Azure-előfizetések nagy léptékű kezelése felügyeleti csoportokkal

Ha a vállalatnak sok előfizetése van, jól jöhet egy módszer, hogy hatékonyan kezelje az előfizetésekhez való hozzáférést, a szabályzatokat és a megfelelőséget. Az Azure-beli felügyeleti csoportok hatóköre az előfizetések fölötti szint. Az előfizetéseket „felügyeleti csoportok” nevű tárolókba rendezheti, és az irányítási feltételeket alkalmazhatja a felügyeleti csoportokra. A felügyeleti csoporton belüli összes előfizetés automatikusan örökli a felügyeleti csoportra alkalmazott feltételeket.

A felügyeleti csoportok nagy léptékű, nagyvállalati szintű felügyeletet tesznek lehetővé, függetlenül az előfizetése típusától. A felügyeleti csoportokkal kapcsolatos további információkért lásd : Erőforrások rendszerezése azure-beli felügyeleti csoportokkal.

Megjegyzés

Ez a cikk a személyes adatok eszközről vagy szolgáltatásból való törlésének lépéseit ismerteti, és felhasználható a GDPR szerinti kötelezettségek támogatására. A GDPR-vel kapcsolatos általános információkért tekintse meg a Microsoft Adatvédelmi központ GDPR szakaszát és a Szolgáltatásmegbízhatósági portál GDPR szakaszát.

Fontos

Az Azure Resource Manager felhasználói jogkivonatok és a felügyeleti csoport gyorsítótára 30 percig tart, mielőtt a rendszer frissítésre kényszerítené őket. A felügyeleti csoportok vagy előfizetések áthelyezése után akár 30 percet is igénybe vehet a megjelenítés. A frissítések hamarabbi megtekintéséhez frissítenie kell a jogkivonatot a böngésző frissítésével, a bejelentkezéssel és a kijelentkezéssel, vagy egy új jogkivonat kérésével.

Fontos

Az AzManagementGroup-hoz kapcsolódó Az PowerShell-parancsmagok megemlítik, hogy a -GroupId a -GroupName paraméter aliasa, így bármelyiket használhatjuk a felügyeleti csoport azonosítójának sztringértékként való megadásához.

Felügyeleti csoport nevének módosítása

A felügyeleti csoport nevét a portál, a PowerShell vagy az Azure CLI használatával módosíthatja.

A név módosítása a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza a Minden szolgáltatás>felügyeleti csoport lehetőséget.

3. Válassza ki az átnevezni kívánt felügyeleti csoportot.

4. Válassza ki a részleteket.

5. Válassza a Csoport átnevezése lehetőséget a lap tetején.

   

6. Amikor megnyílik a menü, adja meg a megjeleníteni kívánt új nevet.

   

7. Válassza a Mentés lehetőséget.

A név módosítása a PowerShellben

A megjelenítendő név frissítéséhez használja az Update-AzManagementGroup parancsot. Ha például egy felügyeleti csoport megjelenítendő nevét "Contoso IT" névről "Contoso-csoport" névre szeretné módosítani, futtassa a következő parancsot:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

A név módosítása az Azure CLI-ben

Az Azure CLI-hez használja a frissítési parancsot.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Felügyeleti csoport törlése

Felügyeleti csoport törléséhez az alábbi követelményeknek kell megfelelni:

1. A felügyeleti csoportban nincsenek gyermekfelügyeleti csoportok vagy előfizetések. Ha egy előfizetést vagy felügyeleti csoportot egy másik felügyeleti csoportba szeretne áthelyezni, olvassa el a Felügyeleti csoportok és előfizetések áthelyezése a hierarchiában című témakört.

2. Írási engedélyekre van szüksége a felügyeleti csoporthoz ("Tulajdonos", "Közreműködő" vagy "Felügyeleti csoport közreműködője"). Ha meg szeretné tekinteni, hogy milyen engedélyekkel rendelkezik, válassza ki a felügyeleti csoportot, majd válassza az IAM lehetőséget. További információ az Azure-szerepkörökről: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).

Törlés a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza a Minden szolgáltatás>felügyeleti csoport lehetőséget.

3. Válassza ki a törölni kívánt felügyeleti csoportot.

4. Válassza ki a részleteket.

5. Válassza a Törlés elemet

   

   Tipp

   Ha az ikon le van tiltva, az egérválasztó fölé mutatva megjelenik az ok.

6. Megnyílik egy ablak, amely megerősíti, hogy törölni szeretné a felügyeleti csoportot.

   

7. Válassza az Igen lehetőséget.

Törlés a PowerShellben

A Felügyeleti csoportok törléséhez használja a Remove-AzManagementGroup parancsot a PowerShellben.

Remove-AzManagementGroup -GroupId 'Contoso'

Törlés az Azure CLI felületen

Az Azure CLI-vel használja az az account management-group delete parancsot.

az account management-group delete --name 'Contoso'

Felügyeleti csoportok megtekintése

Megtekintheti a közvetlen vagy örökölt Azure-szerepkörrel rendelkező felügyeleti csoportokat.

Megtekintés a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza a Minden szolgáltatás>felügyeleti csoport lehetőséget.

3. A felügyeleti csoport hierarchiaoldala be fog töltődni. Ezen a lapon ismerheti meg az összes olyan felügyeleti csoportot és előfizetést, amelyhez hozzáférése van. A csoport nevének kiválasztásával a hierarchia egy alacsonyabb szintjére lép. A navigáció ugyanúgy működik, mint egy fájlkezelő.

4. A felügyeleti csoport részleteinek megtekintéséhez válassza a felügyeleti csoport címe melletti (részletek) hivatkozást. Ha ez a hivatkozás nem érhető el, nincs engedélye a felügyeleti csoport megtekintésére.

   

Megtekintés a PowerShellben

Az összes csoport lekéréséhez használja a Get-AzManagementGroup parancsot. A GET PowerShell-parancsok teljes listáját az Az.Resources-modulokban találja.

Get-AzManagementGroup

Egyetlen felügyeleti csoport adataihoz használja a -GroupId paramétert

Get-AzManagementGroup -GroupId 'Contoso'

Ha egy adott felügyeleti csoportot és az alatta lévő hierarchia összes szintjét szeretné visszaadni, használja a -Expand és a -Recurse paramétereket.

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Megtekintés az Azure CLI-ben

A lista paranccsal lekérheti az összes csoportot.

az account management-group list

Egyetlen felügyeleti csoport adatainak megjelenítéséhez használja a megjelenítési parancsot

az account management-group show --name 'Contoso'

Ha egy adott felügyeleti csoportot és az alatta lévő hierarchia összes szintjét szeretné visszaadni, használja a -Expand és a -Recurse paramétereket.

az account management-group show --name 'Contoso' -e -r

Felügyeleti csoportok és előfizetések áthelyezése

A felügyeleti csoport létrehozásának egyik oka az előfizetések összecsomagolása. Csak felügyeleti csoportok és előfizetések tehetők egy másik felügyeleti csoport gyermekeivé. A felügyeleti csoportba áthelyezett előfizetés örökli az összes felhasználói hozzáférést és szabályzatot a szülő felügyeleti csoporttól

Amikor egy felügyeleti csoportot vagy előfizetést egy másik felügyeleti csoport gyermekének helyez át, három szabályt kell igazként értékelni.

Ha az áthelyezési műveletet hajtja végre, az alábbi rétegek mindegyikéhez engedélyre van szüksége:

• Gyermek-előfizetés/felügyeleti csoport
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (csak előfizetések esetén)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Cél szülő felügyeleti csoport
  • Microsoft.management/managementgroups/write
• Aktuális szülő felügyeleti csoport
  • Microsoft.management/managementgroups/write

Kivétel: Ha a cél vagy a meglévő szülő felügyeleti csoport a gyökérszintű felügyeleti csoport, az engedélykövetelmények nem érvényesek. Mivel a gyökérszintű felügyeleti csoport az összes új felügyeleti csoport és előfizetés alapértelmezett kezdőhelye, nincs szükség az elemek áthelyezéséhez szükséges engedélyekre.

Ha az előfizetés tulajdonosi szerepköre az aktuális felügyeleti csoporttól öröklődik, az áthelyezési célok korlátozottak. Az előfizetést csak olyan felügyeleti csoportba helyezheti át, ahol tulajdonosi szerepkörrel rendelkezik. Nem helyezheti át az előfizetést olyan felügyeleti csoportba, ahol csak közreműködő, mert elveszíti az előfizetés tulajdonjogát. Ha ön közvetlenül az előfizetés Tulajdonos szerepköréhez van hozzárendelve, áthelyezheti azt bármely olyan felügyeleti csoportba, ahol Ön közreműködő.

Ha meg szeretné tekinteni, hogy milyen engedélyekkel rendelkezik a Azure Portal, válassza ki a felügyeleti csoportot, majd válassza az IAM lehetőséget. További információ az Azure-szerepkörökről: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).

Előfizetések áthelyezése

Meglévő előfizetés hozzáadása felügyeleti csoporthoz a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza a Minden szolgáltatás>felügyeleti csoport lehetőséget.

3. Válassza ki azt a felügyeleti csoportot, amelyet szülőnek tervez.

4. A lap tetején válassza az Előfizetés hozzáadása lehetőséget.

5. Válassza ki a megfelelő azonosítóval rendelkező előfizetést a listában.

   

6. Válassza a "Mentés" lehetőséget.

Előfizetés eltávolítása felügyeleti csoportból a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza a Minden szolgáltatás>felügyeleti csoport lehetőséget.

3. Válassza ki azt a felügyeleti csoportot, amelyet az aktuális szülőnek tervez.

4. Válassza ki az áthelyezni kívánt előfizetés sorának végén található három pontot.

   

5. Válassza az Áthelyezés lehetőséget.

6. A megnyíló menüben válassza a Szülő felügyeleti csoportot.

   

7. Válassza a Mentés lehetőséget.

Előfizetések áthelyezése a PowerShellben

Ha át szeretne helyezni egy előfizetést a PowerShellben, használja a New-AzManagementGroupSubscription parancsot.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Az előfizetés és a felügyeleti csoport közötti kapcsolat eltávolításához használja a Remove-AzManagementGroupSubscription parancsot.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Előfizetések áthelyezése az Azure CLI-ben

Ha át szeretne helyezni egy előfizetést a parancssori felületen, használja a hozzáadás parancsot.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Ha el szeretné távolítani az előfizetést a felügyeleti csoportból, használja az előfizetés eltávolítása parancsot.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Előfizetések áthelyezése ARM-sablonban

Ha azure-Resource Manager-sablonban (ARM-sablonban) szeretne áthelyezni egy előfizetést, használja az alábbi sablont, és helyezze üzembe bérlői szinten.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Vagy a következő Bicep-fájl.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Felügyeleti csoportok áthelyezése

Felügyeleti csoportok áthelyezése a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza a Minden szolgáltatás>felügyeleti csoport lehetőséget.

3. Válassza ki azt a felügyeleti csoportot, amelyet szülőnek tervez.

4. A lap tetején válassza a Felügyeleti csoport hozzáadása lehetőséget.

5. A megnyíló menüben válassza ki, hogy új vagy meglévő felügyeleti csoportot szeretne-e használni.

   • Ha az új lehetőséget választja, létrejön egy új felügyeleti csoport.
   • Ha kiválaszt egy meglévőt, megjelenik az ebbe a felügyeleti csoportba áthelyezhető összes felügyeleti csoport legördülő listája.

   

6. Válassza a Mentés lehetőséget.

Felügyeleti csoportok áthelyezése a PowerShellben

A PowerShell Update-AzManagementGroup parancsával áthelyezhet egy felügyeleti csoportot egy másik csoportba.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Felügyeleti csoportok áthelyezése az Azure CLI-ben

A frissítési paranccsal áthelyezhet egy felügyeleti csoportot az Azure CLI-vel.

az account management-group update --name 'Contoso' --parent ContosoIT

Felügyeleti csoportok naplózása tevékenységnaplókkal

A felügyeleti csoportok támogatottak az Azure-tevékenységnaplóban. A felügyeleti csoportokkal kapcsolatos összes eseményt lekérdezheti ugyanazon a központi helyen, mint más Azure-erőforrások. Például megtekintheti egy adott felügyeleti csoporthoz tartozó összes szerepkör-hozzárendelés vagy szabályzat-hozzárendelés módosításait.

Az Azure Portalon kívüli felügyeleti csoportok lekérdezésekor a felügyeleti csoportok célhatóköre a következőhöz hasonlóan néz ki: "/ providers/Microsoft.Management/managementGroups/{yourMgID}".

Más erőforrás-szolgáltatók felügyeleti csoportjaira való hivatkozás

Ha felügyeleti csoportokra hivatkozik más erőforrás-szolgáltató műveleteiből, használja az alábbi elérési utat hatókörként. Ez az elérési út a PowerShell, az Azure CLI és a REST API-k használatakor használatos.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Az elérési út használatára példa, ha új szerepkör-hozzárendelést rendel egy felügyeleti csoporthoz a PowerShellben:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Ugyanazt a hatókör-elérési utat használja a rendszer egy felügyeleti csoport szabályzatdefinícióinak lekéréséhez.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Következő lépések

A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd:

• Felügyeleti csoportok létrehozása az Azure-erőforrások rendszerezéséhez
• Felügyeleti csoportok módosítása, törlése és kezelése
• Felügyeleti csoportok áttekintése az Azure PowerShell Erőforrások moduljában
• Felügyeleti csoportok áttekintése a REST API-ban
• Felügyeleti csoportok áttekintése az Azure CLI-ben