Az erőforrás-hierarchia védelme

Az erőforrások, az erőforráscsoportok, az előfizetések, a felügyeleti csoportok és a bérlő együttesen alkotják az erőforráshierarchiát. A gyökérszintű felügyeleti csoport beállításai, például az Azure egyéni szerepkörei vagy Azure Policy szabályzat-hozzárendelések hatással lehetnek az erőforrás-hierarchiában lévő összes erőforrásra. Fontos megvédeni az erőforrás-hierarchiát az összes erőforrást negatívan befolyásoló változásoktól.

A felügyeleti csoportok mostantól hierarchiabeállításokkal rendelkeznek, amelyek lehetővé teszik, hogy a bérlői rendszergazda szabályozhassa ezeket a viselkedéseket. Ez a cikk az egyes rendelkezésre álló hierarchiabeállításokat és azok beállítását ismerteti.

Azure RBAC-engedélyek hierarchiabeállításokhoz

A hierarchia beállításainak konfigurálásához a következő két erőforrás-szolgáltatói műveletre van szükség a gyökérszintű felügyeleti csoportban:

• Microsoft.Management/managementgroups/settings/write
• Microsoft.Management/managementgroups/settings/read

Ezek a műveletek csak a felhasználók számára teszik lehetővé a hierarchiabeállítások olvasását és frissítését. A műveletek nem biztosítanak más hozzáférést a felügyeleti csoport hierarchiájához vagy a hierarchiában lévő erőforrásokhoz. Mindkét művelet elérhető az Azure beépített szerepkör hierarchiabeállítás-rendszergazdájában.

Beállítás – Alapértelmezett felügyeleti csoport

Alapértelmezés szerint egy bérlőn belül hozzáadott új előfizetés lesz hozzáadva a gyökérszintű felügyeleti csoport tagjaként. Ha a szabályzat-hozzárendelések, az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) és más szabályozási szerkezetek a gyökérszintű felügyeleti csoporthoz vannak rendelve, azonnal érvénybe lépnek ezek az új előfizetések. Ezért sok szervezet nem alkalmazza ezeket a szerkezeteket a gyökérszintű felügyeleti csoportban, annak ellenére, hogy ez a kívánt hely a hozzárendelésükhöz. Más esetekben szigorúbb vezérlőkre van szükség az új előfizetésekhez, de nem szabad minden előfizetéshez hozzárendelni. Ez a beállítás mindkét használati esetet támogatja.

Az új előfizetések alapértelmezett felügyeleti csoportjának definiálásával szervezeti szintű szabályozási szerkezetek alkalmazhatók a gyökérszintű felügyeleti csoportban, és meghatározható egy külön felügyeleti csoport, amely szabályzat-hozzárendelésekkel vagy azure-beli szerepkör-hozzárendelésekkel rendelkezik, amelyek jobban megfelelnek az új előfizetéseknek.

Alapértelmezett felügyeleti csoport beállítása a portálon

A beállítás Azure Portal való konfigurálásához kövesse az alábbi lépéseket:

1. A keresősávon keresse meg és válassza a "Felügyeleti csoportok" lehetőséget.

2. A gyökérszintű felügyeleti csoportban válassza a felügyeleti csoport neve melletti részleteket.

3. A Beállítások területen válassza a Hierarchia beállításai elemet.

4. Válassza az Alapértelmezett felügyeleti csoport módosítása gombot.

   Megjegyzés

   Ha az Alapértelmezett felügyeleti csoport módosítása gomb le van tiltva, akkor a megtekintett felügyeleti csoport nem a gyökérszintű felügyeleti csoport, vagy a biztonsági tag nem rendelkezik a hierarchiabeállítások módosításához szükséges engedélyekkel.

5. Válasszon ki egy felügyeleti csoportot a hierarchiából, és használja a Kiválasztás gombot.

Alapértelmezett felügyeleti csoport beállítása REST API-val

Ha ezt a beállítást REST API-val szeretné konfigurálni, a rendszer meghívja a Hierarchiabeállítások végpontot. Ehhez használja az alábbi REST API URI-t és törzsformátumot. Cserélje le a elemet {rootMgID} a gyökérszintű felügyeleti csoport azonosítójára, majd {defaultGroupID} a felügyeleti csoport azonosítójára, hogy az legyen az alapértelmezett felügyeleti csoport:

• REST API URI

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Kérelem törzse

  {
      "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
      }
  }
  

Ha vissza szeretné állítani az alapértelmezett felügyeleti csoportot a gyökérszintű felügyeleti csoportra, használja ugyanazt a végpontot, és állítsa a defaultManagementGroup értéket a értékre /providers/Microsoft.Management/managementGroups/{rootMgID}.

Beállítás – Engedélyezés megkövetelése

Alapértelmezés szerint minden felhasználó létrehozhat új felügyeleti csoportokat egy bérlőn belül. A bérlő rendszergazdái csak bizonyos felhasználók számára kívánják biztosítani ezeket az engedélyeket, hogy fenntartsák a konzisztenciát és a megfelelőséget a felügyeleti csoport hierarchiájában. Ha engedélyezve van, a felhasználónak szüksége van a Microsoft.Management/managementGroups/write gyökérszintű felügyeleti csoporton végzett műveletre, hogy új gyermekfelügyeleti csoportokat hozzon létre.

Engedélyezés megkövetelése beállítása a portálon

A beállítás Azure Portal való konfigurálásához kövesse az alábbi lépéseket:

1. A keresősávon keresse meg és válassza a "Felügyeleti csoportok" lehetőséget.

2. A gyökérszintű felügyeleti csoportban válassza a felügyeleti csoport neve melletti részleteket.

3. A Beállítások területen válassza a Hierarchia beállításai elemet.

4. Állítsa be az Engedélyek megkövetelése új felügyeleti csoportok létrehozásához beállítást.

   Megjegyzés

   Ha az Engedélyek megkövetelése új felügyeleti csoportok létrehozásához. kapcsoló le van tiltva, akkor a megtekintett felügyeleti csoport nem a gyökérszintű felügyeleti csoport, vagy a biztonsági tag nem rendelkezik a hierarchiabeállítások módosításához szükséges engedélyekkel.

Engedélyezés megkövetelése a REST API-val beállítás

Ha ezt a beállítást REST API-val szeretné konfigurálni, a rendszer meghívja a Hierarchiabeállítások végpontot. Ehhez használja az alábbi REST API URI-t és törzsformátumot. Ez az érték egy logikai érték, ezért adjon meg igaz vagy hamis értéket az értékhez. Az igaz érték lehetővé teszi a felügyeleti csoport hierarchiájának védelmét:

• REST API URI

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Kérelem törzse

  {
      "properties": {
          "requireAuthorizationForGroupCreation": true
      }
  }
  

A beállítás kikapcsolásához használja ugyanazt a végpontot, és állítsa a requireAuthorizationForGroupCreation értéket hamis értékre.

PowerShell-minta

A PowerShell nem rendelkezik "Az" paranccsal az alapértelmezett felügyeleti csoport beállításához vagy az engedélyezés megköveteléséhez, de kerülő megoldásként használhatja a REST API-t az alábbi PowerShell-mintával:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Következő lépések

A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd:

• Felügyeleti csoportok létrehozása az Azure-erőforrások rendszerezéséhez
• Felügyeleti csoportok módosítása, törlése és kezelése