Mengelola langganan Azure Anda dalam skala besar dengan grup pengelola
Jika organisasi Anda memiliki banyak langganan, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan untuk langganan tersebut secara efisien. Grup manajemen Azure menyediakan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam kontainer yang disebut "grup manajemen" dan menerapkan syarat tata kelola ke grup manajemen. Semua langganan dalam grup manajemen secara otomatis mewarisi kondisi yang diterapkan ke grup manajemen.
Grup manajemen memberi Anda manajemen tingkat perusahaan dalam skala besar apa pun jenis langganan yang mungkin Anda miliki. Untuk informasi selengkapnya tentang grup manajemen, lihat Mengatur sumber daya Anda dengan grup manajemen Azure.
Catatan
Artikel ini memberikan langkah-langkah tentang cara menghapus data privat dari perangkat atau layanan dan dapat digunakan untuk mendukung kewajiban Anda berdasarkan GDPR. Untuk informasi umum tentang GDPR, lihat bagian GDPR di Pusat Kepercayaan Microsoft dan bagian GDPR di portal Kepercayaan Layanan.
Penting
Token pengguna Azure Resource Manager dan cache grup manajemen berlangsung selama 30 menit sebelum dipaksa untuk menyegarkan. Setelah melakukan tindakan apa pun seperti memindahkan grup manajemen atau langganan, mungkin perlu waktu hingga 30 menit untuk ditampilkan. Untuk melihat pembaruan lebih cepat, Anda perlu memperbarui token Anda dengan menyegarkan browser, masuk dan keluar, atau meminta token baru.
Penting
Cmdlet AzManagementGroup terkait Az PowerShell menyebutkan bahwa -GroupId adalah alias parameter -GroupName sehingga kita dapat menggunakan salah satu dari keduanya untuk memberikan Id Grup Manajemen sebagai nilai string.
Mengubah nama grup manajemen
Anda dapat mengubah nama grup manajemen dengan menggunakan portal, PowerShell, atau Azure CLI.
Mengubah nama di portal
Masuk ke portal Microsoft Azure.
Pilih Semua layanan>Manajemen grup.
Pilih grup manajemen yang ingin Anda ganti namanya.
Pilih Detail.
Pilih opsi Ganti nama grup di bagian atas halaman.
Saat menu terbuka, masukkan nama baru yang ingin Anda tampilkan.
Pilih Simpan.
Mengubah nama di PowerShell
Untuk memperbarui nama tampilan, gunakan Update-AzManagementGroup. Misalnya, untuk mengubah nama tampilan grup manajemen dari "Contoso IT" menjadi "Contoso Group", jalankan perintah berikut:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Mengubah nama di Azure CLI
Untuk Azure CLI, gunakan perintah perbarui.
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Menghapus grup manajemen
Untuk menghapus grup manajemen, persyaratan berikut harus dipenuhi:
Tidak ada grup manajemen anak atau langganan di bawah grup manajemen. Untuk memindahkan grup langganan atau manajemen ke grup manajemen lain, lihat Memindahkan grup manajemen dan langganan dalam hierarki.
Anda memerlukan izin tulis pada grup manajemen ("Pemilik", "Kontributor", atau "Kontributor Grup Manajemen"). Untuk melihat izin apa yang Anda miliki, pilih grup manajemen lalu pilih IAM. Untuk informasi selengkapnya tentang peran Azure, lihat Kontrol akses berbasis peran Azure (Azure RBAC).
Menghapus di portal
Masuk ke portal Microsoft Azure.
Pilih Semua layanan>Manajemen grup.
Pilih grup manajemen yang ingin Anda ganti namanya.
Pilih Detail.
Pilih Hapus
Tip
Jika ikon dinonaktifkan, mengarahkan mouse pemilih di atas ikon akan menunjukkan alasannya.
Ada jendela yang terbuka yang mengonfirmasi bahwa Anda ingin menghapus grup manajemen.
Pilih Ya.
Menghapus di PowerShell
Gunakan perintah Remove-AzManagementGroup di dalam PowerShell untuk menghapus grup manajemen.
Remove-AzManagementGroup -GroupId 'Contoso'
Menghapus di Azure CLI
Dengan Azure CLI, gunakan perintah penghapusan az account management-group.
az account management-group delete --name 'Contoso'
Tampilkan grup manajemen
Anda dapat melihat grup manajemen apa pun tempat Anda memiliki peran Azure langsung atau yang diwariskan.
Lihat di portal
Masuk ke portal Microsoft Azure.
Pilih Semua layanan>Manajemen grup.
Halaman hierarki grup manajemen akan dimuat. Halaman ini adalah tempat Anda dapat menjelajahi semua grup manajemen dan langganan yang dapat Anda akses. Memilih nama grup akan membawa Anda ke tingkat yang lebih rendah dalam hierarki. Navigasi berfungsi sama seperti penjelajah file.
Untuk melihat detail grup manajemen, pilih tautan (detail) di samping judul grup manajemen. Jika tautan ini tidak tersedia, Anda tidak memiliki izin untuk melihat grup manajemen tersebut.
Tampilkan di PowerShell
Gunakan perintah Get-AzManagementGroup untuk mengambil semua grup. Lihat modul Az.Resources untuk daftar lengkap perintah GET PowerShell grup manajemen.
Get-AzManagementGroup
Untuk informasi grup manajemen tunggal, gunakan parameter -GroupId
Get-AzManagementGroup -GroupId 'Contoso'
Untuk mengembalikan grup manajemen tertentu dan semua tingkat hierarki di bawahnya, gunakan parameter -Expand dan -Recurse.
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Tampilkan di Azure CLI
Gunakan perintah daftar untuk mengambil semua grup.
az account management-group list
Untuk informasi grup manajemen tunggal, gunakan perintah tampilkan
az account management-group show --name 'Contoso'
Untuk mengembalikan grup manajemen tertentu dan semua tingkat hierarki di bawahnya, gunakan parameter -Expand dan -Recurse.
az account management-group show --name 'Contoso' -e -r
Memindahkan grup manajemen dan langganan
Salah satu alasan untuk membuat grup manajemen adalah untuk menggabungkan langganan bersama. Hanya grup manajemen dan langganan yang dapat diturunkan dari grup manajemen lain. Langganan yang berpindah ke grup manajemen mewarisi semua akses dan kebijakan pengguna dari grup manajemen induk
Untuk memindahkan grup manajemen atau langganan ke anak dari grup manajemen lain, ada tiga aturan yang perlu dievaluasi sebagai true.
Jika Anda yang melakukan tindakan pemindahan, Anda memerlukan izin di setiap lapisan berikut:
- Grup langganan/manajemen anak
Microsoft.management/managementgroups/write
Microsoft.management/managementgroups/subscriptions/write
(hanya untuk Langganan)Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete
Microsoft.Management/register/action
- Grup manajemen induk target
Microsoft.management/managementgroups/write
- Grup manajemen induk saat ini
Microsoft.management/managementgroups/write
Pengecualian: Jika grup manajemen target atau induk yang ada adalah grup manajemen Akar, persyaratan izin tidak berlaku. Karena grup manajemen Akar adalah tempat arahan default untuk semua grup manajemen dan langganan baru, Anda tidak memerlukan izin untuk memindahkan item.
Jika peran Pemilik pada langganan diwariskan dari grup manajemen saat ini, target pemindahan Anda dibatasi. Anda hanya bisa memindahkan langganan ke grup manajemen lain tempat Anda memiliki peran Pemilik. Anda tidak dapat memindahkan langganan ke grup manajemen tempat Anda menjadi kontributor karena Anda akan kehilangan kepemilikan langganan. Jika Anda secara langsung ditetapkan ke peran Pemilik untuk langganan (bukan diwariskan dari grup manajemen), Anda dapat memindahkannya ke grup manajemen mana pun tempat Anda adalah kontributor.
Untuk melihat izin apa yang Anda miliki di portal Azure, pilih grup manajemen lalu pilih IAM. Untuk informasi selengkapnya tentang peran Azure, lihat Kontrol akses berbasis peran Azure (Azure RBAC).
Pindahkan langganan
Menambahkan Langganan yang sudah ada ke grup manajemen di portal
Masuk ke portal Microsoft Azure.
Pilih Semua layanan>Manajemen grup.
Pilih grup manajemen yang Anda rencanakan untuk menjadi induk.
Di bagian atas halaman, pilih Tambahkan langganan.
Pilih langganan dalam daftar dengan ID yang benar.
Pilih "Simpan".
Menghapus langganan dari grup manajemen di portal
Masuk ke portal Microsoft Azure.
Pilih Semua layanan>Manajemen grup.
Pilih grup manajemen yang Anda rencanakan yang merupakan induk saat ini.
Pilih elips di akhir baris untuk langganan dalam daftar yang ingin Anda pindahkan.
Pilih Pindahkan.
Pada menu yang terbuka, pilih Grup manajemen induk.
Pilih Simpan.
Memindahkan langganan di PowerShell
Untuk memindahkan langganan di PowerShell, gunakan perintah New-AzManagementGroupSubscription.
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Untuk menghapus tautan antara langganan dan grup manajemen, gunakan perintah Remove-AzManagementGroupSubscription.
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Memindahkan langganan di Azure CLI
Untuk memindahkan langganan di CLI, Anda menggunakan perintah tambahkan.
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Untuk menghapus langganan dari grup manajemen, gunakan perintah hapus langganan.
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Memindahkan langganan dalam templat ARM
Untuk memindahkan langganan dalam templat Azure Resource Manager (templat ARM), gunakan templat berikut ini dan terapkan pada tingkat penyewa.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Atau, file Bicep berikut.
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Memindahkan grup manajemen
Memindahkan grup manajemen di portal
Masuk ke portal Microsoft Azure.
Pilih Semua layanan>Manajemen grup.
Pilih grup manajemen yang Anda rencanakan untuk menjadi induk.
Di bagian atas halaman, pilih Tambahkan grup manajemen.
Di menu yang terbuka, pilih apakah Anda menginginkan yang baru atau menggunakan grup manajemen yang sudah ada.
- Memilih baru akan membuat grup manajemen baru.
- Memilih yang sudah ada akan memberi Anda daftar dropdown semua grup manajemen yang bisa Anda pindahkan ke grup manajemen ini.
Pilih Simpan.
Memindahkan grup manajemen di portal
Gunakan perintah Update-AzManagementGroup di PowerShell untuk memindahkan grup manajemen di bawah grup yang berbeda.
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Memindahkan grup manajemen di portal Azure CLI
Gunakan perintah pembaruan untuk memindahkan grup manajemen dengan Azure CLI.
az account management-group update --name 'Contoso' --parent ContosoIT
Grup manajemen audit menggunakan log aktivitas
Grup manajemen didukung dalam Log Aktivitas Azure. Anda dapat mengkueri semua peristiwa yang terjadi pada grup manajemen di lokasi pusat yang sama dengan sumber daya Azure lainnya. Misalnya, Anda dapat melihat semua perubahan Penetapan Peran atau Penetapan Kebijakan yang dilakukan pada grup manajemen tertentu.
Saat mencari kueri tentang Grup Manajemen di luar portal Azure, cakupan target untuk grup manajemen terlihat seperti "/providers/Microsoft.Management/managementGroups/{yourMgID}" .
Mereferensikan grup manajemen dari Penyedia Sumber lainnya
Saat mereferensikan grup manajemen dari tindakan Penyedia Sumber lainnya, gunakan jalur berikut sebagai lingkup. Jalur ini digunakan saat menggunakan PowerShell, Azure CLI, dan REST API.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Contoh penggunaan jalur ini adalah saat menetapkan penetapan peran baru ke grup manajemen di PowerShell:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Jalur lingkup yang sama digunakan saat mengambil definisi kebijakan di grup manajemen.
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Langkah berikutnya
Untuk mempelajari selengkapnya tentang grup manajemen, lihat: