Einrichten der Segmentierung mit Verwaltungsgruppen

Mithilfe von Verwaltungsgruppen können Sie Ressourcen über mehrere Abonnements hinweg konsistent und effizient verwalten. Ihr Entwurf kann jedoch aufgrund seiner Flexibilität schnell komplex werden und dadurch die Sicherheit und den Betrieb beeinträchtigen.

Unterstützen der Segmentierungsstrategie mit Verwaltungsgruppen

Strukturieren Sie Verwaltungsgruppen in einem einfachen Entwurf, der das Unternehmenssegmentierungsmodell steuert.

Verwaltungsgruppen bieten die Möglichkeit einer konsistenten und effizienten Verwaltung von Ressourcen (einschließlich mehrerer Abonnements nach Bedarf). Aufgrund ihrer Flexibilität ist es jedoch möglich, dass ein übermäßig komplexer Entwurf erstellt wird. Komplexität sorgt für Verwirrung und wirkt sich negativ auf die Vorgänge und die Sicherheit aus (wie es sich bei übermäßig komplexen Entwürfen mit Organisationseinheiten und Gruppenrichtlinienobjekten für Active Directory gezeigt hat).

Microsoft empfiehlt, die oberste Ebene von Verwaltungsgruppen (MGs) mit einer einfachen Segmentierungsstrategie für das Unternehmen abzugleichen und sich auf höchstens zwei Ebenen zu beschränken.

In der Beispielreferenz gibt es unternehmensweite Ressourcen, die von allen Segmenten verwendet werden, einige Kerndienste, die Dienste gemeinsam nutzen, und zusätzliche Segmente für die einzelnen Workloads.

  • Stammverwaltungsgruppe für unternehmensweite Ressourcen.

    Verwenden Sie die Stammverwaltungsgruppe, um Identitäten einzubeziehen, die in der Lage sein müssen, Richtlinien auf jede Ressource anzuwenden. Dies gilt z. B. für gesetzliche Anforderungen, wie Einschränkungen im Zusammenhang mit der Datenhoheit. Diese Gruppe darf Richtlinien, Berechtigungen und Tags auf alle Abonnements anwenden.

    Achtung

    Gehen Sie bei der Verwendung der Stammverwaltungsgruppe vorsichtig vor, da die Richtlinien für alle Azure-Ressourcen gelten können und möglicherweise Downtime oder andere negative Auswirkungen verursachen. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Sorgfältiges Verwenden der Stammverwaltungsgruppe.

    Umfassende Hinweise zur Verwendung von Verwaltungsgruppen in einem Unternehmen finden Sie unter CAF: Organisation von Verwaltungsgruppen und Abonnements.

  • Verwaltungsgruppe für jedes Workloadsegment.

    Verwenden Sie eine separate Verwaltungsgruppe für Teams mit eingeschränktem Zuständigkeitsbereich. Diese Gruppe ist in der Regel erforderlich, um Organisationsgrenzen oder gesetzlichen Anforderungen umzusetzen.

  • Stamm- oder Segmentverwaltungsgruppe für die Kerndienste.

Sorgfältiges Verwenden der Stammverwaltungsgruppe

Verwenden Sie die Stammverwaltungsgruppe für Unternehmenskonsistenz, doch testen Sie Änderungen sorgfältig, um das Risiko einer Betriebsunterbrechung zu minimieren.

Mit der Stammverwaltungsgruppe können Sie Konsistenz im gesamten Unternehmen sicherstellen, indem Richtlinien, Berechtigungen und Tags für alle Abonnements angewendet werden. Beim Planen und Implementieren von Zuweisungen zur Stammverwaltungsgruppe ist jedoch Vorsicht geboten, da dies alle Ressourcen in Azure betreffen und im Falle von Fehlern oder unerwarteten Auswirkungen Ausfallzeiten oder andere negative Folgen für die Produktivität haben kann.

  • Sorgfältig planen: Wählen Sie unternehmensweite Elemente für die Stammverwaltungsgruppe aus, bei denen die eindeutige Anforderung besteht, sie auf jede Ressource anzuwenden, und/oder die geringe Auswirkungen haben.

    Wählen Sie unternehmensweite Identitäten aus, für die die eindeutige Anforderung gilt, dass sie auf alle Ressourcen angewandt werden. Geeignet sind:

    • Gesetzliche Anforderungen mit klaren Risiken/Auswirkungen auf das Geschäft. Zum Beispiel Einschränkungen im Zusammenhang mit der Datenhoheit.

    • Nahezu keine (Null) potenziellen negativen Auswirkungen. Dies sind z. B. Richtlinien, die eine Überwachung erzwingen, Tagzuweisungen oder Zuweisungen von Azure RBAC-Berechtigungen, die sorgfältig geprüft wurden.

    Verwenden Sie einen dedizierten Dienstprinzipalnamen (SPN), um Verwaltungsvorgänge für Verwaltungsgruppen, Verwaltungsvorgänge für Abonnements und die Rollenzuweisung auszuführen. Ein SPN reduziert die Anzahl der Benutzer mit erhöhten Berechtigungen und sorgt für die Einhaltung der Richtlinien für geringstmöglichen Berechtigungen. Weisen Sie die Rolle Benutzerzugriffsadministrator im Bereich der Stammverwaltungsgruppe (/) zu, um dem SPN den zuvor genannten Zugriff auf der Stammebene zu gewähren. Nachdem dem SPN Berechtigungen erteilt wurden, kann die Rolle Benutzerzugriffsadministrator sicher entfernt werden. Auf diese Weise ist nur der SPN Teil der Rolle Benutzerzugriffsadministrator. Weisen Sie dem SPN die Berechtigung Mitwirkender zu. Diese Berechtigung erlaubt Vorgänge auf Mandantenebene. Mit dieser Berechtigungsstufe wird sichergestellt, dass der SPN zum Bereitstellen und Verwalten von Ressourcen für ein beliebiges Abonnement in Ihrer Organisation verwendet werden kann.

    Beschränken Sie die Anzahl der Azure Policy-Zuweisungen, die im Bereich der Stammverwaltungsgruppe (/) vorgenommen werden. Durch diese Einschränkung wird das Debuggen geerbter Richtlinien in Verwaltungsgruppen auf niedrigeren Ebenen minimiert.

    Erstellen Sie keine Abonnements unter der Stammverwaltungsgruppe. Mithilfe dieser Hierarchie wird sichergestellt, dass Abonnements nicht nur den kleinen Teil der Azure-Richtlinien erben, die der Verwaltungsgruppe auf der Stammebene zugewiesen sind, wobei es sich nicht um einen vollständigen Satz handelt, der für eine Workload erforderlich ist.

  • Erst testen: Planen, testen und überprüfen Sie alle unternehmensweiten Änderungen an der Stammverwaltungsgruppe, bevor Sie sie übernehmen (Richtlinie, Tags, Azure RBAC-Modell usw.).

    • Test Lab: Repräsentativer Lab-Mandant oder Lab-Segment im Produktionsmandanten

    • Produktionspilot: Dabei kann es sich um eine Segmentverwaltungsgruppe oder eine Teilmenge der Verwaltungsgruppe in den Abonnements handeln.

  • Änderungen überprüfen: Stellen Sie sicher, dass die Änderungen die gewünschte Auswirkung haben.

Nächste Schritte