Bagikan melalui


Apa itu grup manajemen Azure?

Jika organisasi Anda memiliki banyak langganan Azure, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan secara efisien untuk langganan tersebut. Grup manajemen menyediakan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam grup manajemen; kondisi tata kelola yang Anda terapkan secara kaskade berdasarkan pewarisan ke semua langganan terkait.

Grup manajemen memberi Anda manajemen tingkat perusahaan dalam skala besar, apa pun jenis langganan yang mungkin Anda miliki. Namun, semua langganan dalam satu grup manajemen harus mempercayai penyewa ID Entra yang sama.

Misalnya, Anda dapat menerapkan kebijakan ke grup manajemen yang membatasi wilayah yang tersedia untuk pembuatan komputer virtual (VM). Kebijakan ini akan diterapkan ke semua grup manajemen berlapis, langganan, dan sumber daya dan memungkinkan pembuatan VM hanya di wilayah yang diotorisasi.

Hierarki grup manajemen dan langganan

Anda dapat membangun struktur grup manajemen dan langganan yang fleksibel untuk menata sumber daya Anda ke dalam hierarki untuk kebijakan terpadu dan manajemen akses. Diagram berikut menunjukkan contoh untuk membuat hierarki untuk tata kelola menggunakan grup manajemen.

Diagram hierarki grup manajemen sampel.

Diagram grup manajemen akar yang menyimpan grup manajemen dan langganan. Beberapa grup manajemen anak menyimpan grup manajemen, beberapa menyimpan langganan, dan beberapa menyimpan keduanya. Salah satu contoh dalam hierarki sampel adalah empat tingkat grup manajemen, dengan tingkat anak adalah semua langganan.

Anda dapat membuat hierarki yang menerapkan kebijakan, misalnya, yang membatasi lokasi VM ke wilayah US Barat di grup manajemen yang disebut "Corp". Kebijakan ini akan mewarisi semua langganan Perjanjian Enterprise (EA) yang merupakan turunan dari grup manajemen tersebut dan akan berlaku untuk semua VM di bawah langganan tersebut. Kebijakan keamanan ini tidak dapat diubah oleh pemilik sumber daya atau langganan, yang memungkinkan peningkatan tata kelola.

Catatan

grup manajemen saat ini tidak didukung dalam fitur Azure Cost management untuk Perjanjian Pelanggan Microsoft.

Skenario lain di mana Anda akan menggunakan grup manajemen adalah menyediakan akses pengguna ke beberapa langganan. Dengan memindahkan beberapa langganan di bawah grup manajemen tersebut, Anda dapat membuat satu penetapan peran Azure pada grup manajemen, yang akan mewarisi akses tersebut ke semua langganan. Satu tugas pada grup manajemen dapat memungkinkan pengguna memiliki akses ke semua yang mereka butuhkan alih-alih membuat skrip Azure RBAC pada langganan yang berbeda.

Fakta penting tentang grup manajemen

  • 10.000 grup manajemen dapat didukung dalam satu direktori.
  • Pohon grup manajemen dapat mendukung hingga enam tingkat kedalaman.
    • Batas ini tidak menyertakan tingkat Akar atau tingkat langganan.
  • Setiap grup manajemen dan langganan hanya dapat mendukung satu induk.
  • Setiap kelompok manajemen dapat memiliki banyak anak.
  • Semua langganan dan grup manajemen berada dalam satu hierarki di setiap direktori. Lihat Fakta penting tentang grup manajemen Akar.

Grup manajemen akar untuk setiap direktori

Setiap direktori diberikan satu grup manajemen tingkat atas yang disebut grup manajemen root. Grup manajemen root ini dibangun ke dalam hierarki agar semua grup manajemen dan langganan berada di dalamnya. Grup manajemen akar ini memungkinkan kebijakan global dan penetapan peran Azure diterapkan di tingkat direktori. Administrator Global Id Entra perlu meningkatkan diri mereka ke peran Administrator Akses Pengguna dari grup akar ini pada awalnya. Setelah meningkatkan akses, administrator dapat menetapkan peran Azure apa pun ke pengguna atau grup direktori lain untuk mengelola hierarki. Sebagai administrator, Anda dapat menetapkan akun Anda sebagai pemilik grup manajemen akar.

Fakta penting tentang grup manajemen root

  • Secara default, nama tampilan grup manajemen root adalah grup root Penyewa dan beroperasi sendiri sebagai grup manajemen. ID adalah nilai yang sama dengan ID penyewa Id Entra.
  • Untuk mengubah nama tampilan, akun Anda harus diberi peran Pemilik atau Kontributor pada grup manajemen root. Lihat Mengubah nama grup manajemen untuk memperbarui nama grup manajemen.
  • Grup manajemen akar tidak dapat dipindahkan atau dihapus, tidak seperti grup manajemen lainnya.
  • Semua langganan dan grup manajemen dilipat menjadi satu grup manajemen akar dalam direktori.
    • Semua sumber daya dalam direktori dimasukkan ke grup manajemen akar untuk manajemen global.
    • Langganan baru secara otomatis default ke grup manajemen akar saat dibuat.
  • Semua pelanggan Azure dapat melihat grup manajemen akar, tetapi tidak semua pelanggan memiliki akses untuk mengelola grup manajemen akar tersebut.
    • Setiap orang yang memiliki akses ke langganan dapat melihat konteks tempat langganan tersebut berada dalam hierarki.
    • Tidak ada yang diberi akses default ke grup manajemen akar. Administrator Global Entra ID adalah satu-satunya pengguna yang dapat meningkatkan diri mereka sendiri untuk mendapatkan akses. Setelah mereka memiliki akses ke grup manajemen akar, administrator global dapat menetapkan peran Azure apa pun ke pengguna lain untuk mengelolanya.

Penting

Penetapan akses pengguna atau penetapan kebijakan apa pun di grup manajemen root berlaku untuk semua sumber daya dalam direktori. Karena itu, semua pelanggan harus mengevaluasi kebutuhan untuk memiliki item yang ditentukan pada cakupan ini. Penetapan akses pengguna dan kebijakan harus "Harus Memiliki" hanya pada cakupan ini.

Penyiapan awal grup manajemen

Saat pengguna mulai menggunakan grup manajemen, ada proses penyiapan awal yang terjadi. Langkah pertama adalah grup manajemen akar dibuat di direktori. Setelah grup ini dibuat, semua langganan yang ada di direktori dijadikan anak dari grup manajemen akar. Alasan untuk proses ini adalah untuk memastikan hanya ada satu hierarki grup manajemen dalam direktori. Hierarki tunggal dalam direktori memungkinkan pelanggan administratif menerapkan akses global dan kebijakan yang tidak dapat dilewati oleh pelanggan lain dalam direktori. Apa pun yang ditetapkan pada root akan berlaku untuk seluruh hierarki, yang mencakup semua grup manajemen, langganan, grup sumber daya, dan sumber daya dalam penyewa Entra ID tersebut.

Akses grup manajemen

Grup manajemen Azure mendukung kontrol akses berbasis peran Azure (Azure RBAC) untuk semua akses sumber daya dan definisi peran. Izin ini diwariskan ke sumber daya anak yang ada dalam hierarki. Peran Azure apa pun dapat ditetapkan ke grup manajemen yang akan mewarisi hierarki ke sumber daya. Misalnya, kontributor komputer virtual peran Azure dapat ditetapkan ke grup manajemen. Peran ini tidak memiliki tindakan pada grup manajemen tetapi akan mewarisi semua VM di bawah grup manajemen tersebut.

Bagan berikut memperlihatkan daftar peran dan tindakan yang didukung pada grup manajemen.

Nama Peran Azure Buat Ubah nama Pindah** Hapus Tetapkan Akses Tetapkan Kebijakan Read
Pemilik X X X X X X X
Kontributor X X X X X
Kontributor MG* X X X X X
Pembaca X
Pembaca MG* X
Kontributor Policy Sumber Daya X
Akses Administrator Pengguna X X

*: Peran Kontributor Grup Manajemen dan Pembaca Grup Manajemen memungkinkan pengguna melakukan tindakan tersebut hanya pada cakupan grup manajemen.

**: Penetapan Peran pada grup manajemen root tidak diperlukan untuk memindahkan langganan atau grup manajemen ke dan dari grup manajemen tersebut.

Lihat Mengelola sumber daya Anda dengan grup manajemen untuk detail tentang memindahkan item dalam hierarki.

Definisi dan penetapan peran kustom Azure

Anda dapat menentukan grup manajemen sebagai cakupan yang dapat ditetapkan dalam definisi peran kustom Azure. Peran kustom Azure kemudian akan tersedia untuk penugasan pada grup manajemen tersebut dan grup manajemen, langganan, grup sumber daya, atau sumber daya apa pun di bawahnya. Peran kustom akan mewarisi hierarki seperti peran bawaan apa pun. Untuk informasi tentang batasan dengan peran kustom dan grup manajemen, lihat Batasan.

Contoh definisi

Mendefinisikan dan membuat peran kustom tidak berubah dengan dimasukkannya grup manajemen. Gunakan jalur lengkap untuk menentukan grup manajemen /providers/Microsoft.Management/managementgroups/{groupId}.

Gunakan ID grup manajemen dan bukan nama tampilan grup manajemen. Kesalahan umum ini terjadi karena keduanya adalah bidang yang ditentukan khusus saat membuat grup manajemen.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Masalah pelanggaran definisi peran dan jalur hierarki penetapan

Definisi peran adalah cakupan yang dapat ditetapkan di mana saja dalam hierarki grup manajemen. Definisi peran dapat ditentukan pada grup manajemen induk sementara penetapan peran aktual ada pada langganan anak. Karena adanya hubungan di antara dua item, Anda akan menerima kesalahan saat mencoba memisahkan penetapan dari definisinya.

Misalnya, mari kita lihat bagian kecil hierarki untuk visual.

Diagram subset hierarki grup manajemen sampel.

Diagram berfokus pada grup manajemen akar dengan zona Pendaratan anak dan grup manajemen Kotak pasir. Grup manajemen Zona arahan memiliki dua grup manajemen anak bernama Corp dan Online sementara grup manajemen Sandbox memiliki dua langganan anak.

Katakanlah ada peran kustom yang ditentukan pada grup manajemen Sandbox. Peran kustom tersebut kemudian ditetapkan pada dua langganan Sandbox.

Jika kita mencoba memindahkan salah satu langganan tersebut menjadi anak dari grup manajemen Corp, pemindahan ini akan merusak jalur dari penetapan peran langganan ke definisi peran grup manajemen Sandbox. Dalam skenario ini, Anda akan menerima kesalahan yang mengatakan pemindahan tersebut tidak diizinkan karena akan memutuskan hubungan ini.

Ada beberapa opsi berbeda untuk memperbaiki skenario ini:

  • Hapus penetapan peran dari langganan sebelum memindahkan langganan ke MG induk baru.
  • Tambahkan langganan ke cakupan yang dapat ditetapkan definisi peran.
  • Ubah cakupan yang dapat ditetapkan dalam definisi peran. Dalam contoh di atas, Anda dapat memperbarui cakupan yang dapat ditetapkan dari Sandbox ke grup manajemen akar sehingga definisi dapat dicapai oleh kedua cabang hierarki.
  • Buat peran kustom lain yang ditentukan di cabang lain. Peran baru ini mengharuskan penetapan peran juga diubah pada langganan.

Batasan

Ada batasan yang ada saat menggunakan peran kustom pada grup manajemen.

  • Anda hanya dapat menentukan satu grup manajemen dalam cakupan peran baru yang dapat ditetapkan. Pembatasan ini diberlakukan untuk mengurangi jumlah situasi ketika definisi peran dan penetapan peran terputus. Situasi ini terjadi saat grup langganan atau manajemen dengan penetapan peran berpindah ke induk berbeda yang tidak memiliki definisi peran.
  • Peran kustom dengan DataActions tidak dapat ditetapkan di cakupan grup manajemen. Untuk informasi selengkapnya, lihat Batas peran kustom.
  • Azure Resource Manager tidak memvalidasi keberadaan grup manajemen dalam cakupan yang dapat ditetapkan definisi peran. Jika ada salah tik atau ID grup manajemen yang salah tercantum, definisi peran tetap dibuat.

Memindahkan grup manajemen dan langganan

Untuk memindahkan grup manajemen atau langganan ke anak dari grup manajemen lain, tiga aturan perlu dievaluasi sebagai benar.

Jika Anda melakukan tindakan pemindahan, Anda perlu:

  • Izin tulis grup manajemen dan tulis penetapan peran di langganan anak atau grup manajemen.
    • Contoh peran bawaan: Pemilik
  • Grup manajemen menulis akses pada grup manajemen induk target.
    • Contoh peran bawaan: Pemilik, Kontributor, Kontributor Grup Manajemen
  • Akses tulis grup manajemen pada grup manajemen induk yang ada.
    • Contoh peran bawaan: Pemilik, Kontributor, Kontributor Grup Manajemen

Pengecualian: Jika grup manajemen target atau induk yang ada adalah grup manajemen root, persyaratan izin tidak berlaku. Karena grup manajemen root adalah tempat arahan default untuk semua grup manajemen dan langganan baru, Anda tidak memerlukan izin untuk memindahkan item.

Jika peran Pemilik pada langganan diwariskan dari grup manajemen saat ini, target pemindahan Anda akan dibatasi. Anda hanya bisa memindahkan langganan ke grup manajemen lain tempat Anda memiliki peran Pemilik. Anda tidak dapat memindahkannya ke grup manajemen tempat Anda menjadi Kontributor karena Anda akan kehilangan kepemilikan langganan. Jika Anda langsung ditetapkan ke peran Pemilik untuk langganan (bukan diwariskan dari grup manajemen), Anda dapat memindahkannya ke grup manajemen mana pun tempat Anda adalah Kontributor.

Penting

Azure Resource Manager meng-cache detail hierarki grup manajemen hingga 30 menit. Akibatnya, memindahkan grup manajemen mungkin tidak segera muncul dalam portal Microsoft Azure.

Grup manajemen audit menggunakan log aktivitas

Grup manajemen didukung dalam Log Aktivitas Azure. Anda dapat mencari semua kejadian yang terjadi pada grup manajemen di lokasi pusat yang sama dengan sumber daya Azure lainnya. Misalnya, Anda dapat melihat semua perubahan penetapan peran atau penetapan kebijakan yang dilakukan pada grup manajemen tertentu.

Cuplikan layar Log Aktivitas dan operasi yang terkait dengan grup pengelola yang dipilih.

Saat mencari kueri tentang Grup Manajemen di luar portal Azure, cakupan target untuk grup manajemen akan terlihat seperti "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Catatan

Dengan menggunakan REST API Azure Resource Manager, Anda dapat mengaktifkan setelan diagnostik pada grup manajemen untuk kirim entri log Aktivitas Azure terkait ke log analitik ruang kerja, Azure Storage, atau Azure Event Hub. Untuk informasi selengkapnya, lihat Pengaturan Diagnostik grup Manajemen - membuat atau perbarui.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang grup manajemen, lihat: