Apa yang dimaksud dengan grup manajemen Azure?

Jika organisasi Anda memiliki banyak langganan Azure, Anda mungkin memerlukan cara untuk mengelola akses, kebijakan, dan kepatuhan secara efisien untuk langganan tersebut. Grup manajemen menyediakan tingkat cakupan di atas langganan. Anda mengatur langganan ke dalam grup manajemen; kondisi tata kelola yang Anda terapkan secara kaskade berdasarkan pewarisan untuk semua langganan terkait.

Grup manajemen memberi Anda manajemen tingkat enterprise dalam skala apa pun jenis langganan yang mungkin Anda miliki. Namun, semua langganan dalam satu grup manajemen harus mempercayai penyewa Azure Active Directory (Azure AD) yang sama.

Misalnya, Anda dapat menerapkan kebijakan ke grup manajemen yang membatasi wilayah yang tersedia untuk pembuatan komputer virtual (VM). Kebijakan ini akan diterapkan ke semua grup manajemen bertingkat, langganan, dan sumber daya, serta mengizinkan pembuatan mesin virtual hanya di wilayah yang berwenang.

Hierarki grup manajemen dan langganan

Anda dapat membangun struktur grup manajemen dan langganan yang fleksibel untuk mengatur sumber daya Anda ke dalam hierarki untuk manajemen kebijakan dan akses terpadu. Diagram berikut menunjukkan contoh untuk membuat hierarki untuk tata kelola menggunakan grup manajemen.

Diagram hierarki grup manajemen sampel.

Diagram grup manajemen akar yang menyimpan grup manajemen dan langganan. Beberapa grup manajemen anak menyimpan grup manajemen, beberapa menyimpan langganan, dan beberapa menyimpan keduanya. Salah satu contoh dalam hierarki sampel adalah empat tingkat grup manajemen dengan tingkat anak menjadi semua langganan.

Anda dapat membuat hierarki yang menerapkan kebijakan, misalnya, yang membatasi lokasi VM ke Wilayah US Barat dalam grup manajemen yang disebut "Produksi". Kebijakan ini akan mewarisi semua langganan Perjanjian Enterprise (EA) yang merupakan keturunan grup manajemen tersebut dan akan berlaku untuk semua komputer virtual di bawah langganan tersebut. Kebijakan keamanan ini tidak dapat diubah oleh pemilik sumber daya atau langganan yang memungkinkan perbaikan tata kelola.

Catatan

grup manajemen saat ini tidak didukung dalam fitur Azure Cost management untuk Perjanjian Pelanggan Microsoft.

Skenario lain tempat Anda akan menggunakan grup manajemen adalah menyediakan akses pengguna ke beberapa langganan. Dengan memindahkan beberapa langganan di bawah grup manajemen tersebut, Anda dapat membuat satu penetapan peran Azure pada grup manajemen, yang akan mewarisi akses tersebut ke semua langganan. Satu tugas pada grup manajemen dapat memungkinkan pengguna memiliki akses ke semua yang mereka butuhkan alih-alih membuat skrip Azure RBAC pada langganan yang berbeda.

Fakta penting tentang grup manajemen

  • 10.000 grup manajemen dapat didukung dalam satu direktori.
  • Pohon grup manajemen dapat mendukung hingga enam tingkat kedalaman.
    • Batas ini tidak menyertakan tingkat Akar atau tingkat langganan.
  • Setiap grup manajemen dan langganan hanya dapat mendukung satu induk.
  • Setiap kelompok manajemen dapat memiliki banyak anak.
  • Semua langganan dan grup manajemen berada dalam satu hierarki di setiap direktori. Lihat Fakta penting tentang grup manajemen Akar.

Grup manajemen akar untuk setiap direktori

Setiap direktori diberikan satu grup manajemen tingkat atas yang disebut grup manajemen root. Grup manajemen root ini dibangun ke dalam hierarki agar semua grup manajemen dan langganan berada di dalamnya. Grup manajemen akar ini memungkinkan kebijakan global dan penetapan peran Azure diterapkan di tingkat direktori. Administrator Global Microsoft Azure Active Directory perlu meningkatkan diri mereka ke peran Administrator Akses Pengguna dari grup akar ini pada awalnya. Setelah meningkatkan akses, administrator dapat menetapkan peran Azure apa pun ke pengguna atau grup direktori lain untuk mengelola hierarki. Sebagai administrator, Anda dapat menetapkan akun Anda sendiri sebagai pemilik grup manajemen akar.

Fakta penting tentang grup manajemen root

  • Secara default, nama tampilan grup manajemen root adalah grup root Penyewa dan beroperasi sendiri sebagai grup manajemen. ID-nya adalah nilai yang sama dengan ID penyewa Azure Active Directory (Azure AD).
  • Untuk mengubah nama tampilan, akun Anda harus diberi peran Pemilik atau Kontributor pada grup manajemen root. Lihat Mengubah nama grup manajemen untuk memperbarui nama grup manajemen.
  • Grup manajemen akar tidak dapat dipindahkan atau dihapus, tidak seperti grup manajemen lainnya.
  • Semua langganan dan grup manajemen dimasukkan ke dalam satu grup manajemen akar di dalam direktori.
    • Semua sumber daya dalam direktori dimasukkan ke grup manajemen akar untuk manajemen global.
    • Langganan baru secara otomatis default ke grup manajemen akar saat dibuat.
  • Semua pelanggan Azure dapat melihat grup manajemen akar, tetapi tidak semua pelanggan memiliki akses untuk mengelola grup manajemen akar tersebut.
    • Setiap orang yang memiliki akses ke langganan dapat melihat konteks tempat langganan tersebut berada dalam hierarki.
    • Tidak ada yang diberi akses default ke grup manajemen akar. Administrator Global Microsoft Azure Active Directory adalah satu-satunya pengguna yang dapat meningkatkan diri mereka untuk mendapatkan akses. Setelah mereka memiliki akses ke grup manajemen akar, administrator global dapat menetapkan peran Azure apa pun ke pengguna lain untuk mengelolanya.

Penting

Penetapan akses pengguna atau penetapan kebijakan apa pun di grup manajemen root berlaku untuk semua sumber daya dalam direktori. Karena itu, semua pelanggan harus mengevaluasi kebutuhan untuk memiliki item yang ditentukan pada cakupan ini. Penetapan akses pengguna dan kebijakan harus "Harus Memiliki" hanya pada cakupan ini.

Penyiapan awal grup manajemen

Saat pengguna mulai menggunakan grup manajemen, ada proses penyiapan awal yang terjadi. Langkah pertama adalah grup manajemen akar dibuat di direktori. Setelah grup ini dibuat, semua langganan yang ada di direktori dijadikan anak dari grup manajemen akar. Alasan untuk proses ini adalah untuk memastikan hanya ada satu hierarki grup manajemen dalam direktori. Hierarki tunggal dalam direktori memungkinkan pelanggan administratif menerapkan akses global dan kebijakan yang tidak dapat dilewati oleh pelanggan lain dalam direktori. Apa pun yang ditetapkan di root akan berlaku untuk seluruh hierarki, yang mencakup semua grup manajemen, langganan, grup sumber daya, dan sumber daya dalam Penyewa Azure AD tersebut.

Kesulitan melihat semua langganan

Beberapa direktori yang mulai menggunakan grup manajemen di awal pratinjau sebelum 25 Juni 2018 dapat melihat masalah ketika tidak semua langganan berada dalam hierarki. Proses untuk memiliki semua langganan dalam hierarki diberlakukan setelah penetapan peran atau kebijakan dilakukan pada grup manajemen akar di direktori.

Cara mengatasi masalah ini

Ada dua opsi yang dapat Anda lakukan untuk mengatasi masalah ini.

  • Menghapus semua penetapan peran dan kebijakan dari grup manajemen root
    • Dengan menghapus penetapan kebijakan dan peran apa pun dari grup manajemen akar, layanan akan mengisi ulang semua langganan ke dalam hierarki di siklus semalam berikutnya. Proses ini dilakukan agar tidak ada akses yang tidak disengaja yang diberikan atau penetapan kebijakan ke semua langganan penyewa.
    • Cara terbaik untuk melakukan proses ini tanpa memengaruhi layanan Anda adalah dengan menerapkan penetapan peran atau kebijakan satu tingkat di bawah grup manajemen root. Kemudian Anda dapat menghapus semua penetapan dari cakupan akar.
  • Memanggil API secara langsung untuk memulai proses pengisian ulang
    • Pelanggan apa pun di direktori dapat memanggil API TenantBackfillStatusRequest atau StartTenantBackfillRequest. Ketika API StartTenantBackfillRequest dipanggil, API memulai proses penyiapan awal untuk memindahkan semua langganan ke hierarki. Proses ini juga mulai memberlakukan semua langganan baru untuk menjadi anak dari grup manajemen akar. Proses ini dapat dilakukan tanpa mengubah penetapan apa pun pada tingkat akar. Dengan memanggil API, Anda mengatakan tidak masalah bahwa penetapan kebijakan atau akses apa pun di akar dapat diterapkan ke semua langganan.

Jika Anda memiliki pertanyaan tentang proses pengisian ulang ini, hubungi: managementgroups@microsoft.com

Akses grup manajemen

Grup manajemen Azure mendukung kontrol akses berbasis peran Azure (Azure RBAC) untuk semua akses sumber daya dan definisi peran. Izin ini diwariskan ke sumber daya anak yang ada dalam hierarki. Peran Azure apa pun dapat ditetapkan ke grup manajemen yang akan mewarisi hierarki ke sumber daya. Misalnya, kontributor komputer virtual peran Azure dapat ditetapkan ke grup manajemen. Peran ini tidak memiliki tindakan pada grup manajemen, tetapi akan mewarisi semua komputer virtual di bawah grup manajemen tersebut.

Bagan berikut memperlihatkan daftar peran dan tindakan yang didukung pada grup manajemen.

Nama Peran Azure Buat Ganti nama Pindah** Hapus Tetapkan Akses Tetapkan Kebijakan Baca
Pemilik X X X X X X X
Kontributor X X X X X
Kontributor MG* X X X X X
Pembaca X
Pembaca MG* X
Kontributor Kebijakan Sumber Daya X
Akses Administrator Pengguna X X

*: Peran Kontributor Grup Manajemen dan Pembaca Grup Manajemen memungkinkan pengguna melakukan tindakan tersebut hanya pada cakupan grup manajemen.

**: Penetapan Peran pada grup manajemen root tidak diperlukan untuk memindahkan langganan atau grup manajemen ke dan dari grup manajemen tersebut.

Lihat Mengelola sumber daya Anda dengan grup manajemen untuk detail tentang memindahkan item dalam hierarki.

Definisi dan penetapan peran kustom Azure

Dukungan peran kustom Azure untuk grup manajemen saat ini dalam pratinjau dengan beberapa batasan. Anda dapat menentukan lingkup grup manajemen dalam lingkup Definisi Peran yang dapat ditetapkan. Peran kustom Azure tersebut kemudian akan tersedia untuk penetapan pada grup manajemen tersebut dan grup manajemen, langganan, grup sumber daya, atau sumber daya apa pun di bawahnya. Peran kustom ini akan mewarisi hierarki seperti peran bawaan.

Contoh definisi

Mendefinisikan dan membuat peran kustom tidak berubah dengan dimasukkannya grup manajemen. Gunakan jalur lengkap untuk menentukan grup manajemen /providers/Microsoft.Management/managementgroups/{groupId}.

Gunakan ID grup manajemen dan bukan nama tampilan grup manajemen. Kesalahan umum ini terjadi karena keduanya adalah bidang yang ditentukan khusus saat membuat grup manajemen.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Masalah pelanggaran definisi peran dan jalur hierarki penetapan

Definisi peran adalah cakupan yang dapat ditetapkan di mana saja dalam hierarki grup manajemen. Definisi peran dapat ditentukan pada grup manajemen induk sementara penetapan peran aktual ada pada langganan anak. Karena adanya hubungan di antara dua item, Anda akan menerima kesalahan saat mencoba memisahkan penetapan dari definisinya.

Misalnya, mari kita lihat bagian kecil hierarki untuk visual.

Diagram subset hierarki grup manajemen sampel.

Diagram fokus pada grup manajemen akar dengan grup manajemen IT dan Pemasaran anak. Grup manajemen IT memiliki satu grup manajemen anak bernama Produksi, sementara grup manajemen Pemasaran memiliki dua langganan anak Coba Gratis.

Katakanlah ada peran kustom yang didefinisikan pada grup manajemen Pemasaran. Peran kustom tersebut kemudian ditentukan di dua langganan coba gratis.

Jika kita mencoba memindahkan salah satu langganan tersebut menjadi anak dari grup manajemen Produksi, langkah ini akan memutus jalur dari penetapan peran langganan ke definisi peran grup manajemen Pemasaran. Dalam skenario ini, Anda akan menerima kesalahan yang mengatakan pemindahan tersebut tidak diizinkan karena akan memutuskan hubungan ini.

Ada beberapa opsi berbeda untuk memperbaiki skenario ini:

  • Hapus penetapan peran dari langganan sebelum memindahkan langganan ke MG induk baru.
  • Tambahkan langganan ke cakupan yang dapat ditetapkan definisi peran.
  • Ubah cakupan yang dapat ditetapkan dalam definisi peran. Dalam contoh di atas, Anda dapat memperbarui cakupan yang dapat ditetapkan dari Grup Pemasaran ke Manajemen root agar definisi itu dapat dicapai oleh kedua cabang hierarki.
  • Buat peran kustom lain yang ditentukan di cabang lain. Peran baru ini mengharuskan penetapan peran juga diubah pada langganan.

Batasan

Ada batasan yang ada saat menggunakan peran kustom pada grup manajemen.

  • Anda hanya dapat menentukan satu grup manajemen dalam cakupan peran baru yang dapat ditetapkan. Pembatasan ini diberlakukan untuk mengurangi jumlah situasi ketika definisi peran dan penetapan peran terputus. Situasi ini terjadi saat grup langganan atau manajemen dengan penetapan peran berpindah ke induk berbeda yang tidak memiliki definisi peran.
  • Tindakan bidang data penyedia sumber daya tidak dapat ditentukan dalam peran kustom grup manajemen. Pembatasan ini diberlakukan karena adanya masalah latensi dengan memperbarui penyedia sumber daya bidang data. Masalah latensi ini sedang diatasi dan tindakan ini akan dinonaktifkan dari definisi peran untuk mengurangi risiko apa pun.
  • Azure Resource Manager tidak memvalidasi keberadaan grup manajemen dalam cakupan yang dapat ditetapkan definisi peran. Jika ada salah tik atau ID grup manajemen yang salah tercantum, definisi peran tetap dibuat.
  • Penetapan peran dari peran dengan dataActions tidak didukung. Buat penetapan peran di cakupan langganan.

Penting

Menambahkan grup manajemen ke AssignableScopes saat ini dalam pratinjau. Versi pratinjau ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Memindahkan grup manajemen dan langganan

Untuk memindahkan grup manajemen atau langganan ke anak dari grup manajemen lain, tiga aturan perlu dievaluasi sebagai benar.

Jika Anda melakukan tindakan pemindahan, Anda perlu:

  • Izin tulis grup manajemen dan tulis penetapan peran di langganan anak atau grup manajemen.
    • Contoh peran bawaan: Pemilik
  • Grup manajemen menulis akses pada grup manajemen induk target.
    • Contoh peran bawaan: Pemilik, Kontributor, Kontributor Grup Manajemen
  • Akses tulis grup manajemen pada grup manajemen induk yang ada.
    • Contoh peran bawaan: Pemilik, Kontributor, Kontributor Grup Manajemen

Pengecualian: Jika grup manajemen target atau induk yang ada adalah grup manajemen root, persyaratan izin tidak berlaku. Karena grup manajemen root adalah tempat arahan default untuk semua grup manajemen dan langganan baru, Anda tidak memerlukan izin untuk memindahkan item.

Jika peran Pemilik pada langganan diwariskan dari grup manajemen saat ini, target pemindahan Anda akan dibatasi. Anda hanya bisa memindahkan langganan ke grup manajemen lain tempat Anda memiliki peran Pemilik. Anda tidak dapat memindahkannya ke grup manajemen tempat Anda menjadi Kontributor karena Anda akan kehilangan kepemilikan langganan. Jika Anda langsung ditetapkan ke peran Pemilik untuk langganan (bukan diwariskan dari grup manajemen), Anda dapat memindahkannya ke grup manajemen mana pun tempat Anda adalah Kontributor.

Penting

Azure Resource Manager meng-cache detail hierarki grup manajemen hingga 30 menit. Akibatnya, memindahkan grup manajemen mungkin tidak segera muncul dalam portal Microsoft Azure.

Grup manajemen audit menggunakan log aktivitas

Grup manajemen didukung dalam Log Aktivitas Azure. Anda dapat mencari semua kejadian yang terjadi pada grup manajemen di lokasi pusat yang sama dengan sumber daya Azure lainnya. Misalnya, Anda dapat melihat semua perubahan penetapan peran atau penetapan kebijakan yang dilakukan pada grup manajemen tertentu.

Cuplikan layar Log Aktivitas dan operasi yang terkait dengan grup manajemen yang dipilih.

Saat mencari kueri tentang Grup Manajemen di luar portal Azure, cakupan target untuk grup manajemen akan terlihat seperti "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Catatan

Dengan menggunakan REST API Azure Resource Manager, Anda dapat mengaktifkan setelan diagnostik pada grup manajemen untuk kirim entri log Aktivitas Azure terkait ke log analitik ruang kerja, Azure Storage, atau Azure Event Hub. Untuk informasi selengkapnya, lihat Pengaturan Diagnostik grup Manajemen - membuat atau perbarui.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang grup manajemen, lihat: