Bagikan melalui


Lindungi sumber daya Anda

Sumber daya, grup sumber daya, langganan, grup manajemen, dan penyewa Anda menyusun hierarki sumber daya Anda. Pengaturan di grup manajemen akar, seperti peran kustom Azure atau penetapan kebijakan, dapat memengaruhi setiap sumber daya dalam hierarki sumber daya Anda. Penting untuk melindungi hierarki sumber daya dari perubahan yang dapat berdampak negatif pada semua sumber daya.

Grup manajemen memiliki pengaturan hierarki yang memungkinkan administrator penyewa mengontrol perilaku ini. Artikel ini membahas setiap pengaturan hierarki yang tersedia dan cara mengaturnya.

Izin Azure RBAC untuk pengaturan hierarki

Mengonfigurasi pengaturan hierarki memerlukan operasi penyedia sumber daya berikut pada grup manajemen akar:

  • Microsoft.Management/managementgroups/settings/write
  • Microsoft.Management/managementgroups/settings/read

Operasi ini mewakili izin kontrol akses berbasis peran Azure (Azure RBAC). Mereka hanya mengizinkan pengguna untuk membaca dan memperbarui pengaturan hierarki. Mereka tidak menyediakan akses lain ke hierarki grup manajemen atau ke sumber daya dalam hierarki.

Kedua operasi ini tersedia di Administrator Pengaturan Hierarki peran bawaan Azure.

Pengaturan: Tentukan grup manajemen default

Secara default, langganan baru yang Anda tambahkan di penyewa menjadi anggota grup manajemen akar. Jika Anda menetapkan penetapan kebijakan, Azure RBAC, dan konstruksi tata kelola lainnya ke grup manajemen akar, mereka segera memengaruhi langganan baru ini. Untuk alasan ini, banyak organisasi tidak menerapkan konstruksi ini di grup manajemen akar, meskipun itu adalah tempat yang diinginkan untuk menetapkannya. Dalam kasus lain, organisasi menginginkan serangkaian kontrol yang lebih ketat untuk langganan baru tetapi tidak ingin menetapkannya ke semua langganan. Pengaturan ini mendukung kedua kasus penggunaan.

Dengan mengizinkan grup manajemen default untuk langganan baru ditentukan, Anda dapat menerapkan konstruksi tata kelola di seluruh organisasi di grup manajemen akar. Anda dapat menentukan grup manajemen terpisah dengan penetapan kebijakan atau penetapan peran Azure yang lebih cocok untuk langganan baru.

Menentukan grup manajemen default di portal

  1. Masuk ke portal Azure.

  2. Gunakan bilah pencarian untuk mencari dan memilih Grup manajemen.

  3. Pada grup manajemen akar, pilih detail di samping nama grup manajemen.

  4. Pada Pengaturan, pilih Pengaturan hierarki.

  5. Pilih tombol Ubah grup manajemen default.

    Jika tombol Ubah grup manajemen default tidak tersedia, penyebabnya adalah salah satu kondisi berikut:

    • Grup manajemen yang Anda lihat bukan grup manajemen akar.
    • Prinsip keamanan Anda tidak memiliki izin yang diperlukan untuk mengubah pengaturan hierarki.
  6. Pilih grup manajemen dari hierarki Anda, lalu pilih tombol Pilih .

Tentukan grup manajemen default dengan menggunakan REST API

Untuk menentukan grup manajemen default dengan menggunakan REST API, Anda harus memanggil titik akhir Pengaturan Hierarki. Gunakan URI REST API dan format isi berikut. Ganti {rootMgID} dengan ID grup manajemen akar Anda. Ganti {defaultGroupID} dengan ID grup manajemen yang akan menjadi grup manajemen default.

  • REST API URI:

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
    
  • Isi permintaan:

    {
        "properties": {
            "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
        }
    }
    

Untuk mengatur kembali grup manajemen default ke grup manajemen akar, gunakan titik akhir yang sama dan atur defaultManagementGroup ke nilai /providers/Microsoft.Management/managementGroups/{rootMgID}.

Pengaturan: Memerlukan otorisasi

Setiap pengguna, secara default, dapat membuat grup manajemen baru di penyewa. Admin penyewa mungkin ingin memberikan izin ini hanya kepada pengguna tertentu, untuk menjaga konsistensi dan kesuaian dalam hierarki grup manajemen. Untuk membuat grup manajemen anak, pengguna memerlukan Microsoft.Management/managementGroups/write operasi pada grup manajemen akar.

Memerlukan otorisasi di portal

  1. Masuk ke portal Azure.

  2. Gunakan bilah pencarian untuk mencari dan memilih Grup manajemen.

  3. Pada grup manajemen akar, pilih detail di samping nama grup manajemen.

  4. Pada Pengaturan, pilih Pengaturan hierarki.

  5. Aktifkan tombol Perlu izin untuk membuat grup manajemen baru.

    Jika tombol Perlu izin untuk membuat grup manajemen baru tidak tersedia, penyebabnya adalah salah satu kondisi berikut:

    • Grup manajemen yang Anda lihat bukan grup manajemen akar.
    • Prinsip keamanan Anda tidak memiliki izin yang diperlukan untuk mengubah pengaturan hierarki.

Memerlukan otorisasi dengan menggunakan REST API

Untuk memerlukan otorisasi dengan menggunakan REST API, panggil titik akhir Pengaturan Hierarki. Gunakan URI REST API dan format isi berikut. Nilai ini adalah Boolean, jadi berikan salah satu true atau false untuk nilainya. Nilai true memungkinkan metode ini melindungi hierarki grup manajemen Anda.

  • REST API URI:

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
    
  • Isi permintaan:

    {
        "properties": {
            "requireAuthorizationForGroupCreation": true
        }
    }
    

Untuk menonaktifkan pengaturan, gunakan titik akhir yang sama dan atur requireAuthorizationForGroupCreation ke nilai false.

Sampel Azure PowerShell

Azure PowerShell tidak memiliki Az perintah untuk menentukan grup manajemen default atau memerlukan otorisasi. Sebagai solusinya, Anda dapat menggunakan REST API dengan sampel Azure PowerShell berikut:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Untuk mempelajari selengkapnya tentang grup manajemen, lihat: