API wird der Endpunkt mit den Hierarchieeinstellungen aufgerufen. Verwenden Sie hierzu den folgenden REST-API-URI und das folgende Textformat. Bei diesem Wert handelt es sich um einen booleschen Wert. Geben Sie daher entweder true oder false für den Wert an. Mit dem Wert true wird folgende Methode zum Schutz der Verwaltungsgruppenhierarchie aktiviert:

• REST-API-URI

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Anforderungstext

  {
      "properties": {
          "requireAuthorizationForGroupCreation": true
      }
  }
  

Wenn Sie die Einstellung wieder deaktivieren möchten, verwenden Sie denselben Endpunkt, und legen Sie requireAuthorizationForGroupCreation auf den Wert false fest.

PowerShell-Beispiel

In PowerShell gibt es keinen „Az“-Befehl zum Festlegen der Standardverwaltungsgruppe oder zum Festlegen einer erforderlichen Autorisierung, aber als Problemumgehung können Sie die REST-API mit dem folgenden PowerShell-Beispiel nutzen:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Nächste Schritte

Weitere Informationen zu Verwaltungsgruppen finden Sie unter folgenden Links:

• Erstellen von Verwaltungsgruppen zum Organisieren von Azure-Ressourcen
• Ändern, Löschen oder Verwalten Ihrer Verwaltungsgruppen