Share via

Mik az Azure-beli felügyeleti csoportok?

  • Cikk

Ha szervezete számos Azure-előfizetéssel rendelkezik, szükség lehet a hozzáférés, a szabályzatok és a megfelelőség hatékony kezelésére. A felügyeleti csoportok szabályozási hatókört biztosítanak az előfizetések felett. Az előfizetéseket felügyeleti csoportokba rendezheti; az összes társított előfizetésre öröklődés alapján kaszkádolt szabályozási feltételek.

A felügyeleti csoportok nagyvállalati szintű felügyeletet biztosítanak, függetlenül attól, hogy milyen típusú előfizetéssel rendelkezik. Az egyetlen felügyeleti csoporton belüli összes előfizetésnek azonban ugyanabban az Azure Active Directory-bérlőben (Azure AD- bérlőben) kell megbíznia.

Alkalmazhat például olyan szabályzatokat egy felügyeleti csoportra, amelyek korlátozzák a virtuális gépek (VM-ek) létrehozásához elérhető régiókat. Ez a szabályzat az összes beágyazott felügyeleti csoportra, előfizetésre és erőforrásra vonatkozik, és csak a jogosult régiókban engedélyezi a virtuális gépek létrehozását.

A felügyeleti csoportok és előfizetések hierarchiája

A felügyeleti csoportok és előfizetések rugalmas szerkezetének létrehozásával hierarchiába rendezheti erőforrásait az egységes szabályzat- és hozzáféréskezeléshez. Az alábbi ábrán egy példa látható szabályozási hierarchia létrehozására felügyeleti csoportok használatával.

Minta felügyeleti csoport hierarchiájának diagramja.

Létrehozhat például egy szabályzatot alkalmazó hierarchiát, amely a "Corp" nevű felügyeleti csoportban korlátozza a virtuális gépek helyét az USA nyugati régiójára. Ez a szabályzat örökli az összes olyan Nagyvállalati Szerződés (EA) előfizetést, amely a felügyeleti csoport leszármazottja, és az előfizetések alatt lévő összes virtuális gépre érvényes lesz. Ezt a biztonsági szabályzatot az erőforrás vagy az előfizetés tulajdonosa nem módosíthatja, ami jobb szabályozást tesz lehetővé.

Feljegyzés

A felügyeleti csoportok jelenleg nem támogatottak Microsoft Ügyfélszerződés (MCA) előfizetések Cost Management-szolgáltatásaiban.

A felügyeleti csoportok használatának másik esete, amikor egyszerre több előfizetéshez szeretne felhasználói hozzáférést biztosítani. Ha több előfizetést helyez át a felügyeleti csoport alá, létrehozhat egy Azure-szerepkör-hozzárendelést a felügyeleti csoportban, amely örökli az összes előfizetéshez való hozzáférést. A felügyeleti csoport egyik hozzárendelése lehetővé teszi a felhasználók számára, hogy mindenhez hozzáférhessenek, amire szükségük van, ahelyett, hogy az Azure RBAC-t különböző előfizetéseken keresztül szkriptelik.

A felügyeleti csoportokkal kapcsolatos fontos tudnivalók

  • A címtárak legfeljebb 10 000 felügyeleti csoportot támogatnak.
  • A felügyeleticsoport-fák legfeljebb hatszintűek lehetnek.
    • A korlátozásba nem tartozik bele a gyökérszint és az előfizetés szintje.
  • Felügyeleti csoportonként vagy előfizetésenként egy szülő támogatott.
  • Minden felügyeleti csoportnak több gyermeke lehet.
  • Az egyes címtárakban minden előfizetés és felügyeleti csoport egyetlen hierarchiában található. Tekintse meg A gyökérszintű felügyeleti csoport fontosabb jellemzői című szakaszt.

Az egyes címtárak gyökérszintű felügyeleti csoportja

Minden könyvtárhoz egyetlen legfelső szintű felügyeleti csoport, úgynevezett gyökérszintű felügyeleti csoport tartozik. A gyökérszintű felügyeleti csoport úgy van beépítve a hierarchiába, hogy az összes felügyeleti csoport és előfizetés összecsukható legyen. Ez a gyökérszintű felügyeleti csoport lehetővé teszi a globális szabályzatok és az Azure-szerepkör-hozzárendelések címtárszinten történő alkalmazását. Az Azure AD globális rendszergazdájának először emelnie kell a jogosultsági szintjét, hogy a Felhasználói hozzáférés adminisztrátora szerepkörrel rendelkezzen a gyökérszintű csoport esetében. A hozzáférés emelése után a rendszergazda bármilyen Azure-szerepkört hozzárendelhet más címtárfelhasználókhoz vagy csoportokhoz a hierarchia kezeléséhez. Rendszergazdaként hozzárendelheti a fiókját a gyökérszintű felügyeleti csoport tulajdonosaként.

Fontos tudnivalók a gyökérszintű felügyeleti csoportról

  • Alapértelmezés szerint a gyökérszintű felügyeleti csoport megjelenítendő neve bérlői gyökércsoport , és felügyeleti csoportként működik. Az azonosító ugyanaz az érték, mint az Azure Active Directory (Azure AD) bérlőazonosítója.
  • A megjelenítendő név módosításához a fiókhoz hozzá kell rendelni a tulajdonosi vagy közreműködői szerepkört a gyökérszintű felügyeleti csoportban. Lásd: Felügyeleti csoport nevének módosítása a felügyeleti csoport nevének frissítéséhez.
  • A gyökérszintű felügyeleti csoportot a többi felügyeleti csoporttal szemben nem lehet törölni vagy áthelyezni.
  • Minden előfizetés és felügyeleti csoport egyetlen gyökérszintű felügyeleti csoportra van állítva a címtárban.
    • A globális felügyelet érdekében a címtár erőforrásai is a gyökérszintű felügyeleti csoport alá kerülnek.
    • Az újonnan létrehozott előfizetések alapértelmezés szerint a gyökérszintű felügyeleti csoporthoz tartoznak.
  • A gyökérszintű felügyeleti csoport az összes Azure-ügyfél számára látható, de nem mindegyikük rendelkezik hozzáféréssel a kezeléséhez.
    • Bárki, aki hozzáféréssel rendelkezik egy adott előfizetéshez, láthatja, hogy az hol helyezkedik el a hierarchiában.
    • Senki nem kap alapértelmezés szerint hozzáférést a gyökérszintű felügyeleti csoporthoz. Kizárólag az Azure AD globális rendszergazdái emelhetik meg jogosultsági szintjüket, hogy hozzáférést kapjanak. Miután hozzáfértek a gyökérszintű felügyeleti csoporthoz, a globális rendszergazdák bármilyen Azure-szerepkört hozzárendelhetnek más felhasználókhoz a kezelésükhöz.

Fontos

A gyökérszintű felügyeleti csoport felhasználói hozzáférésének vagy szabályzatának hozzárendelése a címtárban lévő összes erőforrásra vonatkozik. Ezért minden ügyfélnek fel kell mérnie, mire van szüksége ebben a hatókörben. A felhasználói hozzáférések és a szabályzatok hozzárendelései csak ebben a hatókörben lehetnek kötelezőek.

A felügyeleti csoportok kezdeti beállítása

A felügyeleti csoportok használatának megkezdésekor először egy beállítási folyamat történik. A folyamat első lépéseként létrejön a gyökérszintű felügyeleti csoport a címtárban. A csoport létrehozása után a címtárban található összes meglévő előfizetés a gyökérszintű felügyeleti csoport gyermekeként lesz beállítva. A folyamat célja, hogy egy adott címtáron belül csak egy felügyeleticsoport-hierarchia legyen. Az egyetlen hierarchia beállítása lehetővé teszi a rendszergazdai ügyfelek számára globális hozzáférések és szabályzatok alkalmazását, amelyeket a címtárat használó többi ügyfél nem tud megkerülni. A gyökéren hozzárendelt összes elem a teljes hierarchiára vonatkozik, amely magában foglalja az azure AD-bérlőn belüli összes felügyeleti csoportot, előfizetést, erőforráscsoportot és erőforrást.

Hozzáférés a felügyeleti csoportokhoz

Az Azure felügyeleti csoportjai támogatják az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC) az összes erőforrás-hozzáféréshez és szerepkör-definícióhoz. Ezeket az engedélyeket a hierarchiában található összes gyermek erőforrás örökli. Bármely Azure-szerepkör hozzárendelhető egy felügyeleti csoporthoz, amely örökli az erőforrások hierarchiáját. Az Azure-beli szerepkör virtuálisgép-közreműködője például hozzárendelhető egy felügyeleti csoporthoz. Ez a szerepkör nem rendelkezik művelettel a felügyeleti csoporton, de örökli az adott felügyeleti csoport összes virtuális gépét.

Az alábbi ábrán a felügyeleti csoportokkal kapcsolatos szerepkörök és támogatott műveletek listája látható.

Azure-szerepkör neve Létrehozás Átnevez Áthelyezés** Törlés Hozzáférés hozzárendelése Szabályzat hozzárendelése Olvasás
Tulajdonos X X X X X X X
Közreműködő X X X X X
Felügyeleti csoport közreműködője* X X X X X
Olvasó X
Felügyeleti csoport olvasója* X
Erőforrás-szabályzat közreműködője X
Felhasználói hozzáférés adminisztrátora X X

*: A felügyeleti csoport közreműködői és felügyeleticsoport-olvasó szerepkörei lehetővé teszik, hogy a felhasználók csak a felügyeleti csoport hatókörén hajtják végre ezeket a műveleteket.

**: A gyökérszintű felügyeleti csoport szerepkör-hozzárendelései nem szükségesek az előfizetések vagy felügyeleti csoportok áthelyezéséhez.

A hierarchián belüli elemek áthelyezésének részleteiért tekintse meg az Erőforrások kezelése felügyeleti csoportokkal című szakaszt.

Egyéni Azure-szerepkördefiníció és -hozzárendelés

Egy felügyeleti csoportot hozzárendelhető hatókörként definiálhat egy Azure-beli egyéni szerepkör-definícióban. Az Azure-beli egyéni szerepkör ezután hozzárendelhető lesz az adott felügyeleti csoporthoz és az alatta lévő felügyeleti csoporthoz, előfizetéshez, erőforráscsoporthoz vagy erőforráshoz. Az egyéni szerepkör minden beépített szerepkörhez hasonlóan örökli a hierarchiát. Az egyéni szerepkörökkel és felügyeleti csoportokkal kapcsolatos korlátozásokról további információt a Korlátozások című témakörben talál.

Példadefiníció

Az egyéni szerepkörök definiálása és létrehozása nem változik a felügyeleti csoportok belefoglalásával. Használja a teljes elérési utat a felügyeleti csoport /providers/Microsoft.Management/managementgroups/{groupId} definiálásához.

A felügyeleti csoport azonosítóját használja, és ne a felügyeleti csoport megjelenítendő nevét. Ez a gyakori hiba azért fordul elő, mert mindkettő egyénileg definiált mező egy felügyeleti csoport létrehozásakor.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

A szerepkördefiníció és a hozzárendelési hierarchia elérési útjának feltörése

A szerepkör-definíciók a felügyeleti csoport hierarchiájának bármely pontjára hozzárendelhetők. A szerepkördefiníció meghatározható egy szülő felügyeleti csoportban, míg a tényleges szerepkör-hozzárendelés a gyermek-előfizetésben található. Mivel a két elem között kapcsolat áll fenn, hibaüzenet jelenik meg, amikor megpróbálja elválasztani a hozzárendelést a definíciójától.

Nézzük meg például egy vizualizáció hierarchia egy kis szakaszát.

A minta felügyeleti csoport hierarchiájának egy részhalmazának diagramja.

Tegyük fel, hogy egy egyéni szerepkör van definiálva a tesztkörnyezet felügyeleti csoportjában. Ezt az egyéni szerepkört ezután hozzárendeli a rendszer a két Tesztkörnyezet-előfizetéshez.

Ha az egyik előfizetést a Corp felügyeleti csoport gyermekének szeretnénk áthelyezni, ez az áthelyezés megszakítja az előfizetési szerepkör-hozzárendelés elérési útját a Tesztkörnyezet felügyeleti csoport szerepkördefiníciójára. Ebben a forgatókönyvben hibaüzenet jelenik meg, amely szerint az áthelyezés nem engedélyezett, mivel az megszakítja ezt a kapcsolatot.

A forgatókönyvet többféleképpen is kijavíthatja:

  • Távolítsa el a szerepkör-hozzárendelést az előfizetésből, mielőtt áthelyezné az előfizetést egy új szülő MG-be.
  • Adja hozzá az előfizetést a szerepkördefiníció hozzárendelhető hatóköréhez.
  • Módosítsa a hozzárendelhető hatókört a szerepkör-definíción belül. A fenti példában frissítheti a hozzárendelhető hatóköröket a Tesztkörnyezetből a gyökérszintű felügyeleti csoportra, hogy a definíciót a hierarchia mindkét ága elérhesse.
  • Hozzon létre egy másik egyéni szerepkört, amely a másik ágban van definiálva. Ehhez az új szerepkörhöz a szerepkör-hozzárendelést is módosítani kell az előfizetésen.

Korlátozások

Vannak korlátozások, amelyek akkor léteznek, ha egyéni szerepköröket használnak a felügyeleti csoportokban.

  • Egy új szerepkör hozzárendelhető hatóköreiben csak egy felügyeleti csoportot definiálhat. Ez a korlátozás csökkenti azoknak a helyzeteknek a számát, amelyekben a szerepkör-definíciók és a szerepkör-hozzárendelések leválasztva vannak. Ez a helyzet akkor fordul elő, ha egy szerepkör-hozzárendeléssel rendelkező előfizetés vagy felügyeleti csoport egy másik szülőre kerül, amely nem rendelkezik a szerepkördefinícióval.
  • DataActions művelettel rendelkező egyéni szerepkörök nem rendelhetők felügyeleti csoport hatókörhöz. További információ: Egyéni szerepkörkorlátok.
  • Az Azure Resource Manager nem ellenőrzi, hogy a felügyeleti csoport létezik-e a szerepkör-definíció hozzárendelhető hatókörében. Ha elírás vagy helytelen felügyeleti csoportazonosító szerepel a listában, a szerepkördefiníció továbbra is létrejön.

Felügyeleti csoportok és előfizetések áthelyezése

Ha egy felügyeleti csoportot vagy előfizetést egy másik felügyeleti csoport gyermekének szeretne áthelyezni, három szabályt kell igazként értékelni.

Ha az áthelyezési műveletet hajtja végre, a következőkre van szüksége:

  • A felügyeleti csoport írási és szerepkör-hozzárendelési írási engedélyei a gyermek-előfizetésen vagy felügyeleti csoporton.
    • Beépített szerepkör– példa: Tulajdonos
  • A felügyeleti csoport írási hozzáférése a cél szülő felügyeleti csoporton.
    • Beépített szerepkör példa: Tulajdonos, Közreműködő, Felügyeleti csoport közreműködője
  • A felügyeleti csoport írási hozzáférése a meglévő szülő felügyeleti csoporton.
    • Beépített szerepkör példa: Tulajdonos, Közreműködő, Felügyeleti csoport közreműködője

Kivétel: Ha a cél vagy a meglévő szülő felügyeleti csoport a gyökérszintű felügyeleti csoport, az engedélykövetelmények nem érvényesek. Mivel az összes új felügyeleti csoport és előfizetés esetében a gyökérszintű felügyeleti csoport az alapértelmezett kezdőhely, nincs szükség az elemek áthelyezéséhez szükséges engedélyekre.

Ha az előfizetés tulajdonosi szerepköre az aktuális felügyeleti csoporttól öröklődik, az áthelyezési célok korlátozottak. Az előfizetést csak egy másik felügyeleti csoportba helyezheti át, ahol tulajdonosi szerepköre van. Nem helyezheti át olyan felügyeleti csoportba, ahol Ön közreműködő , mert elveszíti az előfizetés tulajdonjogát. Ha közvetlenül az előfizetés tulajdonosi szerepköréhez van hozzárendelve (a felügyeleti csoporttól nem örökölve), áthelyezheti azt bármely olyan felügyeleti csoportba, ahol a Közreműködő szerepkör van hozzárendelve.

Fontos

Az Azure Resource Manager legfeljebb 30 percig gyorsítótárazza a felügyeleti csoport hierarchiájának részleteit. Emiatt előfordulhat, hogy egy felügyeleti csoport áthelyezése nem jelenik meg azonnal az Azure Portalon.

Felügyeleti csoportok naplózása tevékenységnaplókkal

A felügyeleti csoportok az Azure-tevékenységnaplóban támogatottak. A felügyeleti csoportokkal kapcsolatos minden eseményre ugyanarról a központi helyről kereshet rá, mint más Azure-erőforrások esetében. Megtekintheti például egy adott felügyeleti csoport szerepkör-hozzárendeléseit vagy szabályzat-hozzárendelési módosításait.

Képernyőkép a kijelölt felügyeleti csoporthoz kapcsolódó tevékenységnaplókról és műveletekről.

Az Azure Portalon kívüli felügyeleti csoportok lekérdezésekor a felügyeleti csoportok céltartománya a következőhöz hasonló: "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Feljegyzés

Az Azure Resource Manager REST API használatával engedélyezheti a felügyeleti csoport diagnosztikai beállításait, hogy kapcsolódó Azure-tevékenységnapló-bejegyzéseket küldjön egy Log Analytics-munkaterületre, az Azure Storage-ba vagy az Azure Event Hubra. További információ: Felügyeleti csoport diagnosztikai Gépház – Létrehozás vagy frissítés.

Következő lépések

A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd: