Mengelola langganan Azure Anda dalam skala besar dengan grup pengelola

Jika organisasi Anda memiliki banyak langganan, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan untuk langganan tersebut secara efisien. Grup manajemen Azure menyediakan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam kontainer yang disebut "grup manajemen" dan menerapkan syarat tata kelola ke grup manajemen. Semua langganan dalam grup manajemen secara otomatis mewarisi kondisi yang diterapkan ke grup manajemen.

Grup manajemen memberi Anda manajemen tingkat perusahaan dalam skala besar apa pun jenis langganan yang mungkin Anda miliki. Untuk informasi selengkapnya tentang grup manajemen, lihat Mengatur sumber daya Anda dengan grup manajemen Azure.

Catatan

Artikel ini memberikan langkah-langkah tentang cara menghapus data privat dari perangkat atau layanan dan dapat digunakan untuk mendukung kewajiban Anda berdasarkan GDPR. Untuk informasi umum tentang GDPR, lihat bagian GDPR di Pusat Kepercayaan Microsoft dan bagian GDPR di portal Kepercayaan Layanan.

Penting

Token pengguna Azure Resource Manager dan cache grup manajemen berlangsung selama 30 menit sebelum dipaksa untuk menyegarkan. Setelah melakukan tindakan apa pun seperti memindahkan grup manajemen atau langganan, mungkin perlu waktu hingga 30 menit untuk ditampilkan. Untuk melihat pembaruan lebih cepat, Anda perlu memperbarui token Anda dengan menyegarkan browser, masuk dan keluar, atau meminta token baru.

Penting

Cmdlet AzManagementGroup terkait Az PowerShell menyebutkan bahwa -GroupId adalah alias parameter -GroupName sehingga kita dapat menggunakan salah satu dari keduanya untuk memberikan Id Grup Manajemen sebagai nilai string.

Mengubah nama grup manajemen

Anda dapat mengubah nama grup manajemen dengan menggunakan portal, PowerShell, atau Azure CLI.

Mengubah nama di portal

  1. Masuk ke portal Microsoft Azure.

  2. Pilih Semua layanan>Manajemen grup.

  3. Pilih grup manajemen yang ingin Anda ganti namanya.

  4. Pilih Detail.

  5. Pilih opsi Ganti nama grup di bagian atas halaman.

    Cuplikan layar bilah tindakan dan tombol 'Ganti Nama Grup' pada halaman grup pengelola.

  6. Saat menu terbuka, masukkan nama baru yang ingin Anda tampilkan.

    Cuplikan layar jendela Ganti Nama Grup dan opsi untuk mengganti nama grup pengelola.

  7. Pilih Simpan.

Mengubah nama di PowerShell

Untuk memperbarui nama tampilan, gunakan Update-AzManagementGroup. Misalnya, untuk mengubah nama tampilan grup manajemen dari "Contoso IT" menjadi "Contoso Group", jalankan perintah berikut:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Mengubah nama di Azure CLI

Untuk Azure CLI, gunakan perintah perbarui.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Menghapus grup manajemen

Untuk menghapus grup manajemen, persyaratan berikut harus dipenuhi:

  1. Tidak ada grup manajemen anak atau langganan di bawah grup manajemen. Untuk memindahkan grup langganan atau manajemen ke grup manajemen lain, lihat Memindahkan grup manajemen dan langganan dalam hierarki.

  2. Anda memerlukan izin tulis pada grup manajemen ("Pemilik", "Kontributor", atau "Kontributor Grup Manajemen"). Untuk melihat izin apa yang Anda miliki, pilih grup manajemen lalu pilih IAM. Untuk informasi selengkapnya tentang peran Azure, lihat Kontrol akses berbasis peran Azure (Azure RBAC).

Menghapus di portal

  1. Masuk ke portal Microsoft Azure.

  2. Pilih Semua layanan>Manajemen grup.

  3. Pilih grup manajemen yang ingin Anda ganti namanya.

  4. Pilih Detail.

  5. Pilih Hapus

    Cuplikan layar halaman grup Pengelola dengan tombol 'Hapus' disorot.

    Tip

    Jika ikon dinonaktifkan, mengarahkan mouse pemilih di atas ikon akan menunjukkan alasannya.

  6. Ada jendela yang terbuka yang mengonfirmasi bahwa Anda ingin menghapus grup manajemen.

    Cuplikan layar dialog konfirmasi 'Hapus grup' untuk menghapus grup pengelola.

  7. Pilih Ya.

Menghapus di PowerShell

Gunakan perintah Remove-AzManagementGroup di dalam PowerShell untuk menghapus grup manajemen.

Remove-AzManagementGroup -GroupId 'Contoso'

Menghapus di Azure CLI

Dengan Azure CLI, gunakan perintah penghapusan az account management-group.

az account management-group delete --name 'Contoso'

Tampilkan grup manajemen

Anda dapat melihat grup manajemen apa pun tempat Anda memiliki peran Azure langsung atau yang diwariskan.

Lihat di portal

  1. Masuk ke portal Microsoft Azure.

  2. Pilih Semua layanan>Manajemen grup.

  3. Halaman hierarki grup manajemen akan dimuat. Halaman ini adalah tempat Anda dapat menjelajahi semua grup manajemen dan langganan yang dapat Anda akses. Memilih nama grup akan membawa Anda ke tingkat yang lebih rendah dalam hierarki. Navigasi berfungsi sama seperti penjelajah file.

  4. Untuk melihat detail grup manajemen, pilih tautan (detail) di samping judul grup manajemen. Jika tautan ini tidak tersedia, Anda tidak memiliki izin untuk melihat grup manajemen tersebut.

    Cuplikan layar halaman grup Pengelola yang memperlihatkan grup pengelola anak dan langganan.

Tampilkan di PowerShell

Gunakan perintah Get-AzManagementGroup untuk mengambil semua grup. Lihat modul Az.Resources untuk daftar lengkap perintah GET PowerShell grup manajemen.

Get-AzManagementGroup

Untuk informasi grup manajemen tunggal, gunakan parameter -GroupId

Get-AzManagementGroup -GroupId 'Contoso'

Untuk mengembalikan grup manajemen tertentu dan semua tingkat hierarki di bawahnya, gunakan parameter -Expand dan -Recurse.

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Tampilkan di Azure CLI

Gunakan perintah daftar untuk mengambil semua grup.

az account management-group list

Untuk informasi grup manajemen tunggal, gunakan perintah tampilkan

az account management-group show --name 'Contoso'

Untuk mengembalikan grup manajemen tertentu dan semua tingkat hierarki di bawahnya, gunakan parameter -Expand dan -Recurse.

az account management-group show --name 'Contoso' -e -r

Memindahkan grup manajemen dan langganan

Salah satu alasan untuk membuat grup manajemen adalah untuk menggabungkan langganan bersama. Hanya grup manajemen dan langganan yang dapat diturunkan dari grup manajemen lain. Langganan yang berpindah ke grup manajemen mewarisi semua akses dan kebijakan pengguna dari grup manajemen induk

Untuk memindahkan grup manajemen atau langganan ke anak dari grup manajemen lain, ada tiga aturan yang perlu dievaluasi sebagai true.

Jika Anda yang melakukan tindakan pemindahan, Anda memerlukan izin di setiap lapisan berikut:

  • Grup langganan/manajemen anak
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (hanya untuk Langganan)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Grup manajemen induk target
    • Microsoft.management/managementgroups/write
  • Grup manajemen induk saat ini
    • Microsoft.management/managementgroups/write

Pengecualian: Jika grup manajemen target atau induk yang ada adalah grup manajemen Akar, persyaratan izin tidak berlaku. Karena grup manajemen Akar adalah tempat arahan default untuk semua grup manajemen dan langganan baru, Anda tidak memerlukan izin untuk memindahkan item.

Jika peran Pemilik pada langganan diwariskan dari grup manajemen saat ini, target pemindahan Anda dibatasi. Anda hanya bisa memindahkan langganan ke grup manajemen lain tempat Anda memiliki peran Pemilik. Anda tidak dapat memindahkan langganan ke grup manajemen tempat Anda menjadi kontributor karena Anda akan kehilangan kepemilikan langganan. Jika Anda secara langsung ditetapkan ke peran Pemilik untuk langganan (bukan diwariskan dari grup manajemen), Anda dapat memindahkannya ke grup manajemen mana pun tempat Anda adalah kontributor.

Untuk melihat izin apa yang Anda miliki di portal Azure, pilih grup manajemen lalu pilih IAM. Untuk informasi selengkapnya tentang peran Azure, lihat Kontrol akses berbasis peran Azure (Azure RBAC).

Pindahkan langganan

Menambahkan Langganan yang sudah ada ke grup manajemen di portal

  1. Masuk ke portal Microsoft Azure.

  2. Pilih Semua layanan>Manajemen grup.

  3. Pilih grup manajemen yang Anda rencanakan untuk menjadi induk.

  4. Di bagian atas halaman, pilih Tambahkan langganan.

  5. Pilih langganan dalam daftar dengan ID yang benar.

    Cuplikan layar opsi 'Tambahkan langganan' untuk memilih langganan yang sudah ada untuk ditambahkan ke grup pengelola.

  6. Pilih "Simpan".

Menghapus langganan dari grup manajemen di portal

  1. Masuk ke portal Microsoft Azure.

  2. Pilih Semua layanan>Manajemen grup.

  3. Pilih grup manajemen yang Anda rencanakan yang merupakan induk saat ini.

  4. Pilih elips di akhir baris untuk langganan dalam daftar yang ingin Anda pindahkan.

    Cuplikan layar menu alternatif bagi langganan untuk memilih opsi 'Pindahkan'.

  5. Pilih Pindahkan.

  6. Pada menu yang terbuka, pilih Grup manajemen induk.

    Cuplikan layar jendela 'Pindahkan' dan opsi untuk memindahkan langganan ke grup pengelola yang berbeda.

  7. Pilih Simpan.

Memindahkan langganan di PowerShell

Untuk memindahkan langganan di PowerShell, gunakan perintah New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Untuk menghapus tautan antara langganan dan grup manajemen, gunakan perintah Remove-AzManagementGroupSubscription.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Memindahkan langganan di Azure CLI

Untuk memindahkan langganan di CLI, Anda menggunakan perintah tambahkan.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Untuk menghapus langganan dari grup manajemen, gunakan perintah hapus langganan.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Memindahkan langganan dalam templat ARM

Untuk memindahkan langganan dalam templat Azure Resource Manager (templat ARM), gunakan templat berikut ini dan terapkan pada tingkat penyewa.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Atau, file Bicep berikut.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Memindahkan grup manajemen

Memindahkan grup manajemen di portal

  1. Masuk ke portal Microsoft Azure.

  2. Pilih Semua layanan>Manajemen grup.

  3. Pilih grup manajemen yang Anda rencanakan untuk menjadi induk.

  4. Di bagian atas halaman, pilih Tambahkan grup manajemen.

  5. Di menu yang terbuka, pilih apakah Anda menginginkan yang baru atau menggunakan grup manajemen yang sudah ada.

    • Memilih baru akan membuat grup manajemen baru.
    • Memilih yang sudah ada akan memberi Anda daftar dropdown semua grup manajemen yang bisa Anda pindahkan ke grup manajemen ini.

    Cuplikan layar opsi 'Tambahkan grup pengelola' untuk membuat grup pengelola baru.

  6. Pilih Simpan.

Memindahkan grup manajemen di portal

Gunakan perintah Update-AzManagementGroup di PowerShell untuk memindahkan grup manajemen di bawah grup yang berbeda.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Memindahkan grup manajemen di portal Azure CLI

Gunakan perintah pembaruan untuk memindahkan grup manajemen dengan Azure CLI.

az account management-group update --name 'Contoso' --parent ContosoIT

Grup manajemen audit menggunakan log aktivitas

Grup manajemen didukung dalam Log Aktivitas Azure. Anda dapat mengkueri semua peristiwa yang terjadi pada grup manajemen di lokasi pusat yang sama dengan sumber daya Azure lainnya. Misalnya, Anda dapat melihat semua perubahan Penetapan Peran atau Penetapan Kebijakan yang dilakukan pada grup manajemen tertentu.

Cuplikan layar Log Aktivitas dan operasi yang terkait dengan grup pengelola yang dipilih.

Saat mencari kueri tentang Grup Manajemen di luar portal Azure, cakupan target untuk grup manajemen terlihat seperti "/providers/Microsoft.Management/managementGroups/{yourMgID}" .

Mereferensikan grup manajemen dari Penyedia Sumber lainnya

Saat mereferensikan grup manajemen dari tindakan Penyedia Sumber lainnya, gunakan jalur berikut sebagai lingkup. Jalur ini digunakan saat menggunakan PowerShell, Azure CLI, dan REST API.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Contoh penggunaan jalur ini adalah saat menetapkan penetapan peran baru ke grup manajemen di PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Jalur lingkup yang sama digunakan saat mengambil definisi kebijakan di grup manajemen.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Langkah berikutnya

Untuk mempelajari selengkapnya tentang grup manajemen, lihat: