Mik az Azure-beli felügyeleti csoportok?

Ha szervezete számos Azure-előfizetéssel rendelkezik, akkor szükség lehet a hozzáférés, a szabályzatok és a megfelelőség hatékony kezelésére. A felügyeleti csoportok szabályozási hatókört biztosítanak az előfizetések felett. Az előfizetéseket felügyeleti csoportokba rendezheti, és az összes társított előfizetésre egymásra épülő szabályozási feltételeket alkalmazhatja.

A felügyeleti csoportok nagyvállalati szintű felügyeletet biztosítanak, függetlenül attól, hogy milyen típusú előfizetésekkel rendelkezik. Az egyetlen felügyeleti csoportban lévő összes előfizetésnek azonban ugyanabban az Azure Active Directory-bérlőben (Azure AD) kell megbíznia.

Alkalmazhat például olyan szabályzatokat egy felügyeleti csoportra, amelyek korlátozzák a virtuális gépek (VM-ek) létrehozásához elérhető régiókat. Ez a szabályzat az összes beágyazott felügyeleti csoportra, előfizetésre és erőforrásra alkalmazva lesz, és csak a jogosult régiókban engedélyezi a virtuális gépek létrehozását.

A felügyeleti csoportok és előfizetések hierarchiája

A felügyeleti csoportok és előfizetések rugalmas szerkezetének létrehozásával hierarchiába rendezheti erőforrásait az egységes szabályzat- és hozzáféréskezeléshez. Az alábbi ábrán egy példa látható szabályozási hierarchia létrehozására felügyeleti csoportok használatával.

Minta felügyeleticsoport-hierarchiát ábrázoló ábra.

A felügyeleti csoportokat és előfizetéseket is tartalmazó gyökérszintű felügyeleti csoport ábrája. Egyes gyermekfelügyeleti csoportok felügyeleti csoportokat, néhány előfizetést, mások pedig mindkettőt birtokolják. A mintahierarchiában az egyik példa a felügyeleti csoportok négy szintje, amelyek gyermekszintje az összes előfizetés.

Létrehozhat például egy szabályzatot alkalmazó hierarchiát, amely a "Production" nevű felügyeleti csoportban korlátozza a virtuális gépek helyét az USA nyugati régiójára. Ezt a szabályzatot a felügyeleti csoport alá tartozó összes nagyvállalati szerződéses (EA-) előfizetés örökli, és az előfizetések alá tartozó összes virtuális gépre érvényes lesz. Ezt a biztonsági szabályzatot az erőforrás vagy az előfizetés tulajdonosa nem módosíthatja, ez pedig hatékonyabb kontrollt biztosít.

Megjegyzés

A felügyeleti csoportok jelenleg nem támogatottak Microsoft Ügyfélszerződés (MCA) előfizetések Cost Management-szolgáltatásaiban.

A felügyeleti csoportok használatának másik esete, amikor egyszerre több előfizetéshez szeretne felhasználói hozzáférést biztosítani. Ha több előfizetést helyez át a felügyeleti csoport alá, létrehozhat egy Azure-szerepkör-hozzárendelést a felügyeleti csoportban, amely örökli a hozzáférést az összes előfizetéshez. A felügyeleti csoport egyik hozzárendelése lehetővé teszi a felhasználóknak, hogy mindenhez hozzáférhessenek, amire szükségük van, ahelyett, hogy az Azure RBAC-t különböző előfizetéseken keresztül szkriptelik.

A felügyeleti csoportokkal kapcsolatos fontos tudnivalók

  • A címtárak legfeljebb 10 000 felügyeleti csoportot támogatnak.
  • A felügyeleticsoport-fák legfeljebb hatszintűek lehetnek.
    • A korlátozásba nem tartozik bele a gyökérszint és az előfizetés szintje.
  • Felügyeleti csoportonként vagy előfizetésenként egy szülő támogatott.
  • Minden felügyeleti csoportnak több gyermeke lehet.
  • Az egyes címtárakban minden előfizetés és felügyeleti csoport egyetlen hierarchiában található. Tekintse meg A gyökérszintű felügyeleti csoport fontosabb jellemzői című szakaszt.

Az egyes címtárak gyökérszintű felügyeleti csoportja

Minden könyvtárhoz egyetlen legfelső szintű felügyeleti csoport, a gyökérszintű felügyeleti csoport tartozik. A gyökérszintű felügyeleti csoport be van építve a hierarchiába, hogy az összes felügyeleti csoport és előfizetés hozzá legyen osztva. Ez a gyökérszintű felügyeleti csoport lehetővé teszi a globális szabályzatok és az Azure-szerepkör-hozzárendelések címtárszinten történő alkalmazását. Az Azure AD globális rendszergazdájának először emelnie kell a jogosultsági szintjét, hogy a Felhasználói hozzáférés adminisztrátora szerepkörrel rendelkezzen a gyökérszintű csoport esetében. A hozzáférés emelése után a rendszergazda bármilyen Azure-szerepkört hozzárendelhet más címtárfelhasználókhoz vagy -csoportokhoz a hierarchia kezeléséhez. Rendszergazdaként hozzárendelheti saját fiókját a gyökérszintű felügyeleti csoport tulajdonosaként.

Fontos tények a gyökérszintű felügyeleti csoportról

  • Alapértelmezés szerint a gyökérszintű felügyeleti csoport megjelenített neve bérlői gyökércsoport , és felügyeleti csoportként működik. Az azonosító ugyanaz az érték, mint az Azure Active Directory (Azure AD) bérlőazonosítója.
  • A megjelenítendő név módosításához a fiókhoz tulajdonosi vagyközreműködői szerepkört kell hozzárendelni a gyökérszintű felügyeleti csoportban. Lásd: Felügyeleti csoport nevének módosítása a felügyeleti csoport nevének frissítéséhez.
  • A gyökérszintű felügyeleti csoportot a többi felügyeleti csoporttal szemben nem lehet törölni vagy áthelyezni.
  • A címtár összes előfizetése és felügyeleti csoportja a gyökérszintű felügyeleti csoport alá kerül.
    • A globális felügyelet érdekében a címtár erőforrásai is a gyökérszintű felügyeleti csoport alá kerülnek.
    • Az újonnan létrehozott előfizetések alapértelmezés szerint a gyökérszintű felügyeleti csoporthoz tartoznak.
  • A gyökérszintű felügyeleti csoport az összes Azure-ügyfél számára látható, de nem mindegyikük rendelkezik hozzáféréssel a kezeléséhez.
    • Bárki, aki hozzáféréssel rendelkezik egy adott előfizetéshez, láthatja, hogy az hol helyezkedik el a hierarchiában.
    • Senki nem kap alapértelmezés szerint hozzáférést a gyökérszintű felügyeleti csoporthoz. Kizárólag az Azure AD globális rendszergazdái emelhetik meg jogosultsági szintjüket, hogy hozzáférést kapjanak. Miután hozzáfértek a gyökérszintű felügyeleti csoporthoz, a globális rendszergazdák bármilyen Azure-szerepkört hozzárendelhetnek más felhasználókhoz a kezelésükhöz.

Fontos

A gyökérszintű felügyeleti csoport felhasználói hozzáférésének vagy szabályzatának hozzárendelése a címtárban található összes erőforrásra vonatkozik. Ezért minden ügyfélnek fel kell mérnie, mire van szüksége ebben a hatókörben. A felhasználói hozzáférések és a szabályzatok hozzárendelései csak ebben a hatókörben lehetnek kötelezőek.

A felügyeleti csoportok kezdeti beállítása

A felügyeleti csoportok használatának megkezdésekor először egy beállítási folyamat történik. A folyamat első lépéseként létrejön a gyökérszintű felügyeleti csoport a címtárban. A csoport létrehozása után a címtárban található összes meglévő előfizetés a gyökérszintű felügyeleti csoport gyermekeként lesz beállítva. A folyamat célja, hogy egy adott címtáron belül csak egy felügyeleticsoport-hierarchia legyen. Az egyetlen hierarchia beállítása lehetővé teszi a rendszergazdai ügyfelek számára globális hozzáférések és szabályzatok alkalmazását, amelyeket a címtárat használó többi ügyfél nem tud megkerülni. A gyökérszintű hozzárendelések a teljes hierarchiára vonatkoznak, beleértve az összes felügyeleti csoportot, előfizetést, erőforráscsoportot és erőforrást az adott Azure AD bérlőn belül.

Nem látható az összes előfizetés

Néhány címtár, amely 2018. június 25-e előtt kezdte el használni a felügyeleti csoportokat az előzetes verzióban, olyan problémát észlelt, amely miatt nem minden előfizetés volt a hierarchiában. Az előfizetéseket a hierarchiába helyező eljárás azután lett megvalósítva, hogy egy szerepkör- vagy szabályzat-hozzárendelés végre lett hajtva a címtár gyökérszintű felügyeleti csoportján.

A probléma elhárítása

A probléma megoldására két lehetősége van.

  • Az összes szerepkör- és szabályzat-hozzárendelés eltávolítása a gyökérszintű felügyeleti csoportból
    • Ha eltávolítja a szabályzat- és szerepkör-hozzárendeléseket a gyökérszintű felügyeleti csoportból, a szolgáltatás az összes előfizetést visszatölti a hierarchiába a következő éjszakai ciklusban. Ennek a folyamatnak az a célja, hogy a hozzáférések vagy szabályzat-hozzárendelések kiosztása nehogy véletlenül érvényes legyen az összes bérlői előfizetésre.
    • Ennek a folyamatnak a legjobb módja, ha a szolgáltatások befolyásolása nélkül alkalmazza a szerepkör- vagy szabályzat-hozzárendeléseket egy szinttel a gyökérszintű felügyeleti csoport alatt. Ezután eltávolíthatja az összes hozzárendelést a gyökérszintű hatókörből.
  • A visszatöltési folyamat elindítása az API közvetlen meghívásával
    • A címtár bármelyik ügyfele meghívhatja a TenantBackfillStatusRequest vagy a StartTenantBackfillRequest API-t. A StartTenantBackfillRequest API a meghívásakor elindítja az összes előfizetés a hierarchiába való átvitelére vonatkozó kezdeti konfigurációs folyamatot. A folyamat azt az eljárást is elindítja, amely az összes új előfizetést a gyökérszintű felügyeleti csoport gyermekeként érvényesíti. Ennek az eljárásnak a végrehajtásakor nem szükséges a gyökérszinten módosítani a hozzárendeléseket. Az API meghívásával jóváhagyja, hogy a gyökérszinten jelen lévő szabályzatok és hozzáférési hozzárendelések az összes előfizetésre alkalmazhatók.

Ha kérdése van a visszatöltési folyamatot illetően, lépjen kapcsolatba velünk a következő e-mail-címen: managementgroups@microsoft.com

Hozzáférés a felügyeleti csoportokhoz

Az Azure felügyeleti csoportjai támogatják az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC) az összes erőforrás-hozzáféréshez és szerepkör-definícióhoz. Ezeket az engedélyeket a hierarchiában található összes gyermek erőforrás örökli. Bármely Azure-szerepkör hozzárendelhető egy olyan felügyeleti csoporthoz, amely örökli az erőforrások hierarchiáját. Az Azure-beli szerepkör virtuálisgép-közreműködője például hozzárendelhető egy felügyeleti csoporthoz. Ez a szerepkör nem végez műveletet a felügyeleti csoporton, de a csoport alá tartozó összes virtuális gép örökli.

Az alábbi ábrán a felügyeleti csoportokkal kapcsolatos szerepkörök és támogatott műveletek listája látható.

Azure-szerepkör neve Létrehozás Átnevezés Áthelyezés** Törlés Hozzáférés hozzárendelése Szabályzat hozzárendelése Olvasás
Tulajdonos X X X X X X X
Közreműködő X X X X X
Felügyeleti csoport közreműködője* X X X X X
Olvasó X
Felügyeleti csoport olvasója* X
Erőforrás-szabályzat közreműködője X
Felhasználói hozzáférés rendszergazdája X X

*: A felügyeleti csoport közreműködői és a felügyeleticsoport-olvasó szerepkör lehetővé teszi, hogy a felhasználók csak a felügyeleti csoport hatókörén hajthatják végre ezeket a műveleteket.

**: Az előfizetések vagy felügyeleti csoportok áthelyezéséhez nem szükséges szerepkör-hozzárendeléseket végezni a gyökérszintű felügyeleti csoportban.

A hierarchián belüli elemek áthelyezésének részleteiért tekintse meg az Erőforrások kezelése felügyeleti csoportokkal című szakaszt.

Egyéni Azure-szerepkördefiníció és -hozzárendelés

A felügyeleti csoportok azure-beli egyéni szerepköreinek támogatása jelenleg előzetes verzióban érhető el bizonyos korlátozásokkal. A felügyeleti csoportok hatóköre a szerepkör-definíció hozzárendelhető hatókörében határozható meg. Ez az egyéni Azure-szerepkör ezután hozzárendelhető lesz az adott felügyeleti csoporthoz és az alatta lévő felügyeleti csoporthoz, előfizetéshez, erőforráscsoporthoz vagy erőforráshoz. Az egyéni szerepkör ugyanúgy öröklődik lefelé a hierarchián belül, mint a beépített szerepkörök.

Példadefiníció

Az egyéni szerepkörök definiálása és létrehozása nem változik a felügyeleti csoportok belefoglalásával. A felügyeleti csoport /providers/Microsoft.Management/managementgroups/{groupId} meghatározásához használja a teljes elérési utat.

Ne a felügyeleti csoport megjelenítendő nevét, hanem a felügyeleti csoport azonosítóját használja. Ez a gyakori hiba azért fordul elő, mert a felügyeleti csoportok létrehozásakor mindkettő egyénileg definiált mező.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

A szerepkör-definíció és a hozzárendelési hierarchia elérési útjának megszakításával kapcsolatos problémák

A szerepkör-definíciók a felügyeleti csoport hierarchiájának bármely pontján hozzárendelhetők. A szerepkör-definíció meghatározható egy szülő felügyeleti csoportban, miközben a tényleges szerepkör-hozzárendelés létezik a gyermek-előfizetésben. Mivel a két elem között kapcsolat van, hibaüzenet jelenik meg, amikor megpróbálja elválasztani a hozzárendelést a definíciójától.

Tekintsük meg például egy vizualizáció hierarchiájának egy kis részét.

A minta felügyeleticsoport-hierarchia egy részhalmazának ábrája.

A diagram a gyökérszintű felügyeleti csoportra összpontosít, gyermek I T és Marketing felügyeleti csoportokkal. Az I T felügyeleti csoport egyetlen, Production nevű gyermekfelügyeleti csoporttal rendelkezik, míg a Marketing felügyeleti csoport két ingyenes próbaverziós gyermek-előfizetéssel rendelkezik.

Tegyük fel, hogy egy egyéni szerepkör van definiálva a Marketing felügyeleti csoportban. Ezt az egyéni szerepkört ezután hozzárendeli a két ingyenes próbaverziós előfizetéshez.

Ha az egyik előfizetést az Éles környezet felügyeleti csoport gyermekének próbáljuk áthelyezni, ez az áthelyezés megszakítja az előfizetési szerepkörök hozzárendelésének elérési útját a marketingkezelési csoport szerepkör-definíciójára. Ebben a forgatókönyvben hibaüzenet jelenik meg, amely szerint az áthelyezés nem engedélyezett, mivel ez megszakítja ezt a kapcsolatot.

Ezt a forgatókönyvet többféleképpen is kijavíthatja:

  • Távolítsa el a szerepkör-hozzárendelést az előfizetésből, mielőtt áthelyezné az előfizetést egy új szülő MG-be.
  • Adja hozzá az előfizetést a szerepkör-definíció hozzárendelhető hatóköréhez.
  • Módosítsa a hozzárendelhető hatókört a szerepkör-definíción belül. A fenti példában frissítheti a hozzárendelhető hatóköröket a marketingtől a gyökérszintű felügyeleti csoportig, hogy a hierarchia mindkét ága elérhesse a definíciót.
  • Hozzon létre egy másik, a másik ágban definiált egyéni szerepkört. Ehhez az új szerepkörhöz a szerepkör-hozzárendelést is módosítani kell az előfizetésen.

Korlátozások

A felügyeleti csoportok egyéni szerepköreinek használatakor korlátozások vonatkoznak.

  • Egy új szerepkör hozzárendelhető hatóköreiben csak egy felügyeleti csoportot definiálhat. Ezzel a korlátozással csökkenthető azoknak a helyzeteknek a száma, amelyekben a szerepkör-definíciók és a szerepkör-hozzárendelések nincsenek leválasztva. Ez a helyzet akkor fordul elő, ha egy szerepkör-hozzárendeléssel rendelkező előfizetés vagy felügyeleti csoport egy másik szülőre kerül, amely nem rendelkezik a szerepkör-definícióval.
  • Az erőforrás-szolgáltató adatsíkjának műveletei nem határozhatók meg a felügyeleti csoport egyéni szerepköreiben. Ez a korlátozás azért van érvényben, mert késési probléma merült fel az adatsík erőforrás-szolgáltatóinak frissítésével kapcsolatban. Ez a késési probléma már dolgozik, és ezek a műveletek le lesznek tiltva a szerepkör-definícióból a kockázatok csökkentése érdekében.
  • Az Azure Resource Manager nem ellenőrzi a felügyeleti csoport meglétét a szerepkör-definíció hozzárendelhető hatókörében. Ha elírás vagy helytelen felügyeleticsoport-azonosító szerepel a listában, a szerepkör-definíció továbbra is létrejön.
  • A szerepkörök dataActions használatával történő szerepkör-hozzárendelése nem támogatott. Ehelyett hozza létre a szerepkör-hozzárendelést az előfizetés hatókörében.

Fontos

Felügyeleti csoport AssignableScopes hozzáadása jelenleg előzetes verzióban érhető el. Ez az előzetes verzió szolgáltatói szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Felügyeleti csoportok és előfizetések áthelyezése

Ha egy felügyeleti csoportot vagy előfizetést egy másik felügyeleti csoport gyermekének szeretne áthelyezni, három szabályt kell igazként értékelni.

Ha az áthelyezési műveletet hajtja végre, a következőkre lesz szüksége:

  • A felügyeleti csoport írási és szerepkör-hozzárendelési írási engedélyei a gyermek-előfizetéshez vagy felügyeleti csoporthoz.
    • Beépített példa szerepkörre: Tulajdonos
  • A felügyeleti csoport írási hozzáférése a cél szülő felügyeleti csoporthoz.
    • Beépített példa szerepkörre: Tulajdonos, Közreműködő, Felügyeleti csoport közreműködője
  • A felügyeleti csoport írási hozzáférése a meglévő szülő felügyeleti csoporthoz.
    • Beépített példa szerepkörre: Tulajdonos, Közreműködő, Felügyeleti csoport közreműködője

Kivétel: Ha a cél vagy a meglévő szülő felügyeleti csoport a gyökérszintű felügyeleti csoport, az engedélyekre vonatkozó követelmények nem érvényesek. Mivel az összes új felügyeleti csoport és előfizetés esetében a gyökérszintű felügyeleti csoport az alapértelmezett kezdőhely, nincs szükség az elemek áthelyezéséhez szükséges engedélyekre.

Ha az előfizetés tulajdonosi szerepköre az aktuális felügyeleti csoporttól öröklődik, az áthelyezési célok korlátozottak. Az előfizetést csak olyan felügyeleti csoportba helyezheti át, amelyben tulajdonosi szerepköre van. Nem helyezheti át olyan felügyeleti csoportba, ahol Közreműködő , mert elveszíti az előfizetés tulajdonjogát. Ha közvetlenül hozzá van rendelve az előfizetés tulajdonosi szerepköréhez (nem a felügyeleti csoporttól öröklődik), áthelyezheti azt bármely olyan felügyeleti csoportba, amelyhez a Közreműködő szerepkör van hozzárendelve.

Fontos

Az Azure Resource Manager legfeljebb 30 percig gyorsítótárazza a felügyeleti csoport hierarchiájának részleteit. Emiatt előfordulhat, hogy a felügyeleti csoport áthelyezése nem jelenik meg azonnal a Azure Portal.

Felügyeleti csoportok naplózása tevékenységnaplókkal

A felügyeleti csoportok az Azure-tevékenységnaplóban támogatottak. A felügyeleti csoportokkal kapcsolatos minden eseményre ugyanarról a központi helyről kereshet rá, mint más Azure-erőforrások esetében. Megtekintheti például az adott felügyeleti csoporthoz tartozó összes szerepkör-hozzárendelést vagy szabályzat-hozzárendelési módosítást.

Képernyőkép a kiválasztott felügyeleti csoporthoz kapcsolódó tevékenységnaplókról és műveletekről.

A Azure Portal kívüli felügyeleti csoportok lekérdezéséhez a felügyeleti csoportok céltartománya a következőképpen néz ki: "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Megjegyzés

Az Azure Resource Manager REST API használatával engedélyezheti a felügyeleti csoport diagnosztikai beállításait, hogy kapcsolódó Azure-tevékenységnapló-bejegyzéseket küldjön egy Log Analytics-munkaterületre, az Azure Storage-ba vagy az Azure Event Hubba. További információ: Felügyeleti csoport diagnosztikai beállításai – Létrehozás vagy frissítés.

Következő lépések

A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd: