Grup pengelolaan
Gunakan grup manajemen untuk menata dan mengatur langganan Azure Anda. Saat jumlah langganan Anda meningkat, grup manajemen menyediakan struktur penting untuk lingkungan Azure Anda dan mempermudah pengelolaan langganan Anda. Gunakan panduan berikut untuk membuat hierarki grup manajemen yang efektif dan mengatur langganan Anda sesuai dengan praktik terbaik.
Pertimbangan desain grup manajemen
Struktur grup manajemen dalam penyewa Microsoft Entra mendukung pemetaan organisasi. Pertimbangkan struktur grup manajemen Anda secara menyeluruh saat organisasi Anda merencanakan adopsi Azure dalam skala besar.
Tentukan bagaimana organisasi Anda memisahkan layanan yang dimiliki atau dioperasikan oleh tim tertentu.
Tentukan apakah Anda memiliki fungsi khusus yang perlu Anda pisahkan karena alasan seperti persyaratan bisnis, persyaratan operasional, persyaratan peraturan, residensi data, keamanan data, atau kepatuhan kedaulatan data.
Gunakan grup manajemen untuk mengagregasi penetapan kebijakan dan inisiatif melalui Azure Policy.
Aktifkan otorisasi kontrol akses berbasis peran Azure (RBAC) untuk operasi grup manajemen untuk mengambil alih otorisasi default. Secara default, perwakilan apa pun, seperti perwakilan pengguna atau perwakilan layanan, dalam penyewa Microsoft Entra dapat membuat grup manajemen baru. Untuk informasi selengkapnya, lihat Cara melindungi hierarki sumber daya Anda.
Pertimbangkan juga faktor-faktor berikut:
Pohon grup manajemen dapat mendukung hingga enam tingkat kedalaman. Batas ini tidak termasuk tingkat dasar atau tingkat langganan penyewa.
Semua langganan baru ditempatkan di bawah grup manajemen akar penyewa secara default.
Untuk informasi selengkapnya, lihat Grup manajemen.
Rekomendasi grup manajemen
Jaga hierarki grup manajemen tetap datar, idealnya tidak lebih dari tiga hingga empat tingkat. Pembatasan ini akan mengurangi biaya tambahan dan kompleksitas manajemen.
Jangan menduplikasi struktur organisasi Anda ke dalam hierarki grup manajemen yang sangat berlapis. Gunakan grup manajemen untuk tujuan penugasan kebijakan versus penagihan. Untuk pendekatan ini, gunakan grup manajemen untuk tujuan yang dimaksudkan dalam arsitektur konseptual zona pendaratan Azure. Arsitektur ini menyediakan kebijakan Azure untuk beban kerja yang memerlukan jenis keamanan dan kepatuhan yang sama di bawah tingkat grup manajemen yang sama.
Buat grup manajemen di bawah grup manajemen tingkat akar Anda untuk mewakili jenis beban kerja yang Anda host. Grup-grup ini didasarkan pada kebutuhan keamanan, kepatuhan, konektivitas, dan fitur beban kerja. Dengan struktur pengelompokan ini, Anda dapat menerapkan serangkaian kebijakan Azure di tingkat grup manajemen. Gunakan struktur pengelompokan ini untuk semua beban kerja yang memerlukan pengaturan keamanan, kepatuhan, konektivitas, dan fitur yang sama.
Gunakan tag sumber daya untuk kueri dan bernavigasi secara horizontal di seluruh hierarki grup manajemen. Anda dapat menggunakan Azure Policy untuk menerapkan atau menambahkan tag sumber daya. Kemudian Anda dapat mengelompokkan sumber daya untuk kebutuhan pencarian tanpa harus menggunakan hierarki grup pengelolaan yang kompleks.
Buat grup manajemen kotak pasir tingkat atas sehingga Anda dapat segera bereksperimen dengan sumber daya sebelum memindahkannya ke lingkungan produksi. Kotak pasir menyediakan isolasi dari lingkungan pengembangan, pengujian, dan produksi Anda.
Buat grup manajemen platform di bawah grup manajemen akar untuk mendukung kebijakan platform umum dan penetapan peran Azure. Struktur pengelompokan ini memastikan bahwa Anda dapat menerapkan berbagai kebijakan ke langganan di fondasi Azure Anda. Pendekatan ini juga mempusatkan penagihan untuk sumber daya umum dalam satu set langganan dasar.
Batasi jumlah penetapan Azure Policy di cakupan grup manajemen akar. Pembatasan ini meminimalkan proses debug kebijakan yang diwariskan dalam grup pengelolaan tingkat yang lebih rendah.
Gunakan kebijakan untuk memberlakukan persyaratan kepatuhan, baik di grup manajemen atau lingkup langganan untuk mencapai tata kelola berbasis kebijakan.
Pastikan hanya pengguna istimewa yang dapat mengoperasikan grup manajemen di penyewa. Aktifkan otorisasi Azure RBAC dalam pengaturan hierarki grup manajemen untuk menyempurnakan hak istimewa pengguna. Secara default, semua pengguna dapat membuat grup manajemen mereka sendiri di bawah grup manajemen akar.
Konfigurasikan grup manajemen khusus secara default untuk langganan baru. Grup ini memastikan bahwa tidak ada langganan yang berada di bawah grup manajemen akar. Grup ini sangat penting jika pengguna memiliki manfaat dan langganan Microsoft Developer Network (MSDN) atau Visual Studio. Kandidat yang bagus untuk jenis grup manajemen ini adalah grup manajemen sandbox. Untuk informasi selengkapnya, lihat Mengatur grup manajemen default.
Jangan membuat grup manajemen untuk lingkungan produksi, pengujian, dan pengembangan. Jika perlu, pisahkan grup ini menjadi langganan yang berbeda dalam grup manajemen yang sama. Untuk informasi selengkapnya, lihat:
Kami menyarankan agar Anda menggunakan struktur grup manajemen zona pendaratan Azure standar untuk penyebaran multiregion. Jangan membuat grup manajemen hanya untuk memodelkan wilayah Azure yang berbeda. Jangan mengubah atau memperluas struktur grup manajemen Anda berdasarkan wilayah atau penggunaan multiregion.
Jika Anda memiliki persyaratan peraturan berbasis lokasi, seperti residensi data, keamanan data, atau kedaulatan data, maka Anda harus membuat struktur grup manajemen berdasarkan lokasi. Anda dapat menerapkan struktur ini di berbagai tingkatan. Untuk informasi selengkapnya, lihat Memodifikasi arsitektur zona arahan Azure.
Grup manajemen di akselerator zona pendaratan Azure dan repositori ALZ-Bicep
Contoh berikut menunjukkan struktur grup manajemen. Grup manajemen dalam contoh ini berada di akselerator zona pendaratan Azure dan modul grup manajemen repositori ALZ-Bicep.
Catatan
Anda dapat mengubah hierarki grup manajemen di modul bicep zona pendaratan Azure dengan mengedit managementGroups.bicep.
Grup manajemen | Deskripsi |
---|---|
Grup manajemen akar menengah | Grup manajemen ini berada langsung di bawah grup akar penyewa. Organisasi menyediakan grup manajemen ini dengan awalan sehingga mereka tidak perlu menggunakan grup akar. Organisasi dapat memindahkan langganan Azure yang sudah ada ke dalam hierarki. Pendekatan ini juga menyiapkan skenario di masa mendatang. Grup manajemen ini adalah induk dari semua grup manajemen lain yang dibuat oleh akselerator zona arahan Azure. |
Platform | Grup manajemen ini berisi semua platform grup manajemen turunan, seperti manajemen, konektivitas, dan identitas. |
Manajemen | Grup manajemen ini berisi langganan khusus untuk manajemen, pemantauan, dan keamanan. Langganan ini menghosting ruang kerja Log Azure Monitor, termasuk solusi terkait dan akun Azure Automation. |
Konektivitas | Grup manajemen ini berisi langganan khusus untuk konektivitas. Langganan ini menghosting sumber daya jaringan Azure, seperti Azure Virtual WAN, Azure Firewall, dan zona privat Azure DNS, yang diperlukan platform. Anda dapat menggunakan berbagai grup sumber daya untuk berisi sumber daya, seperti jaringan virtual, instans firewall, dan gateway jaringan virtual, yang disebarkan di berbagai wilayah. Beberapa penyebaran besar mungkin memiliki batasan kuota langganan untuk sumber daya konektivitas. Anda dapat membuat langganan khusus di setiap wilayah untuk sumber daya konektivitasnya. |
Identitas | Grup manajemen ini berisi langganan khusus untuk identitas. Langganan ini adalah tempat penampung untuk komputer virtual (VM) Active Directory Domain Services (AD DS) atau Microsoft Entra Domain Services. Anda dapat menggunakan berbagai grup sumber daya untuk berisi sumber daya, seperti jaringan virtual dan VM, yang disebarkan di berbagai wilayah. Langganan ini juga memungkinkan AuthN atau AuthZ untuk beban kerja dalam zona arahan. Tetapkan kebijakan Azure tertentu untuk mengeraskan dan mengelola sumber daya dalam langganan identitas. Beberapa penyebaran besar mungkin memiliki batasan kuota langganan untuk sumber daya konektivitas. Anda dapat membuat langganan khusus di setiap wilayah untuk sumber daya konektivitasnya. |
Zona pendaratan | Grup manajemen induk yang berisi semua grup manajemen anak zona pendaratan. Ini memiliki kebijakan Azure agnostik beban kerja yang ditetapkan untuk memastikan bahwa beban kerja aman dan sesuai. |
Online | Grup manajemen khusus untuk zona arahan online. Grup ini untuk beban kerja yang mungkin memerlukan konektivitas masuk atau keluar internet langsung atau untuk beban kerja yang mungkin tidak memerlukan jaringan virtual. |
Corp | Grup manajemen khusus untuk zona arahan perusahaan. Grup ini adalah untuk beban kerja yang memerlukan konektivitas atau konektivitas hibrid dengan jaringan perusahaan melalui hub dalam langganan konektivitas. |
Kotak pasir | Grup manajemen khusus untuk langganan. Organisasi menggunakan kotak pasir untuk pengujian dan eksplorasi. Langganan ini diisolasi dengan aman dari zona pendaratan perusahaan dan online. Sandbox juga memiliki serangkaian kebijakan yang kurang ketat yang ditetapkan untuk mengaktifkan pengujian, eksplorasi, dan konfigurasi layanan Azure. |
Dinonaktifkan | Grup manajemen khusus untuk zona pendaratan yang dibatalkan. Anda memindahkan zona pendaratan yang dibatalkan ke grup manajemen ini, lalu Azure menghapusnya setelah 30-60 hari. |
Catatan
Untuk banyak organisasi, grup default Corp
dan Online
manajemen menyediakan titik awal yang ideal.
Beberapa organisasi perlu menambahkan lebih banyak grup manajemen.
Jika Anda ingin mengubah hierarki grup manajemen, lihat Menyesuaikan arsitektur zona pendaratan Azure untuk memenuhi persyaratan.
Izin untuk akselerator zona arahan Azure
Akselerator zona pendaratan Azure:
Memerlukan nama perwakilan layanan khusus (SPN) untuk menjalankan operasi grup manajemen, operasi manajemen langganan, dan penetapan peran. Gunakan SPN untuk mengurangi jumlah pengguna yang memiliki hak yang ditingkatkan dan mengikuti pedoman hak istimewa terkecil.
Memerlukan peran Administrator Akses Pengguna pada cakupan grup manajemen root untuk memberikan SPN akses di tingkat root. Setelah SPN memiliki izin, Anda dapat menghapus peran Administrator Akses Pengguna dengan aman. Pendekatan ini memastikan bahwa hanya SPN yang terhubung ke peran Administrator Akses Pengguna.
Memerlukan peran Kontributor untuk SPN yang disebutkan sebelumnya pada cakupan grup manajemen akar, yang memungkinkan operasi tingkat penyewa. Tingkat izin ini memastikan bahwa Anda dapat menggunakan SPN untuk menyebarkan dan mengelola sumber daya ke langganan apa pun dalam organisasi Anda.
Langkah selanjutnya
Pelajari cara menggunakan langganan saat Anda merencanakan adopsi Azure skala besar.