Felügyeleti csoportok
Felügyeleti csoportok használatával rendszerezheti és szabályozhatja Azure-előfizetéseit. Az előfizetések számának növekedésével a felügyeleti csoportok kritikus struktúrát biztosítanak az Azure-környezet számára, és megkönnyítik az előfizetések kezelését. Az alábbi útmutatóval hatékony felügyeleticsoport-hierarchiát hozhat létre, és az ajánlott eljárásoknak megfelelően rendszerezheti előfizetéseit.
A felügyeleti csoport tervezési szempontjai
A Microsoft Entra-bérlők felügyeleticsoport-struktúrái támogatják a szervezeti leképezést. Alaposan fontolja meg a felügyeleti csoport struktúráját, amikor a szervezet nagy léptékben tervezi az Azure bevezetését.
Annak meghatározása, hogy a szervezet hogyan választja el azokat a szolgáltatásokat, amelyeket az adott csapatok birtokolnak vagy működtetnek.
Határozza meg, hogy rendelkezik-e olyan speciális funkciókkal, amelyeket külön kell tartania olyan okok miatt, mint az üzleti követelmények, a működési követelmények, a szabályozási követelmények, az adattárolás, az adatbiztonság vagy az adatok szuverenitásának megfelelősége.
Felügyeleti csoportok használatával összesítheti a szabályzat- és kezdeményezési hozzárendeléseket az Azure Policy használatával.
Engedélyezze az Azure szerepköralapú hozzáférés-vezérlési (RBAC) engedélyezését a felügyeleti csoport műveleteihez az alapértelmezett engedélyezés felülbírálásához. Alapértelmezés szerint a Microsoft Entra-bérlőn belül bármely egyszerű felhasználó vagy szolgáltatásnév létrehozhat új felügyeleti csoportokat. További információ: Hogyan védheti meg az erőforráshierarchiát.
Vegye figyelembe a következő tényezőket is:
A felügyeleti csoportfa akár hat mélységi szintet is támogathat. Ez a korlát nem tartalmazza a bérlői gyökérszintet és az előfizetési szintet.
Az összes új előfizetés alapértelmezés szerint a bérlő gyökérszintű felügyeleti csoportjába kerül.
További információ: Felügyeleti csoportok.
Felügyeleti csoportra vonatkozó javaslatok
A felügyeleti csoport hierarchiájának viszonylag egyenletesen kell lennie, ideális esetben legfeljebb három-négy szinttel. Ez a korlátozás csökkenti a felügyeleti többletterhelést és a bonyolultságot.
Ne duplikálja a szervezeti struktúrát mélyen beágyazott felügyeleti csoportok hierarchiájába. A szabályzat-hozzárendeléshez és a számlázási célokhoz használjon felügyeleti csoportokat. Ehhez a megközelítéshez használjon felügyeleti csoportokat a céljukhoz az Azure-beli célzóna fogalmi architektúrájában. Ez az architektúra Azure-szabályzatokat biztosít olyan számítási feladatokhoz, amelyek ugyanolyan típusú biztonságot és megfelelőséget igényelnek ugyanazon felügyeleti csoport szintjén.
Hozzon létre felügyeleti csoportokat a gyökérszintű felügyeleti csoport alatt a üzemeltetett számítási feladatok típusainak megjelenítéséhez. Ezek a csoportok a számítási feladatok biztonsági, megfelelőségi, kapcsolati és funkcióigényén alapulnak. Ezzel a csoportosítási struktúrával azure-szabályzatokat alkalmazhat a felügyeleti csoport szintjén. Ezt a csoportosítási struktúrát minden olyan számítási feladathoz használhatja, amely ugyanazokat a biztonsági, megfelelőségi, kapcsolati és funkcióbeállításokat igényli.
Az erőforráscímkék használatával lekérdezheti és vízszintesen navigálhat a felügyeleti csoport hierarchiája között. Az Azure Policy használatával kényszerítheti vagy fűzheti hozzá az erőforráscímkéket. Így anélkül csoportosíthat erőforrásokat keresési célokra, hogy bonyolult felügyeleticsoport-hierarchiát kellene használnia.
Hozzon létre egy legfelső szintű tesztkörnyezet-felügyeleti csoportot, hogy azonnal kísérletezzen az erőforrásokkal, mielőtt éles környezetekbe helyezené őket. A próbakörnyezet biztosítja az elkülönítést a fejlesztési, a tesztelési és az éles környezettől.
Hozzon létre egy platformfelügyeleti csoportot a gyökérszintű felügyeleti csoport alatt a gyakori platformszabályzatok és az Azure-szerepkör-hozzárendelések támogatásához. Ez a csoportosítási struktúra biztosítja, hogy különböző szabályzatokat alkalmazhat az Azure-alap előfizetésekre. Ez a megközelítés a közös erőforrások számlázását is központosítja egy alapszintű előfizetésben.
Korlátozza az Azure Policy-hozzárendelések számát a gyökérszintű felügyeleti csoport hatókörében. Ez a korlátozás minimalizálja az örökölt szabályzatok hibakeresését az alacsonyabb szintű felügyeleti csoportokban.
Szabályzatok használatával érvényesítheti a megfelelőségi követelményeket a felügyeleti csoportban vagy az előfizetés hatókörében a szabályzatalapú irányítás eléréséhez.
Győződjön meg arról, hogy csak a kiemelt felhasználók üzemeltethetnek felügyeleti csoportokat a bérlőben. Engedélyezze az Azure RBAC-engedélyezést a felügyeleti csoport hierarchiabeállításaiban a felhasználói jogosultságok finomítása érdekében. Alapértelmezés szerint minden felhasználó létrehozhatja saját felügyeleti csoportjait a gyökérszintű felügyeleti csoport alatt.
Konfiguráljon egy alapértelmezett, dedikált felügyeleti csoportot az új előfizetésekhez. Ez a csoport biztosítja, hogy egyetlen előfizetés sem menjen a gyökérszintű felügyeleti csoport alá. Ez a csoport különösen akkor fontos, ha a felhasználók a Microsoft Developer Network (MSDN) vagy a Visual Studio előnyeit és előfizetéseit használják. Az ilyen típusú felügyeleti csoportok jó jelöltje egy tesztkörnyezet-felügyeleti csoport. További információ: Alapértelmezett felügyeleti csoport beállítása.
Ne hozzon létre felügyeleti csoportokat éles, tesztelési és fejlesztési környezetekhez. Szükség esetén különítse el ezeket a csoportokat ugyanabban a felügyeleti csoportban lévő különböző előfizetésekre. További információk:
Azt javasoljuk, hogy a standard Azure célzóna-felügyeleti csoportstruktúrát használja többrégiós üzemelő példányokhoz. Ne hozzon létre felügyeleti csoportokat kizárólag a különböző Azure-régiók modellezéséhez. Ne módosítsa vagy bontsa ki a felügyeleti csoport struktúráját régió vagy többrégiós használat alapján.
Ha helyalapú szabályozási követelményekkel rendelkezik, például az adatok tartózkodási helye, az adatok biztonsága vagy az adatok szuverenitása, akkor a hely alapján létre kell hoznia egy felügyeleticsoport-struktúrát. Ezt a struktúrát különböző szinteken implementálhatja. További információ: Azure-beli célzóna-architektúra módosítása.
Felügyeleti csoportok az Azure-beli célzónagyorsítóban és az ALZ-Bicep-adattárban
Az alábbi példa egy felügyeleti csoport struktúráját mutatja be. A példában szereplő felügyeleti csoportok az Azure célzónagyorsítójában és az ALZ-Bicep-adattár felügyeleti csoportok moduljában találhatók.
Feljegyzés
A felügyeleti csoport hierarchiáját a managementGroups.bicep szerkesztésével módosíthatja az Azure kezdőzóna bicep moduljában.
| Felügyeleti csoport | Leírás |
|---|---|
| Köztes gyökérszintű felügyeleti csoport | Ez a felügyeleti csoport közvetlenül a bérlő gyökércsoportja alatt található. A szervezet előtaggal eteti ezt a felügyeleti csoportot, hogy ne kelljen használniuk a gyökércsoportot. A szervezet áthelyezheti a meglévő Azure-előfizetéseket a hierarchiába. Ez a megközelítés a jövőbeli forgatókönyveket is beállítja. Ez a felügyeleti csoport az Azure célzónagyorsító által létrehozott összes többi felügyeleti csoport szülője. |
| Platform | Ez a felügyeleti csoport tartalmazza az összes platformszintű gyermekfelügyeleti csoportot, például a felügyeletet, a kapcsolatot és az identitást. |
| Felügyelet | Ez a felügyeleti csoport egy dedikált előfizetést tartalmaz a felügyelethez, a monitorozáshoz és a biztonsághoz. Ez az előfizetés egy Azure Monitor Logs-munkaterületet üzemeltet, beleértve a kapcsolódó megoldásokat és egy Azure Automation-fiókot. |
| Kapcsolatok | Ez a felügyeleti csoport egy dedikált előfizetést tartalmaz a kapcsolatokhoz. Ez az előfizetés üzemelteti a platform által igényelt Azure-hálózati erőforrásokat, például az Azure Virtual WAN-t, az Azure Firewallt és az Azure DNS privát zónáit. Különböző erőforráscsoportok használatával különböző régiókban üzembe helyezett erőforrásokat, például virtuális hálózatokat, tűzfalpéldányokat és virtuális hálózati átjárókat tartalmazhat. Egyes nagy üzemelő példányok előfizetési kvótakorlátozásokkal rendelkezhetnek a kapcsolati erőforrásokra vonatkozóan. Minden régióban létrehozhat dedikált előfizetéseket a kapcsolati erőforrásaikhoz. |
| Identitás | Ez a felügyeleti csoport egy dedikált identitás-előfizetést tartalmaz. Ez az előfizetés a Active Directory tartományi szolgáltatások (AD DS) virtuális gépek (virtuális gépek) vagy a Microsoft Entra Domain Services helyőrzője. Különböző erőforráscsoportok használatával különböző régiókban üzembe helyezett erőforrásokat, például virtuális hálózatokat és virtuális gépeket tartalmazhat. Az előfizetés lehetővé teszi az AuthN-t vagy az AuthZ-t a kezdőzónákon belüli számítási feladatokhoz is. Adott Azure-szabályzatok hozzárendelése az identitás-előfizetés erőforrásainak megerősítéséhez és kezeléséhez. Egyes nagy üzemelő példányok előfizetési kvótakorlátozásokkal rendelkezhetnek a kapcsolati erőforrásokra vonatkozóan. Minden régióban létrehozhat dedikált előfizetéseket a kapcsolati erőforrásaikhoz. |
| Célzónák | A szülő felügyeleti csoport, amely az összes kezdőzóna gyermekfelügyeleti csoportját tartalmazza. Számítási feladatokkal kapcsolatos azure-szabályzatokkal rendelkezik, amelyek biztosítják, hogy a számítási feladatok biztonságosak és megfelelőek legyenek. |
| Online | Az online célzónák dedikált felügyeleti csoportja. Ez a csoport olyan számítási feladatokhoz készült, amelyek közvetlen internetkapcsolatot vagy kimenő kapcsolatot igényelhetnek, vagy olyan számítási feladatokhoz, amelyekhez nem szükséges virtuális hálózat. |
| Corp | A vállalati célzónák dedikált felügyeleti csoportja. Ez a csoport olyan számítási feladatokhoz készült, amelyek a kapcsolati előfizetésben lévő központon keresztül kapcsolatot vagy hibrid kapcsolatot igényelnek a vállalati hálózattal. |
| Tesztkörnyezetek | Az előfizetések dedikált felügyeleti csoportja. A szervezetek tesztkörnyezeteket használnak teszteléshez és feltáráshoz. Ezek az előfizetések biztonságosan el vannak különítve a vállalati és az online kezdőzónáktól. A tesztkörnyezetek emellett kevésbé korlátozó szabályzatokkal rendelkeznek az Azure-szolgáltatások tesztelésének, feltárásának és konfigurálásának engedélyezéséhez. |
| Leszerelt | A megszakított célzónák dedikált felügyeleti csoportja. A törölt kezdőzónákat áthelyezi ebbe a felügyeleti csoportba, majd az Azure 30–60 nap elteltével törli őket. |
Feljegyzés
Számos szervezet esetében az alapértelmezett Corp és Online a felügyeleti csoportok ideális kiindulópontot biztosítanak.
Egyes szervezeteknek további felügyeleti csoportokat kell hozzáadniuk.
Ha módosítani szeretné a felügyeleti csoport hierarchiáját, tekintse meg az Azure kezdőzóna architektúrájának testreszabását a követelményeknek megfelelően.
Az Azure-beli célzónagyorsító engedélyei
Az Azure célzónagyorsító:
A felügyeleti csoport műveleteinek, előfizetés-kezelési műveleteinek és szerepkör-hozzárendeléseinek futtatásához dedikált egyszerű szolgáltatásnévre (SPN) van szükség. Egyszerű szolgáltatásnév használatával csökkentheti az emelt szintű jogosultságokkal rendelkező felhasználók számát, és betarthatja a minimális jogosultsági szintű irányelveket.
A gyökérszintű felügyeleti csoport hatókörében a Felhasználói hozzáférés Rendszergazda istrator szerepkörnek kell megadnia az egyszerű szolgáltatásnév-hozzáférést a gyökérszinten. Miután az egyszerű szolgáltatásnév rendelkezik engedélyekkel, biztonságosan eltávolíthatja a Felhasználói hozzáférés Rendszergazda istrator szerepkört. Ez a megközelítés biztosítja, hogy csak az egyszerű szolgáltatásnév legyen csatlakoztatva a Felhasználói hozzáférés Rendszergazda istrator szerepkörhöz.
A gyökérszintű felügyeleti csoport hatókörében korábban említett egyszerű szolgáltatásnév közreműködői szerepkörét igényli, amely lehetővé teszi a bérlői szintű műveleteket. Ez az engedélyszint biztosítja, hogy az egyszerű szolgáltatásnév használatával üzembe helyezheti és kezelheti az erőforrásokat a szervezet bármely előfizetésében.
Következő lépés
Megtudhatja, hogyan használhat előfizetéseket nagy léptékű Azure-bevezetés tervezésekor.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: