Grupos de administración
Los grupos de administración son una herramienta que le ayuda a estructurar los entornos en la nube para la organización y la gobernanza a escala.
Considerar cómo usar grupos de administración como parte del diseño del entorno es un paso fundamental importante. Use las instrucciones siguientes para tomar decisiones sobre la arquitectura en la nube.
Consideraciones de diseño del grupo de administración
Las estructuras de grupo de administración dentro de un inquilino de Microsoft Entra son compatibles con la asignación organizativa. Tenga en cuenta la estructura del grupo de administración exhaustivamente cuando su organización planee la adopción de Azure a escala.
¿Cómo separará su organización los servicios propiedad o operados por equipos específicos?
¿Hay funciones específicas que deben mantenerse separadas por motivos de cumplimiento empresarial o operativo?
Puede usar los grupos de administración para agregar asignaciones de directivas e iniciativas a través de Azure Policy.
Un árbol de grupo de administración puede admitir hasta seis niveles de profundidad. Este límite no incluye el nivel raíz o de suscripción.
Cualquier entidad de seguridad, ya sea un usuario o una entidad de servicio, dentro de un inquilino de Microsoft Entra puede crear nuevos grupos de administración. Este permiso se debe a que la autorización del control de acceso basado en rol (RBAC) de Azure para las operaciones del grupo de administración no está habilitada de forma predeterminada. Para obtener más información, consulte Procedimiento para proteger la jerarquía de recursos
De forma predeterminada, todas las suscripciones nuevas se colocarán en el grupo de administración raíz del inquilino.
Consulte grupos de administración para explorar sus funcionalidades con más detalle.
Recomendaciones del grupo de administración
Mantenga la jerarquía de los grupos de administración lo más horizontal posible; idealmente, con no más de tres o cuatro niveles. Esta restricción reduce la sobrecarga y la complejidad de la administración.
Evite duplicar la estructura organizativa en una jerarquía de grupos de administración anidados el uno en el otro. Use los grupos de administración para la asignación de directivas, en lugar de la facturación. Este enfoque requiere el uso de grupos de administración para su propósito previsto en la arquitectura conceptual de la zona de aterrizaje de Azure. Esta arquitectura proporciona directivas de Azure para cargas de trabajo que requieren el mismo tipo de seguridad y cumplimiento en el mismo nivel de grupo de administración.
Cree grupos de administración en el grupo de administración de nivel raíz para representar los tipos de cargas de trabajo que va a hospedar. Estos grupos se basan en las necesidades de seguridad, cumplimiento, conectividad y características de las cargas de trabajo. Con esta estructura de agrupación, puede tener un conjunto de directivas de Azure aplicadas en el nivel de grupo de administración. Esta estructura de agrupación es para todas las cargas de trabajo que requieren la misma configuración de seguridad, cumplimiento, conectividad y características.
Use etiquetas de recursos para consultar y navegar horizontalmente por la jerarquía del grupo de administración. Las etiquetas de recursos se pueden aplicar o anexar mediante Azure Policy. Luego, puede agrupar los recursos según sus requisitos de búsqueda sin necesidad de usar una jerarquía de grupos de administración compleja.
Cree un grupo de administración de espacio aislado general para que los usuarios puedan experimentar inmediatamente con Azure. Ellos pueden experimentar después con recursos que quizás aún no se han permitido en entornos de producción. El espacio aislado proporciona aislamiento de los entornos de desarrollo, prueba y producción.
Cree un grupo de administración de la plataforma en el grupo de administración raíz para admitir la directiva de plataforma común y la asignación de roles de Azure. Esta estructura de agrupación permite aplicar distintas directivas a las suscripciones utilizadas para la base de Azure. También centraliza la facturación de los recursos comunes en un conjunto de suscripciones fundamentales.
Limite el número de asignaciones de Azure Policy realizadas en el ámbito del grupo de administración raíz. Esta limitación reduce a un mínimo la depuración de directivas heredadas en grupos de administración de nivel inferior.
Use directivas para aplicar los requisitos de cumplimiento en el ámbito del grupo de administración o de la suscripción para lograr una gobernanza controlada por directivas.
Asegúrese de que solo los usuarios con privilegios pueden operar grupos de administración en el inquilino. Habilite la autorización de Azure RBAC en la configuración de la jerarquía del grupo de administración para refinar los privilegios de usuario. De forma predeterminada, todos los usuarios están autorizados para crear sus propios grupos de administración en el grupo de administración raíz.
Configure un grupo de administración dedicado predeterminado para las nuevas suscripciones. Este grupo garantiza que no se coloque ninguna suscripción en el grupo de administración raíz. Este grupo es especialmente importante si hay usuarios aptos para beneficiarse de las ventajas y suscripciones de Microsoft Developper Network (MSDN) o Visual Studio. Un buen candidato para este grupo de administración es un grupo de administración de espacio aislado. Para más información, consulte Configuración del grupo de administración predeterminado.
No cree grupos de administración para entornos de producción, pruebas y desarrollo. Si es necesario, separe estos grupos en suscripciones diferentes en el mismo grupo de administración. Para revisar más instrucciones sobre este tema, consulte:
Grupos de administración en el acelerador de zonas de aterrizaje de Azure y el repositorio de Bicep de ALZ
Las siguientes decisiones se han tomado e incluido en la implementación de la estructura del grupo de administración. Estas decisiones forman parte del acelerador de zonas de aterrizaje de Azure y del módulo de grupos de administración del repositorio de Bicep de ALZ.
Nota:
La jerarquía del grupo de administración se puede modificar en el módulo de Bicep de la zona de aterrizaje de Azure mediante la edición de managementGroups.bicep.
| Grupo de administración | Descripción |
|---|---|
| Grupo de administración raíz intermedio | Este grupo de administración se encuentra directamente en el grupo raíz del inquilino. Se crea con un prefijo proporcionado por la organización, lo que evita el uso del grupo raíz para que las organizaciones puedan mover las suscripciones de Azure existentes a la jerarquía. También permite escenarios futuros. Este grupo de administración es un elemento primario de todos los demás grupos de administración creados por el acelerador de zona de aterrizaje de Azure. |
| Plataforma | Este grupo de administración contiene todos los grupos de administración secundarios de la plataforma, como la administración, la conectividad y la identidad. |
| Administración | Este grupo de administración contiene una suscripción dedicada para la administración, la supervisión y la seguridad. Esta suscripción hospedará un área de trabajo de Azure Log Analytics, incluidas las soluciones asociadas, y una cuenta de Azure Automation. |
| Conectividad | Este grupo de administración contiene una suscripción dedicada para la conectividad. Esta suscripción hospedará los recursos de red de Azure necesarios para la plataforma, como las zonas privadas de Azure Virtual WAN, Azure Firewall y Azure DNS. |
| Identidad | Este grupo de administración contiene una suscripción dedicada para la identidad. Esta suscripción es un marcador de posición para Windows Server Active Directory Domain Services (AD DS) máquinas virtuales (VM) o Microsoft Entra Domain Services. La suscripción también habilita AuthN o AuthZ para cargas de trabajo dentro de las zonas de aterrizaje. Las directivas específicas de Azure se asignan para resaltar y administrar los recursos de la suscripción de identidad. |
| Zonas de aterrizaje | Grupo de administración primario para todos los grupos de administración secundarios de la zona de aterrizaje. Tendrá directivas de Azure independientes de la carga de trabajo asignadas para garantizar que las cargas de trabajo sean seguras y compatibles. |
| En línea | El grupo de administración dedicado para zonas de aterrizaje en línea. Este grupo es para cargas de trabajo que pueden requerir conectividad entrante y saliente directa de Internet o para cargas de trabajo que podrían no requerir una red virtual. |
| Corp | El grupo de administración dedicado para zonas de aterrizaje corporativas. Este grupo es para cargas de trabajo que requieren conectividad o conectividad híbrida con la red corporativa a través del concentrador en la suscripción de conectividad. |
| Espacios aislados | El grupo de administración dedicado para suscripciones que solo se usará para pruebas y exploración por parte de una organización. Estas suscripciones se desconectarán de forma segura de las zonas de aterrizaje corporativas y en línea. Los espacios aislados también tienen asignado un conjunto menos restrictivo de directivas para habilitar las pruebas, la exploración y la configuración de los servicios de Azure. |
| Dados de baja | El grupo de administración dedicado para las zonas de aterrizaje que se cancelan. Las zonas de aterrizaje canceladas se trasladarán a este grupo de administración antes de que Azure los elimine después de 30-60 días. |
Nota:
Para muchas organizaciones, los grupos de administración predeterminados Corp y Online son el punto de partida ideal.
Algunas organizaciones necesitan agregar más y otras no las encontrarán aplicables a su organización.
Si está pensando en hacer cambios en la jerarquía del grupo de administración, consulte la guía Adaptación de la arquitectura de la zona de aterrizaje de Azure para cumplir los requisitos.
Permisos para el acelerador de la zona de aterrizaje de Azure
Requiere un nombre de entidad de seguridad de servicio (SPN) dedicado para ejecutar operaciones de grupos de administración, operaciones de administración de suscripciones y asignaciones de roles. El uso de una SPN reduce el número de usuarios que tienen derechos elevados y sigue las instrucciones con privilegios mínimos.
Requiere el rol Administrador de acceso de usuario en el ámbito del grupo de administración raíz para conceder al SPN el acceso en el nivel raíz. Una vez concedidos los permisos al SPN, el rol de administrador de acceso de usuarios se puede quitar de forma segura. De esta manera, solo el SPN forma parte del rol de administrador de acceso de usuarios.
Requiere el rol de Colaborador para el SPN mencionado anteriormente en el ámbito del grupo de administración raíz, que permite las operaciones de nivel de inquilino. Este nivel de permisos permite usar el SPN para implementar y administrar los recursos en cualquier suscripción de una organización.
Pasos siguientes
Obtenga información sobre el rol que desempeñan las suscripciones al planear una adopción de Azure a gran escala.