Grup pengelolaan
Grup manajemen sangat penting untuk mengatur dan mengatur langganan Azure Anda. Saat jumlah langganan Anda meningkat, grup manajemen menyediakan struktur penting untuk lingkungan Azure Anda dan mempermudah pengelolaan langganan Anda. Gunakan panduan berikut untuk membuat hierarki grup manajemen yang efektif dan mengatur langganan Anda sesuai dengan praktik terbaik.
Pertimbangan desain grup manajemen
Struktur grup manajemen dalam penyewa Microsoft Entra mendukung pemetaan organisasi. Pertimbangkan struktur grup manajemen Anda secara menyeluruh saat organisasi Anda merencanakan adopsi Azure dalam skala besar.
Bagaimana cara organisasi Anda memisahkan layanan yang dimiliki atau dioperasikan oleh tim tertentu?
Apakah ada fungsi khusus yang perlu dipisahkan untuk alasan kepatuhan bisnis atau operasional?
Anda dapat menggunakan grup manajemen untuk menggabungkan kebijakan dan penetapan inisiatif melalui Azure Policy.
Pohon grup manajemen dapat mendukung hingga enam tingkat kedalaman. Batas ini tidak termasuk tingkat dasar atau tingkat langganan penyewa.
Perwakilan apa pun, baik pengguna atau perwakilan layanan, dalam penyewa Microsoft Entra dapat membuat grup manajemen baru. Izin ini karena otorisasi kontrol akses berbasis peran Azure (RBAC) untuk operasi grup manajemen tidak diaktifkan secara default. Untuk informasi selengkapnya, lihat Cara melindungi hierarki sumber daya Anda
Semua langganan baru akan ditempatkan di bawah grup manajemen root penyewa secara default.
Lihat grup manajemen untuk mencari tahu kemampuan mereka secara lebih detail.
Rekomendasi grup manajemen
Jaga hierarki grup manajemen tetap datar, idealnya tidak lebih dari tiga hingga empat tingkat. Pembatasan ini akan mengurangi biaya tambahan dan kompleksitas manajemen.
Hindari menduplikasi struktur organisasi Anda ke dalam hierarki grup pengelolaan yang sangat bertingkat. Gunakan grup manajemen untuk tujuan penugasan kebijakan versus penagihan. Pendekatan ini menyerukan penggunaan grup manajemen untuk tujuan yang dimaksudkan dalam arsitektur konseptual zona arahan Azure. Arsitektur ini menyediakan kebijakan Azure untuk beban kerja yang memerlukan jenis keamanan dan kepatuhan yang sama di bawah tingkat grup manajemen yang sama.
Buat grup manajemen di bawah grup manajemen tingkat root Anda untuk mewakili jenis beban kerja yang akan Anda hosting. Grup-grup ini didasarkan pada kebutuhan keamanan, kepatuhan, konektivitas, dan fitur beban kerja. Dengan struktur pengelompokan ini, Anda dapat menerapkan serangkaian kebijakan Azure di tingkat grup manajemen. Struktur pengelompokan ini untuk semua beban kerja yang memerlukan pengaturan keamanan, kepatuhan, konektivitas, dan fitur yang sama.
Gunakan tag sumber daya untuk kueri dan bernavigasi secara horizontal di seluruh hierarki grup manajemen. Tag sumber daya dapat diberlakukan atau ditambahkan melalui Azure Policy. Kemudian Anda dapat mengelompokkan sumber daya untuk kebutuhan pencarian tanpa harus menggunakan hierarki grup pengelolaan yang kompleks.
Buat grup manajemen sandbox tingkat atas agar pengguna dapat segera bereksperimen dengan Azure. Pengguna kemudian dapat bereksperimen dengan sumber daya yang mungkin belum diizinkan di lingkungan produksi. Kotak pasir menyediakan isolasi dari lingkungan pengembangan, pengujian, dan produksi Anda.
Buat grup manajemen platform di bawah grup manajemen dasar untuk mendukung kebijakan platform umum dan penetapan peran Azure. Struktur pengelompokan ini memastikan bahwa kebijakan yang berbeda dapat diterapkan ke langganan yang digunakan untuk dasar Azure Anda. Ini juga memastikan bahwa penagihan untuk sumber daya umum dipusatkan dalam satu kumpulan langganan dasar.
Batasi jumlah penetapan Azure Policy yang dibuat di cakupan grup manajemen root. Pembatasan ini meminimalkan proses debug kebijakan yang diwariskan dalam grup pengelolaan tingkat yang lebih rendah.
Gunakan kebijakan untuk memberlakukan persyaratan kepatuhan, baik di grup manajemen atau lingkup langganan untuk mencapai tata kelola berbasis kebijakan.
Pastikan hanya pengguna istimewa yang dapat mengoperasikan grup manajemen di penyewa. Aktifkan otorisasi Azure RBAC dalam pengaturan hierarki grup manajemen untuk menyempurnakan hak istimewa pengguna. Secara default, semua pengguna diberi wewenang untuk membuat grup manajemennya sendiri di bawah grup manajemen root.
Konfigurasikan grup manajemen khusus secara default untuk langganan baru. Grup ini memastikan bahwa tidak ada langganan yang diposisikan di bawah grup manajemen root. Grup ini sangat penting jika ada pengguna yang memenuhi syarat untuk mendapat manfaat dan langganan Microsoft Developer Network (MSDN) atau Visual Studio. Kandidat yang bagus untuk jenis grup manajemen ini adalah grup manajemen sandbox. Untuk informasi selengkapnya, lihat Pengaturan - grup manajemen default.
Jangan membuat grup manajemen untuk lingkungan produksi, pengujian, dan pengembangan. Jika perlu, pisahkan grup ini menjadi langganan yang berbeda dalam grup manajemen yang sama. Untuk melihat panduan lebih lanjut terkait topik ini, lihat:
Grup manajemen di akselerator zona pendaratan Azure dan repositori ALZ-Bicep
Keputusan berikut telah dibuat dan disertakan dalam implementasi untuk struktur grup manajemen. Keputusan ini adalah bagian dari akselerator zona pendaratan Azure dan modul grup manajemen repositori ALZ-Bicep.
Catatan
Hierarki grup manajemen dapat dimodifikasi dalam modul bicep zona pendaratan Azure dengan mengedit managementGroups.bicep.
| Grup manajemen | Deskripsi |
|---|---|
| Grup Manajemen Root Menengah | Grup manajemen ini terletak tepat di bawah grup root penyewa. Dibuat dengan awalan yang disediakan organisasi, yang dengan sengaja menghindari penggunaan grup root sehingga organisasi dapat memindahkan langganan Azure yang ada ke dalam hierarki. Ini juga memungkinkan adanya skenario masa depan. Grup manajemen ini adalah induk dari semua grup manajemen lain yang dibuat oleh akselerator zona arahan Azure. |
| Platform | Grup manajemen ini berisi semua platform grup manajemen turunan, seperti manajemen, konektivitas, dan identitas. |
| Manajemen | Grup manajemen ini berisi langganan khusus untuk manajemen, pemantauan, dan keamanan. Langganan ini akan menghosting ruang kerja Azure Log Analytics, termasuk solusi terkait, dan akun Azure Automation. |
| Konektivitas | Grup manajemen ini berisi langganan khusus untuk konektivitas. Langganan ini akan menghosting sumber daya jaringan Azure yang diperlukan untuk platform, seperti Azure Virtual WAN, Azure Firewall, dan zona pribadi Azure DNS. |
| Identitas | Grup manajemen ini berisi langganan khusus untuk identitas. Langganan ini adalah tempat penampung untuk komputer virtual (VM) Windows Server Active Directory Domain Services (AD DS) atau Microsoft Entra Domain Services. Langganan ini juga memungkinkan AuthN atau AuthZ untuk beban kerja dalam zona arahan. Kebijakan Azure tertentu ditetapkan untuk memperkuat dan mengelola sumber daya dalam langganan identitas. |
| Zona Arahan | Grup manajemen induk untuk semua grup manajemen turunan zona arahan. Ini akan memiliki kebijakan Azure agnostik beban kerja yang ditetapkan untuk memastikan beban kerja aman dan sesuai. |
| Online | Grup manajemen khusus untuk zona arahan online. Grup ini adalah untuk beban kerja yang mungkin memerlukan konektivitas masuk/keluar internet langsung atau untuk beban kerja yang mungkin tidak memerlukan jaringan virtual. |
| Corp | Grup manajemen khusus untuk zona arahan perusahaan. Grup ini adalah untuk beban kerja yang memerlukan konektivitas atau konektivitas hibrid dengan jaringan perusahaan melalui hub dalam langganan konektivitas. |
| Kotak pasir | Grup manajemen khusus untuk langganan yang hanya akan digunakan untuk pengujian dan eksplorasi oleh organisasi. Langganan ini akan terputus dengan aman dari zona arahan perusahaan dan online. Sandbox juga memiliki serangkaian kebijakan yang kurang ketat yang ditetapkan untuk mengaktifkan pengujian, eksplorasi, dan konfigurasi layanan Azure. |
| Dinonaktifkan | Grup manajemen khusus untuk zona arahan yang sedang dibatalkan. Zona arahan yang dibatalkan akan dipindahkan ke grup manajemen ini sebelum dihapus oleh Azure setelah 30-60 hari. |
Catatan
Untuk banyak organisasi, grup default Corp dan Online manajemen menyediakan titik awal yang ideal.
Beberapa organisasi perlu menambahkan lebih banyak, sementara yang lain tidak akan menemukannya relevan dengan organisasi mereka.
Jika Anda mempertimbangkan untuk membuat perubahan pada hierarki Grup Manajemen, silakan lihat arsitektur Tailor the Azure landing zone kami untuk memenuhi panduan persyaratan .
Izin untuk akselerator zona arahan Azure
Memerlukan nama prinsipal layanan (SPN) khusus untuk menjalankan operasi grup manajemen, operasi manajemen langganan, dan penetapan peran. Menggunakan SPN mengurangi jumlah pengguna yang memiliki hak tinggi dan mengikuti pedoman hak paling rendah.
Memerlukan peran Administrator Akses Pengguna pada cakupan grup manajemen root untuk memberikan SPN akses di tingkat root. Setelah SPN diberikan izin, peran Administrator Akses Pengguna dapat dihapus dengan aman. Dengan cara ini, hanya SPN yang merupakan bagian dari peran Administrator Akses Pengguna.
Memerlukan peran Kontributor untuk SPN yang sebelumnya disebutkan pada lingkup grup manajemen root, yang memungkinkan operasi tingkat penyewa. Tingkat izin ini memastikan bahwa SPN dapat digunakan untuk menyebarkan dan mengelola sumber daya ke setiap langganan dalam organisasi Anda.
Langkah berikutnya
Pelajari peran langganan saat Anda merencanakan adopsi Azure berskala besar.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk