Cara melindungi hierarki sumber daya Anda

Sumber daya, grup sumber daya, langganan, grup manajemen, dan penyewa Anda secara kolektif membuat hierarki sumber daya Anda. Pengaturan di grup manajemen akar, seperti peran kustom Azure atau penetapan kebijakan Azure Policy, dapat memengaruhi setiap sumber daya dalam hierarki sumber daya Anda. Penting untuk melindungi hierarki sumber daya dari perubahan yang dapat berdampak negatif pada semua sumber daya.

Grup manajemen sekarang memiliki pengaturan hierarki yang memungkinkan administrator penyewa mengontrol perilaku ini. Artikel ini membahas setiap pengaturan hierarki yang tersedia dan cara mengaturnya.

Izin Azure RBAC untuk pengaturan hierarki

Mengonfigurasi salah satu pengaturan hierarki memerlukan dua operasi penyedia sumber daya berikut pada grup manajemen akar:

• Microsoft.Management/managementgroups/settings/write
• Microsoft.Management/managementgroups/settings/read

Operasi ini hanya memungkinkan pengguna untuk membaca dan memperbarui pengaturan hierarki. Operasi tidak memberikan akses lain ke hierarki atau sumber daya grup manajemen dalam hierarki. Kedua operasi ini tersedia di Administrator Pengaturan Hierarki peran bawaan Azure.

Pengaturan - Grup manajemen default

Secara default, langganan baru yang ditambahkan dalam penyewa ditambahkan sebagai anggota grup manajemen akar. Jika penetapan kebijakan, kontrol akses berbasis peran Azure (Azure RBAC), dan konstruksi tata kelola lainnya ditetapkan ke grup manajemen akar, langganan baru ini langsung terpengaruh. Untuk alasan ini, banyak organisasi tidak menerapkan konstruksi ini di kelompok manajemen akar meskipun itu adalah tempat yang diinginkan untuk menetapkannya. Dalam kasus lain, serangkaian kontrol yang lebih ketat diinginkan untuk langganan baru, tetapi tidak boleh ditetapkan ke semua langganan. Pengaturan ini mendukung kedua kasus penggunaan.

Dengan mengizinkan grup manajemen default untuk langganan baru yang ditentukan, konstruksi tata kelola di seluruh organisasi dapat diterapkan di grup manajemen akar, dan grup manajemen terpisah dengan penetapan kebijakan atau penetapan peran Azure yang lebih cocok untuk langganan baru dapat ditentukan.

Mengatur grup manajemen default di portal

Untuk mengonfigurasi pengaturan ini di portal Microsoft Azure, ikuti langkah-langkah berikut:

1. Gunakan bilah pencarian untuk mencari dan memilih 'Grup manajemen'.

2. Pada grup manajemen akar, pilih detail di samping nama grup manajemen.

3. Pada Pengaturan, pilih Pengaturan hierarki.

4. Pilih tombol Ubah grup manajemen default.

   Catatan

   Jika tombol Ubah grup manajemen default dinonaktifkan, grup manajemen yang sedang dilihat bukan grup manajemen akar atau prinsip keamanan Anda tidak memiliki izin yang diperlukan untuk mengubah pengaturan hierarki.

5. Pilih grup manajemen dari hierarki Anda dan gunakan tombol Pilih.

Mengatur grup manajemen default dengan REST API

Untuk mengonfigurasi pengaturan ini dengan REST API, titik akhir Pengaturan Hierarki dipanggil. Untuk melakukannya, gunakan format isi dan URI REST API. Ganti {rootMgID} dengan ID grup manajemen akar Anda dan {defaultGroupID} dengan ID grup manajemen untuk menjadi grup manajemen default:

• URI REST API

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Isi Permintaan

  {
      "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
      }
  }
  

Untuk mengatur kembali grup manajemen default ke grup manajemen akar, gunakan titik akhir yang sama dan atur defaultManagementGroup ke nilai /providers/Microsoft.Management/managementGroups/{rootMgID}.

Pengaturan - Memerlukan otorisasi

Semua pengguna, secara default, dapat membuat grup manajemen baru dalam penyewa. Admin penyewa mungkin hanya ingin memberikan izin ini kepada pengguna tertentu untuk menjaga konsistensi dan kesesuaian dalam hierarki grup manajemen. Jika diaktifkan, pengguna memerlukan operasi Microsoft.Management/managementGroups/write pada grup manajemen akar untuk membuat grup manajemen anak baru.

Pengaturan memerlukan otorisasi di portal

Untuk mengonfigurasi pengaturan ini di portal Microsoft Azure, ikuti langkah-langkah berikut:

1. Gunakan bilah pencarian untuk mencari dan memilih 'Grup manajemen'.

2. Pada grup manajemen akar, pilih detail di samping nama grup manajemen.

3. Pada Pengaturan, pilih Pengaturan hierarki.

4. Nyalakan opsi Memerlukan izin untuk membuat grup pengelolaan baru. ke aktif.

   Catatan

   Jika tombol Memerlukan izin untuk membuat grup pengelolaan baru. tombol dinonaktifkan, baik grup manajemen yang dilihat bukan grup manajemen akar atau prinsip keamanan Anda tidak memiliki izin yang diperlukan untuk mengubah pengaturan hierarki.

Pengaturan memerlukan otorisasi dengan REST API

Untuk mengonfigurasi pengaturan ini dengan REST API, titik akhir Pengaturan Hierarki dipanggil. Untuk melakukannya, gunakan format isi dan URI REST API. Nilai ini adalah boolean, jadi masukkan true atau false untuk nilai tersebut. Nilai true memungkinkan metode ini melindungi hierarki grup manajemen Anda:

• URI REST API

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Isi Permintaan

  {
      "properties": {
          "requireAuthorizationForGroupCreation": true
      }
  }
  

Untuk menonaktifkan pengaturan, gunakan titik akhir yang sama dan atur requireAuthorizationForGroupCreation ke nilai false.

Sampel PowerShell

PowerShell tidak memiliki perintah 'Az' untuk mengatur grup manajemen default atau mengatur otorisasi diperlukan, tetapi sebagai solusinya Anda dapat menggunakan REST API dengan sampel PowerShell di bawah ini:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Langkah berikutnya

Untuk mempelajari selengkapnya tentang grup manajemen, lihat:

• Membuat grup manajemen untuk mengatur sumber daya Azure
• Cara mengubah, menghapus, atau mengelola grup manajemen