Verwalten Ihrer Azure-Abonnements im großen Stil mit Verwaltungsgruppen

  • Artikel

Wenn Ihre Organisation über viele Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements. Azure-Verwaltungsgruppen stellen einen abonnementübergreifenden Bereich dar. Sie organisieren Abonnements in Containern, die als „Verwaltungsgruppen“ bezeichnet werden, und wenden Ihre Governancebedingungen auf die Verwaltungsgruppen an. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Verwaltungsgruppe angewendeten Bedingungen.

Verwaltungsgruppen ermöglichen Ihnen – unabhängig von den Arten Ihrer Abonnements – die unternehmenstaugliche Verwaltung in großem Umfang. Weitere Informationen zu Verwaltungsgruppen finden Sie unter Organize your resources with Azure Management Groups (Organisieren von Ressourcen mit Azure-Verwaltungsgruppen).

Hinweis

Dieser Artikel enthält eine ausführliche Vorgehensweise zum Löschen personenbezogener Daten vom Gerät oder aus dem Dienst, die Sie bei Ihren Pflichten gemäß der DSGVO unterstützen kann. Allgemeine Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.

Wichtig

Azure Resource Manager-Benutzertoken und der Verwaltungsgruppencache gelten für 30 Minuten, bevor sie gezwungen werden, sich zu aktualisieren. Nach der Durchführung einer Aktion, wie dem Verschieben einer Verwaltungsgruppe oder eines Abonnements, kann die Anzeige bis zu 30 Minuten dauern. Um die Updates früher anzuzeigen, müssen Sie Ihr Token aktualisieren, indem Sie den Browser aktualisieren, sich an- und abmelden oder ein neues Token anfordern.

Wichtig

AzManagementGroup-bezogene Az PowerShell-Cmdlets geben an, dass die -GroupId der Aliasname des -GroupName-Parameters ist, sodass wir beide verwenden können, um die Verwaltungsgruppen-ID als String-Wert zur Verfügung zu stellen.

Ändern des Namens einer Verwaltungsgruppe

Der Name einer Verwaltungsgruppe kann über das Portal, mithilfe von PowerShell oder mithilfe der Azure CLI geändert werden.

Ändern des Namens im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf Alle Dienste>Verwaltungsgruppen.

  3. Wählen Sie die Verwaltungsgruppe aus, die Sie umbenennen möchten.

  4. Wählen Sie Details aus.

  5. Klicken Sie oben auf der Seite auf die Option Gruppe umbenennen.

    Screenshot: Aktionsleiste und Schaltfläche „Gruppe umbenennen“ auf der Seite „Verwaltungsgruppe“

  6. Wenn das Menü geöffnet wird, geben Sie den neuen Namen ein, der angezeigt werden soll.

    Screenshot: Fenster „Gruppe umbenennen“ und Optionen zum Umbenennen einer Verwaltungsgruppe

  7. Wählen Sie Speichern aus.

Ändern des Namens in PowerShell

Verwenden Sie zum Aktualisieren des Anzeigenamens den Befehl Update-AzManagementGroup. Wenn Sie beispielsweise den Anzeigenamen einer Verwaltungsgruppe von „Contoso IT“ in „Contoso Group“ ändern möchten, führen Sie den folgenden Befehl aus:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Ändern des Namens über die Azure CLI

Verwenden Sie für die Azure CLI den Aktualisierungsbefehl.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Löschen einer Verwaltungsgruppe

Um eine Verwaltungsgruppe zu löschen, müssen die folgenden Anforderungen erfüllt sein:

  1. Unter der Verwaltungsgruppe gibt es keine untergeordneten Verwaltungsgruppen oder Abonnements. Informationen zum Verschieben eines Abonnements oder einer Verwaltungsgruppe in eine andere Verwaltungsgruppe finden Sie unter Verschieben von Verwaltungsgruppen und Abonnements in der Hierarchie.

  2. Sie benötigen Schreibzugriff auf die Verwaltungsgruppe (Rolle „Besitzer“, „Mitwirkender“ oder „Verwaltungsgruppenmitwirkender“). Wählen Sie zum Anzeigen der Ihnen zugewiesenen Berechtigungen die Verwaltungsgruppe aus, und klicken Sie dann auf IAM. Weitere Informationen zu Azure-Rollen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.

Löschen im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf Alle Dienste>Verwaltungsgruppen.

  3. Wählen Sie die zu löschende Verwaltungsgruppe aus.

  4. Wählen Sie Details aus.

  5. Wählen Sie Löschen aus.

    Screenshot: Seite „Verwaltungsgruppe“, auf der die Schaltfläche „Löschen“ hervorgehoben ist

    Tipp

    Wenn das Symbol abgeblendet ist, zeigen Sie mit der Maus darauf, um den Grund dafür anzuzeigen.

  6. Ein Fenster wird geöffnet, in dem Sie das Löschen der Verwaltungsgruppe bestätigen müssen.

    Screenshot: Bestätigungsdialogfeld „Gruppe löschen“ zum Löschen einer Verwaltungsgruppe

  7. Wählen Sie Ja aus.

Löschen in PowerShell

Verwenden Sie zum Löschen von Verwaltungsgruppen in PowerShell den Befehl Remove-AzManagementGroup.

Remove-AzManagementGroup -GroupId 'Contoso'

Löschen über die Azure-Befehlszeilenschnittstelle

Verwenden Sie bei der Azure CLI den Befehl „az account management-group delete“.

az account management-group delete --name 'Contoso'

Anzeigen von Verwaltungsgruppen

Sie können jede Verwaltungsgruppe anzeigen, für die Sie eine direkte oder geerbte Azure-Rolle besitzen.

Anzeigen im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf Alle Dienste>Verwaltungsgruppen.

  3. Die Seite mit der Hierarchie der Verwaltungsgruppe wird geladen. Hier können Sie alle Verwaltungsgruppen und Abonnements untersuchen, auf die Sie Zugriff haben. Durch Auswahl des Gruppennamens gelangen Sie auf eine niedrigere Ebene in der Hierarchie. Die Navigation funktioniert genauso wie im Datei-Explorer.

  4. Um die Details der Verwaltungsgruppe zu sehen, wählen Sie den Link (Details) neben dem Titel der Verwaltungsgruppe. Wenn dieser Link nicht verfügbar ist, sind Sie zum Anzeigen dieser Verwaltungsgruppe nicht berechtigt.

    Screenshot: Seite „Verwaltungsgruppen“ mit untergeordneten Verwaltungsgruppen und Abonnements

Anzeigen in PowerShell

Mit dem Befehl „Get-AzManagementGroup“ rufen Sie alle Gruppen ab. Im Modul Az.Resources finden Sie die vollständige Liste der GET-Befehle in PowerShell für Verwaltungsgruppen.

Get-AzManagementGroup

Verwenden Sie den Parameter „-GroupName“, um die Informationen einer einzelnen Verwaltungsgruppe anzuzeigen.

Get-AzManagementGroup -GroupId 'Contoso'

Verwenden Sie die Parameter -Expand und -Recurse, um eine bestimmte Verwaltungsgruppe und die untergeordnete Hierarchie mit allen Ebenen zurückzugeben.

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Anzeigen in der Azure CLI

Verwenden Sie den Befehl „list“, um alle Gruppen abzurufen.

az account management-group list

Verwenden Sie den Befehl „show“, um die Informationen einer einzelnen Verwaltungsgruppe anzuzeigen.

az account management-group show --name 'Contoso'

Verwenden Sie die Parameter -Expand und -Recurse, um eine bestimmte Verwaltungsgruppe und die untergeordnete Hierarchie mit allen Ebenen zurückzugeben.

az account management-group show --name 'Contoso' -e -r

Verschieben von Verwaltungsgruppen und Abonnements

Ein Grund zum Erstellen einer Verwaltungsgruppe ist das Bündeln von Abonnements. Nur Verwaltungsgruppen und Abonnements können als untergeordnete Elemente einer anderen Verwaltungsgruppe festgelegt werden. Ein Abonnement, das in eine Verwaltungsgruppe verschoben wird, erbt den gesamten Benutzerzugriff und alle Richtlinien von der übergeordneten Verwaltungsgruppe.

Wenn eine Verwaltungsgruppe oder ein Abonnement verschoben und einer anderen Verwaltungsgruppe untergeordnet wird, müssen drei Regeln als TRUE ausgewertet werden.

Wenn Sie eine solche Verschiebung durchführen, müssen Ihnen auf jeder der folgenden Ebenen die entsprechenden Berechtigungen erteilt werden:

  • Untergeordnetes Abonnement / Untergeordnete Verwaltungsgruppe
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (nur für Abonnements)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Übergeordnete Zielverwaltungsgruppe
    • Microsoft.management/managementgroups/write
  • Aktuelle übergeordnete Verwaltungsgruppe
    • Microsoft.management/managementgroups/write

Ausnahme: Wenn die Zielverwaltungsgruppe oder die vorhandene übergeordnete Verwaltungsgruppe die Stammverwaltungsgruppe ist, gelten die Berechtigungsanforderungen nicht. Da die Stammverwaltungsgruppe die standardmäßige Landing-Gruppe für alle neuen Verwaltungsgruppen und Abonnements ist, benötigen Sie keine Berechtigungen für diese Gruppe, wenn ein Element hierhin verschoben werden soll.

Wenn die Rolle „Besitzer“ in Ihrem Abonnement von der aktuellen Verwaltungsgruppe geerbt wurde, sind Ihre Verschiebeziele eingeschränkt. Sie können das Abonnement nur in eine andere Verwaltungsgruppe verschieben, für das Sie die Rolle „Besitzer“ innehaben. Sie können das Abonnement nicht in eine Verwaltungsgruppe verschieben, in der Sie nur „Mitwirkender“ sind, da Sie den Besitz an Ihrem Abonnement verlieren würden. Wenn Ihnen die Besitzerrolle für das Abonnement direkt zugewiesen wurde, können Sie es in jede Verwaltungsgruppe verschieben, bei der Sie Mitwirkender sind.

Wählen Sie zum Anzeigen Ihrer Berechtigungen im Azure-Portal die Verwaltungsgruppe und dann IAM aus. Weitere Informationen zu Azure-Rollen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.

Verschieben von Abonnements

Hinzufügen eines vorhandenen Abonnements zu einer Verwaltungsgruppe im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf Alle Dienste>Verwaltungsgruppen.

  3. Wählen Sie die Verwaltungsgruppe aus, die als übergeordnete Gruppe festgelegt werden soll.

  4. Klicken Sie am oberen Rand der Seite auf Abonnement hinzufügen.

  5. Wählen Sie in der Liste das Abonnement mit der richtigen ID aus.

    Screenshot: Optionen unter „Abonnement hinzufügen“ zur Auswahl eines vorhandenen Abonnements, das einer Verwaltungsgruppe hinzugefügt werden soll

  6. Wählen Sie „Speichern“ aus.

Entfernen eines Abonnements aus einer Verwaltungsgruppe im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf Alle Dienste>Verwaltungsgruppen.

  3. Wählen Sie die geplante Verwaltungsgruppe aus. Hierbei handelt es sich um die aktuelle übergeordnete Gruppe.

  4. Klicken Sie in der Liste am Ende der Zeile des zu verschiebenden Abonnements auf die Ellipse.

    Screenshot: Alternatives Menü für ein Abonnement zum Auswählen der Option „Verschieben“

  5. Klicken Sie auf Verschieben.

  6. Klicken Sie im angezeigten Menü auf Übergeordnete Verwaltungsgruppe.

    Screenshot: Fenster „Verschieben“ und Optionen zum Verschieben eines Abonnements in eine andere Verwaltungsgruppe

  7. Wählen Sie Speichern aus.

Verschieben von Abonnements in PowerShell

Verschieben Sie Abonnements in PowerShell mit dem Befehl „New-AzManagementGroupSubscription“.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Verwenden Sie zum Entfernen der Verknüpfung zwischen dem Abonnement und der Verwaltungsgruppe den Befehl „Remove-AzManagementGroupSubscription“.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Verschieben von Abonnements in der Azure CLI

Verwenden Sie zum Verschieben eines Abonnements in der CLI den Befehl „add“.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Verwenden Sie zum Entfernen des Abonnements aus der Verwaltungsgruppe den Befehl „remove“.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Verschieben von Abonnements in einer ARM-Vorlage

Verwenden Sie die folgende Vorlage, um ein Abonnement in eine Azure Resource Manager-Vorlage (ARM-Vorlage) zu verschieben, und stellen Sie sie auf Mandantenebene bereit.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Verwenden Sie alternativ die folgende Bicep-Datei.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Verschieben von Verwaltungsgruppen

Verschieben von Verwaltungsgruppen im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Klicken Sie auf Alle Dienste>Verwaltungsgruppen.

  3. Wählen Sie die Verwaltungsgruppe aus, die als übergeordnete Gruppe festgelegt werden soll.

  4. Klicken Sie am oberen Rand der Seite auf Verwaltungsgruppe hinzufügen.

  5. Ein Menü wird geöffnet, in dem Sie auswählen, ob Sie eine neue oder vorhandene Verwaltungsgruppe verwenden möchten.

    • Durch die Auswahl von „Neu“ wird eine neue Verwaltungsgruppe erstellt.
    • Wenn Sie eine vorhandene Verwaltungsgruppe auswählen, wird eine Dropdownliste mit allen Verwaltungsgruppen angezeigt, die Sie in diese Verwaltungsgruppe verschieben können.

    Screenshot: Optionen unter „Verwaltungsgruppe hinzufügen“ zum Erstellen einer neuen Verwaltungsgruppe

  6. Wählen Sie Speichern aus.

Verschieben von Verwaltungsgruppen in PowerShell

Verwenden Sie den Befehl „Update-AzureRmManagementGroup“ in PowerShell, um eine Verwaltungsgruppe in eine andere Gruppe zu verschieben.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Verschieben von Verwaltungsgruppen in der Azure CLI

Verwenden Sie den Befehl „update“, um eine Verwaltungsgruppe mit der Azure CLI zu verschieben.

az account management-group update --name 'Contoso' --parent ContosoIT

Überwachen von Verwaltungsgruppen mithilfe von Aktivitätsprotokollen

Verwaltungsgruppen werden im Azure-Aktivitätsprotokoll unterstützt. Alle Ereignisse, die für eine Verwaltungsgruppe auftreten, können am gleichen zentralen Ort wie bei anderen Azure-Ressourcen abgefragt werden. Sie können beispielsweise alle Änderungen an Rollen- oder Richtlinienzuweisungen anzeigen, die für eine bestimmte Verwaltungsgruppe vorgenommen wurden.

Screenshot: Aktivitätsprotokolle und -vorgänge im Zusammenhang mit der ausgewählten Verwaltungsgruppe

Wenn Sie Verwaltungsgruppen außerhalb des Azure-Portals abfragen möchten, sieht der Zielbereich für Verwaltungsgruppen wie folgt aus: "/providers/Microsoft.Management/managementGroups/{yourMgID}" .

Verweisen auf Verwaltungsgruppen von anderen Ressourcenanbietern

Wenn Sie von den Aktionen eines anderen Ressourcenanbieters auf Verwaltungsgruppen verweisen, verwenden Sie den folgenden Pfad als Bereich. Dieser Pfad wird sowohl in PowerShell, als auch an der Azure-Befehlszeilenschnittstelle (CLI) und in REST-APIs verwendet.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Das Zuweisen einer neuen Rollenzuweisung für eine Verwaltungsgruppe in PowerShell ist ein Beispiel für die Verwendung dieses Pfads:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Der gleiche Bereichspfad wird verwendet, wenn Sie eine Richtliniendefinition in einer Verwaltungsgruppe abrufen.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Nächste Schritte

Weitere Informationen zu Verwaltungsgruppen finden Sie unter folgenden Links: