Was sind Azure-Verwaltungsgruppen?

Wenn Ihre Organisation über viele Azure-Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements. Verwaltungsgruppen stellen einen abonnementübergreifenden Governance-Bereich bereit. Sie organisieren Abonnements in Verwaltungsgruppen. Die Governancebedingungen, die Sie anwenden, werden durch Vererbung kaskadierend auf alle zugeordneten Abonnements übertragen.

Verwaltungsgruppen ermöglichen Ihnen – unabhängig von den Arten Ihrer Abonnements – die unternehmenstaugliche Verwaltung in großem Umfang. Alle Abonnements innerhalb einer einzelnen Verwaltungsgruppe müssen jedoch demselben Azure Active Directory-Mandanten (Azure AD) vertrauen.

Beispielsweise können Sie eine Richtlinie auf eine Verwaltungsgruppe anwenden, die die verfügbaren Regionen zum Erstellen virtueller Computer einschränkt. Diese Richtlinie würde auf alle geschachtelten Verwaltungsgruppen, Abonnements und Ressourcen angewendet und die VM-Erstellung nur in autorisierten Regionen zulassen.

Hierarchie von Verwaltungsgruppen und Abonnements

Sie können eine flexible Struktur von Verwaltungsgruppen und Abonnements aufbauen, um Ihre Ressourcen für die einheitliche Richtlinien- und Zugriffsverwaltung in einer Hierarchie zu organisieren. Das folgende Diagramm zeigt ein Beispiel zum Erstellen einer Hierarchie für die Governance unter Verwendung von Verwaltungsgruppen.

Diagramm eines Beispiels für die Verwaltungsgruppenhierarchie.

Diagramm einer Stammverwaltungsgruppe, die sowohl Verwaltungsgruppen als auch Abonnements enthält. Einige untergeordnete Verwaltungsgruppen enthalten Verwaltungsgruppen, einige enthalten Abonnements und einige enthalten beides. Eines der Beispiele in der Beispielhierarchie umfasst vier Ebenen von Verwaltungsgruppen, wobei die untergeordnete Ebene alle Abonnements enthält.

Sie können eine Hierarchie erstellen, die eine Richtlinie anwendet, z. B. die VM-Standorte auf die Region „USA, Westen“ in der Verwaltungsgruppe „Produktion“ begrenzt. Diese Richtlinie wird an alle EA-Abonnements (Enterprise Agreement) vererbt, die Nachfolger dieser Verwaltungsgruppe sind, und gilt für alle virtuellen Computer dieser Abonnements. Diese Sicherheitsrichtlinie kann nicht vom Besitzer der Ressource oder des Abonnements geändert werden und bietet damit eine verbesserte Governance.

Hinweis

Verwaltungsgruppen werden in den Cost Management-Funktionen für Abonnements im Rahmen einer Microsoft-Kundenvereinbarung derzeit nicht unterstützt.

Ein weiteres Szenario, in dem Sie Verwaltungsgruppen verwenden würden, ist das Gewähren von Benutzerzugriff auf mehrere Abonnements. Indem Sie mehrere Abonnements unter diese Verwaltungsgruppe verschieben, haben Sie die Möglichkeit, eine Azure-Rollenzuweisung in der Verwaltungsgruppe zu erstellen, die diesen Zugriff an alle Abonnements vererbt. Eine Zuweisung in der Verwaltungsgruppe kann Benutzern den Zugriff auf alles ermöglichen, was sie benötigen, ohne dass in einem Skript Azure RBAC für verschiedene Abonnements eingerichtet werden muss.

Wichtige Fakten zu Verwaltungsgruppen

  • 10.000 Verwaltungsgruppen können in einem einzigen Verzeichnis unterstützt werden.
  • Eine Verwaltungsgruppenstruktur kann bis zu sechs Ebenen unterstützen.
    • Dieser Grenzwert schließt nicht die Stammebene oder die Abonnementebene ein.
  • Jede Verwaltungsgruppe und jedes Abonnement kann nur ein übergeordnetes Element unterstützen.
  • Jede Verwaltungsgruppe kann zahlreiche untergeordnete Elemente besitzen.
  • Alle Abonnements und Verwaltungsgruppen sind in einer einzelnen Hierarchie in jedem Verzeichnis enthalten. Siehe Wichtige Fakten zur Stammverwaltungsgruppe

Stammverwaltungsgruppe für jedes Verzeichnis

Jedes Verzeichnis erhält eine einzelne Verwaltungsgruppe auf oberster Ebene, die als Stammverwaltungsgruppe bezeichnet wird. Diese Stammverwaltungsgruppe ist in die Hierarchie integriert, sodass ihr alle Verwaltungsgruppen und Abonnements untergeordnet sind. Diese Stammverwaltungsgruppe ermöglicht das Anwenden von globalen Richtlinien und Azure-Rollenzuweisungen auf Verzeichnisebene. Der globale Azure AD-Administrator muss zu Beginn seine eigenen Rechte erhöhen – und zwar auf die Rolle des Benutzerzugriffsadministrators dieser Stammgruppe. Nach der Erhöhung der Zugriffsrechte kann der Administrator jede Azure-Rolle anderen Benutzern oder Gruppen des Verzeichnisses zuweisen, um die Hierarchie zu verwalten. Als Administrator können Sie Ihr eigenes Konto als Besitzer der Stammverwaltungsgruppe zuweisen.

Wichtige Fakten zur Stammverwaltungsgruppe

  • Standardmäßig ist der Anzeigename der Stammverwaltungsgruppe Mandantenstammgruppe und arbeitet selbst als Verwaltungsgruppe. Die ID ist der gleiche Wert wie die Azure Active Directory (Azure AD) Mandanten-ID.
  • Damit Sie den Anzeigenamen ändern können, muss Ihrem Konto die Rolle Besitzer oder Mitwirkender für die Stammverwaltungsgruppe zugewiesen sein. Die Schritte zum Aktualisieren des Namens einer Verwaltungsgruppe finden Sie unter Ändern des Namens einer Verwaltungsgruppe.
  • Die Stammverwaltungsgruppe kann im Gegensatz zu anderen Verwaltungsgruppen nicht verschoben oder gelöscht werden.
  • Alle Abonnements und Verwaltungsgruppen sind der Stammverwaltungsgruppe im Verzeichnis untergeordnet.
    • Alle Ressourcen im Verzeichnis sind der Stammverwaltungsgruppe für die globale Verwaltung untergeordnet.
    • Neue Abonnements werden bei ihrer Erstellung standardmäßig der Stammverwaltungsgruppe zugeordnet.
  • Alle Azure-Kunden können die Stammverwaltungsgruppe sehen, aber nicht alle Kunden besitzen Zugriff, um diese Stammverwaltungsgruppe zu verwalten.
    • Jeder Benutzer, der Zugriff auf ein Abonnement besitzt, kann den Kontext erkennen, in dem sich das Abonnement in der Hierarchie befindet.
    • Niemand erhält Standardzugriff auf die Stammverwaltungsgruppe. Globale Azure AD-Administratoren sind die einzigen Benutzer, die ihre Rechte erhöhen können, um Zugriff zu erlangen. Sobald die globalen Administratoren über Zugriff auf die Stammverwaltungsgruppe verfügen, können sie anderen Benutzern eine beliebige Azure-Rolle zur Verwaltung zuweisen.

Wichtig

Jede Zuweisung von Benutzerzugriff oder Richtlinien für die Stammverwaltungsgruppe gilt für alle Ressourcen im Verzeichnis. Aus diesem Grund sollten alle Kunden die Notwendigkeit untersuchen, Elemente in diesem Bereich zu definieren. Benutzerzugriff und Richtlinienzuweisungen sollten nur in diesem Bereich ein „Muss“ sein.

Erstmalige Einrichtung von Verwaltungsgruppen

Wenn ein Benutzer mit der Verwendung von Verwaltungsgruppen beginnt, findet ein erster Einrichtungsvorgang statt. Der erste Schritt besteht darin, dass die Stammverwaltungsgruppe im Verzeichnis erstellt wird. Sobald diese Gruppe erstellt wurde, werden alle Abonnements, die im Verzeichnis vorhanden sind, zu untergeordneten Elementen der Stammverwaltungsgruppe erklärt. Der Grund für diesen Vorgang besteht im Sicherstellen, dass nur eine Verwaltungsgruppenhierarchie in einem Verzeichnis vorhanden ist. Die einzige Hierarchie innerhalb des Verzeichnisses kann administrative Kunden das Anwenden von globalem Zugriff und globalen Richtlinien ermöglichen, die andere Kunden im Verzeichnis nicht umgehen können. Alles, was dem Stamm zugewiesen wird, gilt für die gesamte Hierarchie. Diese umfasst alle Verwaltungsgruppen, Abonnements, Ressourcengruppen und Ressourcen innerhalb des Azure AD-Mandanten.

Probleme beim Anzeigen aller Abonnements

Bei einigen Verzeichnissen, bei denen früh in der Vorschauphase (vor dem 25. Juni 2018) mit der Verwendung von Verwaltungsgruppen begonnen wurde, trat ein Problem auf, aufgrund dessen nicht alle Abonnements in der Hierarchie enthalten waren. Der Prozess zum Aufnehmen von Abonnements in die Hierarchie wurde implementiert, nachdem eine Rollen- oder Richtlinienzuweisung für die Stammverwaltungsgruppe im Verzeichnis durchgeführt wurde.

So lösen Sie das Problem:

Sie haben zwei Optionen zur Behebung dieses Problems.

  • Entfernen aller Rollen- und Richtlinienzuweisungen aus der Stammverwaltungsgruppe
    • Werden alle Richtlinien- und Rollenzuweisungen aus der Stammverwaltungsgruppe entfernt, gleicht der Dienst beim nächsten Zyklus über Nacht alle Abonnements mit der Hierarchie ab. Mit diesem Vorgang soll sichergestellt werden, dass nicht versehentlich Zugriff auf alle Mandantenabonnements gewährt oder eine Richtlinienzuweisung für diese Abonnements ausgeführt wurde.
    • Die beste Methode für diesen Vorgang ohne Beeinträchtigung Ihrer Dienste besteht darin, die Rollen- oder Richtlinienzuweisungen auf der Ebene unterhalb der Stammverwaltungsgruppe anzuwenden. Anschließend können Sie alle Zuweisungen aus dem Stammbereich entfernen.
  • Direktes Aufrufen der API, um den Abgleichvorgang zu starten.
    • Jeder Kunde im Verzeichnis kann die API TenantBackfillStatusRequest oder StartTenantBackfillRequest aufrufen. Wird die StartTenantBackfillRequest-API aufgerufen, initiiert sie den ersten Einrichtungsvorgang, bei dem alle Abonnements in die Hierarchie verschoben werden. Bei diesem Vorgang wird außerdem damit begonnen, die Festlegung aller neuen Abonnements als untergeordnetes Element der Stammverwaltungsgruppe zu erzwingen. Dabei werden keine Zuweisungen auf Stammebene geändert. Durch Aufrufen der API geben Sie an, dass die Anwendung einer Richtlinien- oder Zugriffszuweisung auf Stammebene auf alle Abonnements akzeptabel ist.

Sollten Sie Fragen zu diesem Abgleichvorgang haben, wenden Sie sich an managementgroups@microsoft.com.

Zugriff auf die Verwaltungsgruppe

Azure-Verwaltungsgruppen unterstützen die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) für alle Ressourcenzugriffe und Rollendefinitionen. Diese Berechtigungen werden an untergeordnete Ressourcen in der Hierarchie vererbt. Eine beliebige Azure-Rolle kann einer Verwaltungsgruppe zugewiesen werden, die an die untergeordneten Ressourcen in der Hierarchie vererbt wird. Beispielsweise kann die Azure-Rolle „VM-Mitwirkender“ einer Verwaltungsgruppe zugewiesen werden. Diese Rolle verfügt über keine Aktion für die Verwaltungsgruppe, wird jedoch an alle virtuellen Computer unter dieser Verwaltungsgruppe vererbt.

Die folgende Abbildung zeigt die Liste der Rollen und die unterstützten Aktionen für Verwaltungsgruppen.

Azure-Rollenname Erstellen Umbenennen Verschieben** Löschen Zuweisen des Zugriffs Zuweisen der Richtlinie Lesen
Besitzer X X X X X X X
Mitwirkender X X X X X
MG-Mitwirkender* X X X X X
Leser X
MG-Leser* X
Ressourcenrichtlinienmitwirkender X
Benutzerzugriffsadministrator X X

* Die Rollen Verwaltungsgruppenmitwirkender und Verwaltungsgruppenleser ermöglichen Benutzern nur, diese Aktionen auf Verwaltungsgruppenebene auszuführen.

** Bei Rollenzuweisungen für die Stammverwaltungsgruppe muss kein Abonnement bzw. keine Verwaltungsgruppe in die und aus der Stammverwaltungsgruppe verschoben werden.

Ausführliche Informationen zum Verschieben von Elementen in der Hierarchie finden Sie unter Verwalten von Ressourcen mit Verwaltungsgruppen.

Definition und Zuweisung der benutzerdefinierten Azure-Rolle

Die Unterstützung benutzerdefinierter Azure-Rollen für Verwaltungsgruppen befindet sich derzeit in der Vorschauphase und weist einige Einschränkungen auf. Sie können den Verwaltungsgruppenbereich im zuweisbaren Bereich der Rollendefinition definieren. Diese benutzerdefinierte Azure-Rolle steht dann für die Zuweisung zu dieser Verwaltungsgruppe und allen ihr untergeordneten Verwaltungsgruppen, Abonnements, Ressourcengruppen oder Ressourcen zur Verfügung. Diese benutzerdefinierte Rolle wird wie jede andere integrierte Rolle an die untergeordneten Ressourcen in der Hierarchie vererbt.

Beispieldefinition

Das Definieren und Erstellen einer benutzerdefinierten Rolle ändert sich mit dem Einbeziehen von Verwaltungsgruppen nicht. Verwenden Sie den vollständigen Pfad, um die Verwaltungsgruppe /providers/Microsoft.Management/managementgroups/{Gruppen-ID} zu definieren.

Verwenden Sie die ID der Verwaltungsgruppe und nicht ihren Anzeigenamen. Dieser häufige Fehler tritt auf, weil es sich bei der Erstellung einer Verwaltungsgruppe bei beiden um benutzerdefinierte Felder handelt.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Probleme mit Unterbrechen des Rollendefinitions- und Zuweisungshierarchiepfads

Rollendefinitionen können an beliebiger Stelle innerhalb der Verwaltungsgruppenhierarchie zugewiesen werden. Eine Rollendefinition kann für eine übergeordnete Verwaltungsgruppe definiert werden, während die tatsächliche Rollenzuweisung im untergeordneten Abonnement vorhanden ist. Da eine Beziehung zwischen den beiden Elementen besteht, erhalten Sie eine Fehlermeldung, wenn Sie versuchen, die Zuweisung von ihrer Definition zu trennen.

Wir betrachten nun als Beispiel einen kleinen Abschnitt einer Hierarchie für ein visuelles Element.

Diagramm eines Teilbereichs des Beispiels für die Verwaltungsgruppenhierarchie.

Das Diagramm konzentriert sich auf die Stammverwaltungsgruppe mit den untergeordneten Verwaltungsgruppen „IT“ und „Marketing“. Die Verwaltungsgruppe „IT“ weist eine einzige untergeordnete Verwaltungsgruppe namens „Production“ auf, während die Verwaltungsgruppe „Marketing“ über zwei untergeordnete kostenlose Testabonnements verfügt.

Angenommen, für die Verwaltungsgruppe „Marketing“ ist eine benutzerdefinierte Rolle definiert. Diese benutzerdefinierte Rolle wird dann zwei kostenlosen Abonnements zugewiesen.

Wenn wir versuchen, eines dieser Abonnements zu verschieben, sodass es der Verwaltungsgruppe „Production“ untergeordnet ist, würde diese Verschiebung den Pfad von der Abonnementrollenzuweisung zur Rollenddefinition der Verwaltungsgruppe „Marketing“ unterbrechen. In diesem Szenario wird eine Fehlermeldung angezeigt, die besagt, dass die Verschiebung nicht zulässig ist, da sie diese Beziehung unterbricht.

Es gibt verschiedene Optionen, um dieses Szenario zu beheben:

  • Entfernen Sie die Rollenzuweisung aus dem Abonnement, bevor Sie das Abonnement in eine neue übergeordnete Verwaltungsgruppe verschieben.
  • Fügen Sie das Abonnement dem zuweisbaren Bereich der Rollendefinition hinzu.
  • Ändern Sie den zuweisbaren Bereich innerhalb der Rollendefinition. Im obigen Beispiel können Sie die Bereiche von „Marketing“ aktualisieren, die der Stammverwaltungsgruppe zuweisbar sind, damit die Definition von beiden Verzweigungen der Hierarchie erreicht werden kann.
  • Erstellen Sie eine weitere benutzerdefinierte Rolle, die in der anderen Verzweigung definiert wird. Diese neue Rolle erfordert, dass die Rollenzuweisung auch für das Abonnement geändert wird.

Einschränkungen

Es bestehen Einschränkungen für die Verwendung benutzerdefinierter Rollen für Verwaltungsgruppen.

  • Sie können nur eine Verwaltungsgruppe in den zuweisbaren Bereichen einer neuen Rolle definieren. Diese Einschränkung soll die Anzahl der Situationen verringern, in denen Rollendefinitionen und Rollenzuweisungen getrennt werden. Diese Situation tritt auf, wenn ein Abonnement oder eine Verwaltungsgruppe mit einer Rollenzuweisung in ein anderes übergeordnetes Element verschoben wird, das nicht über die Rollendefinition verfügt.
  • Aktionen der Datenebene des Ressourcenanbieters können in benutzerdefinierten Rollen für Verwaltungsgruppen nicht definiert werden. Diese Einschränkung besteht, weil beim Aktualisieren der Ressourcenanbieter für die Datenebene ein Latenzproblem auftritt. An diesem Latenzproblem wird gearbeitet, und diese Aktionen werden bei der Rollendefinition deaktiviert, um Risiken zu verringern.
  • Der Azure Resource Manager überprüft nicht, ob die Verwaltungsgruppe im zuweisbaren Bereich der Rollendefinition vorhanden ist. Wenn ein Tippfehler vorhanden oder eine falsche Verwaltungsgruppen-ID aufgelistet ist, wird die Rollendefinition dennoch erstellt.
  • Die Rollenzuweisung für eine Rolle mit dataActions wird nicht unterstützt. Erstellen Sie die Rollenzuweisung stattdessen auf der Abonnementebene.

Wichtig

Das Hinzufügen einer Verwaltungsgruppe zu AssignableScopes befindet sich derzeit in der Vorschauphase. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Verschieben von Verwaltungsgruppen und Abonnements

Damit eine Verwaltungsgruppe oder ein Abonnement als untergeordnetes Element einer anderen Verwaltungsgruppe verschoben werden kann, müssen drei Regeln als „true“ ausgewertet werden.

Wenn Sie die Verschiebung durchführen, muss Folgendes zutreffen:

  • Schreibberechtigungen für Verwaltungsgruppen und Rollenzuweisung für das untergeordnete Abonnement oder die untergeordnete Verwaltungsgruppe.
    • Beispiel für eine integrierte Rolle: Besitzer
  • Verwaltungsgruppen-Schreibzugriff auf die übergeordnete Zielverwaltungsgruppe.
    • Beispiel für eine integrierte Rolle: Besitzer, Mitwirkender, Verwaltungsgruppenmitwirkender
  • Verwaltungsgruppen-Schreibzugriff auf die bestehende übergeordnete Verwaltungsgruppe.
    • Beispiel für eine integrierte Rolle: Besitzer, Mitwirkender, Verwaltungsgruppenmitwirkender

Ausnahme: Wenn die Zielverwaltungsgruppe oder die vorhandene übergeordnete Verwaltungsgruppe die Stammverwaltungsgruppe ist, gelten die Berechtigungsanforderungen nicht. Da die Stammverwaltungsgruppe die standardmäßige Landing-Gruppe für alle neuen Verwaltungsgruppen und Abonnements ist, benötigen Sie keine Berechtigungen für diese Gruppe, wenn ein Element hierhin verschoben werden soll.

Wenn die Rolle Besitzer in Ihrem Abonnement von der aktuellen Verwaltungsgruppe geerbt wurde, sind Ihre Verschiebeziele eingeschränkt. Sie können das Abonnement nur in eine andere Verwaltungsgruppe verschieben, für das Sie die Rolle Besitzer innehaben. Sie können es nicht in eine Verwaltungsgruppe verschieben, in der Sie Mitwirkender sind, da Sie den Besitz an Ihrem Abonnement verlieren würden. Wenn Ihnen die Rolle Besitzer für das Abonnement direkt zugewiesen wurde (nicht von der Verwaltungsgruppe geerbt), können Sie es in jede Verwaltungsgruppe verschieben, bei der Ihnen die Rolle Mitwirkender zugewiesen ist.

Wichtig

Azure Resource Manager speichert Details zur Hierarchie von Verwaltungsgruppen bis zu 30 Minuten lang zwischen. Daher wird das Verschieben einer Verwaltungsgruppe u. U. im Azure-Portal nicht sofort berücksichtigt.

Überwachen von Verwaltungsgruppen mithilfe von Aktivitätsprotokollen

Verwaltungsgruppen werden im Azure-Aktivitätsprotokoll unterstützt. Alle Ereignisse, die für eine Verwaltungsgruppe auftreten, können am gleichen zentralen Ort wie bei anderen Azure-Ressourcen gesucht werden. Sie können beispielsweise alle Änderungen an Rollen- oder Richtlinienzuweisungen anzeigen, die für eine bestimmte Verwaltungsgruppe vorgenommen wurden.

Screenshot: Aktivitätsprotokolle und -vorgänge im Zusammenhang mit der ausgewählten Verwaltungsgruppe

Wenn Sie Verwaltungsgruppen außerhalb des Azure-Portals abfragen möchten, sieht der Zielbereich für Verwaltungsgruppen wie folgt aus: „/providers/Microsoft.Management/managementGroups/{verwaltungsgruppen-id}“.

Hinweis

Mit der REST-API von Azure Resource Manager können Sie Diagnoseeinstellungen für eine Verwaltungsgruppe aktivieren, um relevante Einträge aus dem Azure-Aktivitätsprotokoll an einen Log Analytics-Arbeitsbereich, Azure Storage oder Azure Event Hub zu senden. Weitere Informationen finden Sie unter Diagnoseeinstellungen für Verwaltungsgruppen – erstellen oder aktualisieren.

Nächste Schritte

Weitere Informationen zu Verwaltungsgruppen finden Sie unter folgenden Links: