Mengelola langganan Azure Anda dalam skala besar dengan grup pengelola
Jika organisasi Anda memiliki banyak langganan, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan untuk langganan tersebut secara efisien. Grup manajemen Azure memberikan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam kontainer yang disebut grup manajemen dan menerapkan kondisi tata kelola Anda ke grup manajemen. Semua langganan dalam grup manajemen secara otomatis mewarisi kondisi yang diterapkan ke grup manajemen.
Grup manajemen memberi Anda manajemen tingkat perusahaan dalam skala besar apa pun jenis langganan yang Anda miliki. Untuk informasi selengkapnya tentang grup manajemen, lihat Mengatur sumber daya Anda dengan grup manajemen Azure.
Catatan
Artikel ini memberikan langkah-langkah tentang cara menghapus data privat dari perangkat atau layanan dan dapat digunakan untuk mendukung kewajiban Anda berdasarkan GDPR. Untuk informasi umum tentang GDPR, lihat bagian GDPR di Pusat Kepercayaan Microsoft dan bagian GDPR di portal Kepercayaan Layanan.
Penting
Token pengguna Azure Resource Manager dan cache grup manajemen berlangsung selama 30 menit sebelum dipaksa untuk di-refresh. Tindakan apa pun seperti memindahkan grup manajemen atau langganan mungkin memakan waktu hingga 30 menit untuk muncul. Untuk melihat pembaruan lebih cepat, Anda perlu memperbarui token Dengan menyegarkan browser, masuk dan keluar, atau meminta token baru.
Untuk tindakan Azure PowerShell dalam artikel ini, perlu diingat bahwa AzManagementGroupcmdlet terkait menyebutkan bahwa -GroupId itu adalah alias -GroupName parameter.
Anda dapat menggunakan salah satunya untuk memberikan ID grup manajemen sebagai nilai string.
Mengubah nama grup manajemen
Anda dapat mengubah nama grup manajemen dengan menggunakan portal Azure, Azure PowerShell, atau Azure CLI.
Mengubah nama di portal
Masuk ke portal Azure.
Pilih Semua layanan. Dalam kotak teks Filter layanan , masukkan Grup manajemen dan pilih dari daftar.
Pilih grup manajemen yang ingin Anda ganti namanya.
Pilih Detail.
Pilih opsi Ganti Nama Grup di bagian atas panel.
Pada panel Ganti Nama Grup , masukkan nama baru yang ingin Anda tampilkan.
Pilih Simpan.
Mengubah nama di Azure PowerShell
Untuk memperbarui nama tampilan, gunakan Update-AzManagementGroup di Azure PowerShell. Misalnya, untuk mengubah nama tampilan grup manajemen dari Contoso IT ke Contoso Group, jalankan perintah berikut:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Mengubah nama di Azure CLI
Untuk Azure CLI, gunakan perintah update:
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Menghapus grup manajemen
Untuk menghapus grup manajemen, Anda harus memenuhi persyaratan berikut:
Tidak ada grup manajemen anak atau langganan di bawah grup manajemen. Untuk memindahkan grup langganan atau manajemen ke grup manajemen lain, lihat Memindahkan grup manajemen dan langganan nanti di artikel ini.
Anda memerlukan izin tulis pada grup manajemen (Pemilik, Kontributor, atau Kontributor Grup Manajemen). Untuk melihat izin apa yang Anda miliki, pilih grup manajemen lalu pilih IAM. Untuk mempelajari selengkapnya tentang peran Azure, lihat Apa itu kontrol akses berbasis peran Azure (Azure RBAC)?.
Menghapus grup manajemen di portal
Masuk ke portal Azure.
Pilih Semua layanan. Dalam kotak teks Filter layanan , masukkan Grup manajemen dan pilih dari daftar.
Pilih grup manajemen yang ingin Anda hapus.
Pilih Detail.
Pilih Hapus.
Tip
Jika tombol Hapus tidak tersedia, arahkan mouse ke atas tombol menunjukkan alasannya.
Dialog terbuka dan meminta Anda untuk mengonfirmasi bahwa Anda ingin menghapus grup manajemen.
Pilih Ya.
Menghapus grup manajemen di Azure PowerShell
Untuk menghapus grup manajemen, gunakan Remove-AzManagementGroup perintah di Azure PowerShell:
Remove-AzManagementGroup -GroupId 'Contoso'
Menghapus grup manajemen di Azure CLI
Dengan Azure CLI, gunakan perintah az account management-group delete:
az account management-group delete --name 'Contoso'
Tampilkan grup manajemen
Anda dapat melihat grup manajemen apa pun jika Anda memiliki peran Azure langsung atau mewarisinya.
Menampilkan grup manajemen di portal
Masuk ke portal Azure.
Pilih Semua layanan. Dalam kotak teks Filter layanan , masukkan Grup manajemen dan pilih dari daftar.
Halaman untuk hierarki grup manajemen muncul. Di halaman ini, Anda dapat menjelajahi semua grup manajemen dan langganan yang dapat Anda akses. Memilih nama grup akan membawa Anda ke tingkat yang lebih rendah dalam hierarki. Navigasi berfungsi sama seperti penjelajah file.
Untuk melihat detail grup manajemen, pilih tautan (detail) di samping judul grup manajemen. Jika tautan ini tidak tersedia, Anda tidak memiliki izin untuk melihat grup manajemen tersebut.
Menampilkan grup manajemen di Azure PowerShell
Anda menggunakan Get-AzManagementGroup perintah untuk mengambil semua grup. Untuk daftar GET lengkap perintah PowerShell untuk grup manajemen, lihat modul Az.Resources .
Get-AzManagementGroup
Untuk informasi grup manajemen tunggal, gunakan -GroupId parameter :
Get-AzManagementGroup -GroupId 'Contoso'
Untuk mengembalikan grup manajemen tertentu dan semua tingkat hierarki di bawahnya, gunakan -Expand parameter dan -Recurse :
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Menampilkan grup manajemen di Azure CLI
Anda menggunakan list perintah untuk mengambil semua grup:
az account management-group list
Untuk informasi grup manajemen tunggal, gunakan show perintah :
az account management-group show --name 'Contoso'
Untuk mengembalikan grup manajemen tertentu dan semua tingkat hierarki di bawahnya, gunakan -Expand parameter dan -Recurse :
az account management-group show --name 'Contoso' -e -r
Memindahkan grup manajemen dan langganan
Salah satu alasan untuk membuat grup manajemen adalah untuk menggabungkan langganan bersama. Hanya grup manajemen dan langganan yang dapat menjadi anak dari grup manajemen lain. Langganan yang berpindah ke grup manajemen mewarisi semua akses dan kebijakan pengguna dari grup manajemen induk.
Anda dapat memindahkan langganan antar grup manajemen. Langganan hanya dapat memiliki satu grup manajemen induk.
Saat Anda memindahkan grup manajemen atau langganan menjadi anak dari grup manajemen lain, tiga aturan perlu dievaluasi sebagai benar.
Jika Anda yang melakukan tindakan pemindahan, Anda memerlukan izin di setiap lapisan berikut:
- Langganan anak atau grup manajemen
Microsoft.management/managementgroups/writeMicrosoft.management/managementgroups/subscriptions/write(hanya untuk langganan)Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- Grup manajemen induk target
Microsoft.management/managementgroups/write
- Grup manajemen induk saat ini
Microsoft.management/managementgroups/write
Ada pengecualian: jika target atau grup manajemen induk yang ada adalah grup manajemen akar, persyaratan izin tidak berlaku. Karena grup manajemen akar adalah tempat pendaratan default untuk semua grup manajemen dan langganan baru, Anda tidak memerlukan izin untuk memindahkan item.
Jika peran Pemilik pada langganan diwariskan dari grup manajemen saat ini, target pemindahan Anda akan dibatasi. Anda hanya dapat memindahkan langganan ke grup manajemen lain tempat Anda memiliki peran Pemilik. Anda tidak dapat memindahkan langganan ke grup manajemen tempat Anda hanya menjadi Kontributor karena Anda akan kehilangan kepemilikan langganan. Jika Anda secara langsung ditetapkan ke peran Pemilik untuk langganan, Anda dapat memindahkannya ke grup manajemen mana pun tempat Anda memiliki peran Kontributor.
Untuk melihat izin apa yang Anda miliki di portal Azure, pilih grup manajemen lalu pilih IAM. Untuk mempelajari selengkapnya tentang peran Azure, lihat Apa itu kontrol akses berbasis peran Azure (Azure RBAC)?.
Menambahkan langganan yang sudah ada ke grup manajemen di portal
Masuk ke portal Azure.
Pilih Semua layanan. Dalam kotak teks Filter layanan , masukkan Grup manajemen dan pilih dari daftar.
Pilih grup manajemen yang ingin Anda jadikan induk.
Di bagian atas halaman, pilih Tambahkan langganan.
Dari Tambahkan langganan pilih langganan dalam daftar dengan ID yang benar.
Pilih Simpan.
Menghapus langganan dari grup manajemen di portal
Masuk ke portal Azure.
Pilih Semua layanan. Dalam kotak teks Filter layanan , masukkan Grup manajemen dan pilih dari daftar.
Pilih grup manajemen yang menjadi induk saat ini.
Pilih elipsis (
...) di akhir baris untuk langganan dalam daftar yang ingin Anda pindahkan.
Pilih Pindahkan.
Pada panel Pindahkan , pilih nilai untuk ID grup manajemen induk baru.
Pilih Simpan.
Memindahkan langganan di Azure PowerShell
Untuk memindahkan langganan di PowerShell, Anda menggunakan New-AzManagementGroupSubscription perintah :
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Untuk menghapus tautan antara langganan dan grup manajemen, gunakan Remove-AzManagementGroupSubscription perintah :
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Memindahkan langganan di Azure CLI
Untuk memindahkan langganan di Azure CLI, Anda menggunakan add perintah :
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Untuk menghapus langganan dari grup manajemen, gunakan subscription remove perintah :
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Memindahkan langganan dalam templat ARM
Untuk memindahkan langganan dalam templat Azure Resource Manager (templat ARM), gunakan templat berikut dan sebarkan di tingkat penyewa:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Atau, gunakan file Bicep berikut:
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Memindahkan grup manajemen di portal
Masuk ke portal Azure.
Pilih Semua layanan. Dalam kotak teks Filter layanan , masukkan Grup manajemen dan pilih dari daftar.
Pilih grup manajemen yang ingin Anda jadikan induk.
Di bagian atas halaman, pilih Buat.
Pada panel Buat grup manajemen, pilih apakah Anda ingin menggunakan grup manajemen baru atau yang sudah ada:
- Memilih Buat baru akan membuat grup manajemen baru.
- Memilih Gunakan yang sudah ada memberi Anda daftar dropdown semua grup manajemen yang bisa Anda pindahkan ke grup manajemen ini.
Pilih Simpan.
Memindahkan grup manajemen di Azure PowerShell
Untuk memindahkan grup manajemen di bawah grup lain, gunakan Update-AzManagementGroup perintah di Azure PowerShell:
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Memindahkan grup manajemen di Azure CLI
Untuk memindahkan grup manajemen di Azure CLI, gunakan update perintah :
az account management-group update --name 'Contoso' --parent ContosoIT
Grup manajemen audit dengan menggunakan log aktivitas
Grup manajemen didukung di log aktivitas Azure Monitor. Anda dapat mengkueri semua peristiwa yang terjadi pada grup manajemen di lokasi pusat yang sama dengan sumber daya Azure lainnya. Misalnya, Anda dapat melihat semua perubahan penetapan peran atau penetapan kebijakan yang dilakukan pada grup manajemen tertentu.
Saat Anda ingin mengkueri grup manajemen di luar portal Azure, cakupan target untuk grup manajemen terlihat seperti "/providers/Microsoft.Management/managementGroups/{yourMgID}".
Grup manajemen referensi dari penyedia sumber daya lain
Saat Anda mereferensikan grup manajemen dari tindakan penyedia sumber daya lain, gunakan jalur berikut sebagai cakupan. Jalur ini berlaku saat Anda menggunakan Azure PowerShell, Azure CLI, dan REST API.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Contoh penggunaan jalur ini adalah saat Anda menetapkan peran baru ke grup manajemen di Azure PowerShell:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Anda menggunakan jalur cakupan yang sama untuk mengambil definisi kebijakan untuk grup manajemen:
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Konten terkait
Untuk mempelajari selengkapnya tentang grup manajemen, lihat: