Mik az Azure-beli felügyeleti csoportok?
Ha szervezete számos Azure-előfizetéssel rendelkezik, szükség lehet arra, hogy hatékonyan kezelje az előfizetések hozzáférését, szabályzatait és megfelelőségét. A felügyeleti csoportok szabályozási hatókört biztosítanak az előfizetések felett. Ha felügyeleti csoportokba rendezi az előfizetéseket, az összes társított előfizetésre öröklődés alapján kaszkádolt szabályozási feltételek vonatkoznak.
A felügyeleti csoportok nagyvállalati szintű felügyeletet biztosítanak, függetlenül attól, hogy milyen típusú előfizetéssel rendelkezik. Az egyetlen felügyeleti csoportban lévő összes előfizetésnek azonban ugyanabban a Microsoft Entra-bérlőben kell megbíznia.
Alkalmazhat például egy szabályzatot egy olyan felügyeleti csoportra, amely korlátozza a virtuális gép (VM) létrehozására rendelkezésre álló régiókat. Ezt a szabályzatot az összes beágyazott felügyeleti csoportra, előfizetésre és erőforrásra alkalmazni kell, hogy a virtuális gépek létrehozása csak engedélyezett régiókban legyen engedélyezve.
A felügyeleti csoportok és előfizetések hierarchiája
A felügyeleti csoportok és előfizetések rugalmas szerkezetének létrehozásával hierarchiába rendezheti erőforrásait az egységes szabályzat- és hozzáféréskezeléshez. Az alábbi ábrán egy példa látható szabályozási hierarchia létrehozására felügyeleti csoportok használatával.
A felügyeleti csoportokat és előfizetéseket egyaránt tartalmazó gyökérszintű felügyeleti csoport ábrája. Néhány gyermekfelügyeleti csoport rendelkezik felügyeleti csoportokkal, néhány előfizetéssel, és van, aki mindkettőt visszatartja. A mintahierarchia egyik példája a felügyeleti csoportok négy szintje, amelyek mindegyik előfizetése gyermekszinten van.
Létrehozhat egy olyan hierarchiát, amely olyan szabályzatot alkalmaz, amely például a VM-helyeket az USA nyugati régiójára korlátozza a Corp nevű felügyeleti csoportban. Ez a szabályzat örökli az összes olyan Nagyvállalati Szerződés (EA) előfizetést, amely a felügyeleti csoport leszármazottja, és az előfizetések alatt lévő összes virtuális gépre érvényes lesz. Az erőforrás vagy az előfizetés tulajdonosa nem módosíthatja ezt a biztonsági szabályzatot, hogy jobb szabályozást lehessen lehetővé tenni.
Feljegyzés
A felügyeleti csoportok jelenleg nem támogatottak Microsoft Ügyfélszerződés (MCA) előfizetések költségkezelési funkcióiban.
A felügyeleti csoportok használatának másik esete, amikor egyszerre több előfizetéshez szeretne felhasználói hozzáférést biztosítani. Ha több előfizetést helyez át egy felügyeleti csoport alá, létrehozhat egy Azure-szerepkör-hozzárendelést a felügyeleti csoportban. A szerepkör örökli az összes előfizetéshez való hozzáférést. A felügyeleti csoport egyik hozzárendelése lehetővé teszi a felhasználók számára, hogy mindenhez hozzáférhessenek, amire szükségük van, ahelyett, hogy azure-beli szerepköralapú hozzáférés-vezérlést (RBAC) szkriptelnének különböző előfizetéseken keresztül.
A felügyeleti csoportokkal kapcsolatos fontos tudnivalók
Egyetlen címtár 10 000 felügyeleti csoportot támogat.
A felügyeleticsoport-fák legfeljebb hatszintűek lehetnek.
A korlátozásba nem tartozik bele a gyökérszint és az előfizetés szintje.
Minden felügyeleti csoport és előfizetés csak egy szülőt támogat.
Minden felügyeleti csoportnak több gyermeke lehet.
Az egyes címtárakban minden előfizetés és felügyeleti csoport egyetlen hierarchiában található. További információ: A gyökérszintű felügyeleti csoport fontos adatai a cikk későbbi részében.
Az egyes címtárak gyökérszintű felügyeleti csoportja
Minden könyvtárnak egyetlen legfelső szintű felügyeleti csoportja van, amelyet gyökérszintű felügyeleti csoportnak hívnak. A gyökérszintű felügyeleti csoport úgy van beépítve a hierarchiába, hogy az összes felügyeleti csoport és előfizetés összecsukható legyen.
A gyökérszintű felügyeleti csoport lehetővé teszi globális szabályzatok és Azure-szerepkör-hozzárendelések címtárszintű alkalmazását. Kezdetben a legfelső szintű hozzáférés az összes Azure-előfizetés és felügyeleti csoport kezeléséhez a gyökércsoport Felhasználói hozzáférés-rendszergazda szerepköréhez. A hozzáférés emelése után a rendszergazda bármilyen Azure-szerepkört hozzárendelhet más címtárfelhasználókhoz vagy csoportokhoz a hierarchia kezeléséhez. Rendszergazdaként hozzárendelheti a fiókját a gyökérszintű felügyeleti csoport tulajdonosaként.
Fontos tudnivalók a gyökérszintű felügyeleti csoportról
- Alapértelmezés szerint a gyökérszintű felügyeleti csoport megjelenítendő neve bérlői gyökércsoport, és felügyeleti csoportként működik. Az azonosító ugyanaz az érték, mint a Microsoft Entra-bérlőazonosító.
- A megjelenítendő név módosításához a fiók tulajdonosi vagy közreműködői szerepkörével kell rendelkeznie a gyökérszintű felügyeleti csoportban. További információ: Felügyeleti csoport nevének módosítása.
- A gyökérszintű felügyeleti csoportot a többi felügyeleti csoporttal szemben nem lehet törölni vagy áthelyezni.
- Minden előfizetés és felügyeleti csoport egyetlen gyökérszintű felügyeleti csoportra van állítva a címtárban.
- A globális felügyelet érdekében a címtár erőforrásai is a gyökérszintű felügyeleti csoport alá kerülnek.
- Az új előfizetések létrehozásakor az új előfizetések automatikusan alapértelmezés szerint a gyökérszintű felügyeleti csoporthoz lesznek bekapcsolva.
- A gyökérszintű felügyeleti csoport az összes Azure-ügyfél számára látható, de nem mindegyikük rendelkezik hozzáféréssel a kezeléséhez.
- Bárki, aki hozzáféréssel rendelkezik egy adott előfizetéshez, láthatja, hogy az hol helyezkedik el a hierarchiában.
- Senki sem rendelkezik alapértelmezett hozzáféréssel a gyökérszintű felügyeleti csoporthoz. A Microsoft Entra globális rendszergazdái az egyetlen felhasználók, akik emelhetik magukat a hozzáférés megszerzéséhez. Miután hozzáfértek a gyökérszintű felügyeleti csoporthoz, bármilyen Azure-szerepkört hozzárendelhetnek más felhasználókhoz a csoport kezeléséhez.
Fontos
A gyökérszintű felügyeleti csoport felhasználói hozzáférésének vagy szabályzatának hozzárendelése a címtárban lévő összes erőforrásra vonatkozik. Emiatt a hozzáférési szint miatt minden ügyfélnek értékelnie kell, hogy szükség van-e a hatókörben definiált elemekre. A felhasználói hozzáférésnek és a szabályzat-hozzárendeléseknek csak ebben a hatókörben kell "rendelkezniük".
A felügyeleti csoportok kezdeti beállítása
Amikor bármely felhasználó elkezd felügyeleti csoportokat használni, kezdeti beállítási folyamat történik. Az első lépés a gyökérszintű felügyeleti csoport létrehozása a címtárban. A címtárban meglévő összes meglévő előfizetés a gyökérszintű felügyeleti csoport gyermekévé válik.
A folyamat célja, hogy egy adott címtáron belül csak egy felügyeleticsoport-hierarchia legyen. Az egyetlen hierarchia beállítása lehetővé teszi a rendszergazdai ügyfelek számára globális hozzáférések és szabályzatok alkalmazását, amelyeket a címtárat használó többi ügyfél nem tud megkerülni.
A gyökéren hozzárendelt összes elem a teljes hierarchiára vonatkozik. Ez azt jelzi, hogy az adott Microsoft Entra-bérlőn belüli összes felügyeleti csoportra, előfizetésre, erőforráscsoportra és erőforrásra vonatkozik.
Hozzáférés a felügyeleti csoportokhoz
Az Azure felügyeleti csoportjai támogatják az Azure RBAC-t az összes erőforrás-hozzáféréshez és szerepkör-definícióhoz. A hierarchiában található gyermekerőforrások öröklik ezeket az engedélyeket. Bármely Azure-szerepkör hozzárendelhető egy felügyeleti csoporthoz, amely örökli az erőforrások hierarchiáját.
Hozzárendelheti például az Azure-beli szerepkörhöz tartozó virtuálisgép-közreműködőt egy felügyeleti csoporthoz. Ez a szerepkör nem rendelkezik művelettel a felügyeleti csoporton, de örökli az adott felügyeleti csoport összes virtuális gépét.
Az alábbi ábrán a felügyeleti csoportokkal kapcsolatos szerepkörök és támogatott műveletek listája látható.
Azure-szerepkör neve | Létrehozás | Átnevez | Áthelyezés** | Törlés | Hozzáférés hozzárendelése | Szabályzat hozzárendelése | Olvasás |
---|---|---|---|---|---|---|---|
Tulajdonos | X | X | X | X | X | X | X |
Közreműködő | X | X | X | X | X | ||
Felügyeleti csoport közreműködője* | X | X | X | X | X | ||
Olvasó | X | ||||||
Felügyeleti csoport olvasója* | X | ||||||
Erőforrás-szabályzat közreműködője | X | ||||||
Felhasználói hozzáférés adminisztrátora | X | X |
*: Ezek a szerepkörök lehetővé teszik a felhasználók számára, hogy csak a felügyeleti csoport hatókörén hajtják végre a megadott műveleteket.
**: A gyökérszintű felügyeleti csoport szerepkör-hozzárendelései nem szükségesek az előfizetés vagy a felügyeleti csoport áthelyezéséhez.
A hierarchián belüli elemek áthelyezésével kapcsolatos részletekért lásd : Erőforrások kezelése felügyeleti csoportokkal.
Egyéni Azure-szerepkördefiníció és -hozzárendelés
Egy felügyeleti csoportot hozzárendelhető hatókörként definiálhat egy Azure-beli egyéni szerepkör-definícióban. Az Azure-beli egyéni szerepkör ezután hozzárendelhető lesz az adott felügyeleti csoporthoz és az alatta lévő felügyeleti csoporthoz, előfizetéshez, erőforráscsoporthoz vagy erőforráshoz. Az egyéni szerepkör minden beépített szerepkörhez hasonlóan örökli a hierarchiát.
Az egyéni szerepkörökkel és felügyeleti csoportokkal kapcsolatos korlátozásokról a jelen cikk későbbi, korlátozások című szakaszában olvashat.
Példadefiníció
Az egyéni szerepkörök definiálása és létrehozása nem változik a felügyeleti csoportok belefoglalásával. A felügyeleti csoport definiálásához használja a teljes elérési utat: /providers/Microsoft.Management/managementgroups/{_groupId_}
.
A felügyeleti csoport azonosítóját használja, és ne a felügyeleti csoport megjelenítendő nevét. Ez a gyakori hiba azért fordul elő, mert mindkettő egyénileg definiált mező egy felügyeleti csoport létrehozásakor.
...
{
"Name": "MG Test Custom Role",
"Id": "id",
"IsCustom": true,
"Description": "This role provides members understand custom roles.",
"Actions": [
"Microsoft.Management/managementGroups/delete",
"Microsoft.Management/managementGroups/read",
"Microsoft.Management/managementGroups/write",
"Microsoft.Management/managementGroups/subscriptions/delete",
"Microsoft.Management/managementGroups/subscriptions/write",
"Microsoft.resources/subscriptions/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.PolicyInsights/*",
"Microsoft.Authorization/roleAssignments/*",
"Microsoft.Authorization/roledefinitions/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/providers/microsoft.management/managementGroups/ContosoCorporate"
]
}
...
A szerepkördefiníció és a hozzárendelési hierarchia elérési útjának feltörése
A szerepkör-definíciók a felügyeleti csoport hierarchiájának bármely pontján hozzárendelhető hatókörök. A szerepkördefiníciók lehetnek szülőfelügyeleti csoportokban, míg a tényleges szerepkör-hozzárendelés a gyermek-előfizetésben található. Mivel a két elem között kapcsolat van, hibaüzenet jelenik meg, ha megpróbálja elválasztani a hozzárendelést a definíciójától.
Vegyük például a következő példát egy hierarchia egy kis szakaszára.
A diagram a gyermek kezdőzónákkal és tesztkörnyezet-felügyeleti csoportokkal rendelkező gyökérszintű felügyeleti csoportra összpontosít. A kezdőzónák felügyeleti csoportjának két gyermekfelügyeleti csoportja van Corp és Online néven, míg a tesztkörnyezet felügyeleti csoportja két gyermek-előfizetéssel rendelkezik.
Tegyük fel, hogy egy egyéni szerepkör van definiálva a tesztkörnyezet felügyeleti csoportjában. Ezt az egyéni szerepkört ezután hozzárendeli a rendszer a két tesztkörnyezet-előfizetéshez.
Ha az egyik előfizetést a Corp felügyeleti csoport gyermekének szeretné áthelyezni, akkor megszakítja az előfizetési szerepkör-hozzárendelés elérési útját a tesztkörnyezet-felügyeleti csoport szerepkördefiníciójára. Ebben a forgatókönyvben hibaüzenet jelenik meg, amely szerint az áthelyezés nem engedélyezett, mert az megszakítja ezt a kapcsolatot.
A forgatókönyv megoldásához az alábbi lehetőségek állnak rendelkezésére:
- Távolítsa el a szerepkör-hozzárendelést az előfizetésből, mielőtt áthelyezné az előfizetést egy új szülőfelügyeleti csoportra.
- Adja hozzá az előfizetést a szerepkördefiníció hozzárendelhető hatóköréhez.
- Módosítsa a hozzárendelhető hatókört a szerepkör-definíción belül. Ebben a példában frissítheti a hozzárendelhető hatóköröket a tesztkörnyezet felügyeleti csoportjából a gyökérszintű felügyeleti csoportra, hogy a hierarchia mindkét ága elérje a definíciót.
- Hozzon létre egy másik egyéni szerepkört, amely a másik ágban van definiálva. Ez az új szerepkör azt is megköveteli, hogy módosítsa a szerepkört az előfizetésen.
Korlátozások
A felügyeleti csoportokban az egyéni szerepkörök használatára korlátozások vonatkoznak:
- Egy új szerepkör hozzárendelhető hatóköreiben csak egy felügyeleti csoportot definiálhat. Ez a korlátozás csökkenti azoknak a helyzeteknek a számát, amelyekben a szerepkör-definíciók és a szerepkör-hozzárendelések leválasztva vannak. Ez a helyzet akkor fordul elő, ha egy szerepkör-hozzárendeléssel rendelkező előfizetés vagy felügyeleti csoport egy másik szülőre kerül, amely nem rendelkezik a szerepkördefinícióval.
DataActions
művelettel rendelkező egyéni szerepkörök nem rendelhetők felügyeleti csoport hatókörhöz. További információ: Egyéni szerepkörkorlátok.- Az Azure Resource Manager nem ellenőrzi, hogy a felügyeleti csoport létezik-e a szerepkör-definíció hozzárendelhető hatókörében. Elírás vagy helytelen felügyeleti csoportazonosító esetén a szerepkördefiníció továbbra is létrejön.
Felügyeleti csoportok és előfizetések áthelyezése
Ha egy felügyeleti csoportot vagy előfizetést egy másik felügyeleti csoport gyermekének szeretne áthelyezni, a következőkre van szüksége:
- A felügyeleti csoport írási engedélyei és a szerepkör-hozzárendelés írási engedélyei a gyermek-előfizetésen vagy felügyeleti csoporton.
- Beépített szerepkör– példa: Tulajdonos
- A felügyeleti csoport írási hozzáférése a cél szülő felügyeleti csoporton.
- Beépített szerepkör példa: Tulajdonos, Közreműködő, Felügyeleti csoport közreműködője
- A felügyeleti csoport írási hozzáférése a meglévő szülő felügyeleti csoporton.
- Beépített szerepkör példa: Tulajdonos, Közreműködő, Felügyeleti csoport közreműködője
Kivétel van: ha a cél vagy a meglévő szülő felügyeleti csoport a gyökérszintű felügyeleti csoport, az engedélykövetelmények nem érvényesek. Mivel az összes új felügyeleti csoport és előfizetés esetében a gyökérszintű felügyeleti csoport az alapértelmezett kezdőhely, nincs szükség az elemek áthelyezéséhez szükséges engedélyekre.
Ha az előfizetés tulajdonosi szerepköre az aktuális felügyeleti csoporttól öröklődik, az áthelyezési célok korlátozottak. Az előfizetést csak egy másik felügyeleti csoportba helyezheti át, ahol tulajdonosi szerepköre van. Nem helyezheti át az előfizetést olyan felügyeleti csoportba, ahol csak Közreműködő, mert elveszíti az előfizetés tulajdonjogát. Ha közvetlenül az előfizetés tulajdonosi szerepköréhez van rendelve, áthelyezheti azt bármely olyan felügyeleti csoportba, ahol a Közreműködő szerepkör van.
Fontos
Az Azure Resource Manager legfeljebb 30 percig gyorsítótárazza a felügyeleti csoport hierarchiájának részleteit. Ennek eredményeképpen előfordulhat, hogy az Azure Portal nem jeleníti meg azonnal, hogy áthelyezett egy felügyeleti csoportot.
Felügyeleti csoportok naplózása tevékenységnaplók használatával
A felügyeleti csoportok támogatottak az Azure Monitor tevékenységnaplóiban. Az összes olyan eseményt lekérdezheti, amely egy felügyeleti csoportnál történik ugyanazon a központi helyen, mint a többi Azure-erőforrás. Megtekintheti például egy adott felügyeleti csoport szerepkör-hozzárendeléseit vagy szabályzat-hozzárendelési módosításait.
Ha az Azure Portalon kívüli felügyeleti csoportokról szeretne lekérdezést végezni, a felügyeleti csoportok céltartománya a következőképpen "/providers/Microsoft.Management/managementGroups/{management-group-id}"
néz ki.
Feljegyzés
Az Azure Resource Manager REST API használatával engedélyezheti a felügyeleti csoport diagnosztikai beállításait, hogy kapcsolódó Azure Monitor-tevékenységnapló-bejegyzéseket küldjön egy Log Analytics-munkaterületre, az Azure Storage-ba vagy az Azure Event Hubsba. További információ: Felügyeleti csoport diagnosztikai beállításai: Létrehozás vagy frissítés.
Kapcsolódó tartalom
A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd: