Come proteggere la gerarchia di risorse
Le risorse, i gruppi di risorse, le sottoscrizioni, i gruppi di gestione e il tenant costituiscono collettivamente la gerarchia di risorse. Le impostazioni nel gruppo di gestione radice, ad esempio ruoli personalizzati di Azure o assegnazioni di criteri di Criteri di Azure, possono influire su ogni risorsa nella gerarchia delle risorse. È importante proteggere la gerarchia di risorse da modifiche che potrebbero influire negativamente su tutte le risorse.
I gruppi di gestione dispongono ora di impostazioni di gerarchia che consentono all'amministratore tenant di controllare questi comportamenti. Questo articolo illustra tutte le impostazioni di gerarchia disponibili e spiega come impostarle.
Autorizzazioni di Controllo degli accessi in base al ruolo di Azure per le impostazioni della gerarchia
La configurazione di una delle impostazioni della gerarchia richiede le due operazioni del provider di risorse seguenti nel gruppo di gestione radice:
Microsoft.Management/managementgroups/settings/writeMicrosoft.Management/managementgroups/settings/read
Queste operazioni consentono a un solo utente di leggere e aggiornare le impostazioni di gerarchia. Le operazioni non forniscono nessun altro accesso alla gerarchia del gruppo di gestione o alle risorse nella gerarchia. Entrambe queste operazioni sono disponibili nell'amministratore delle impostazioni della gerarchia predefinito di Azure.
Impostazione - Gruppo di gestione predefinito
Per impostazione predefinita, viene aggiunta una nuova sottoscrizione in un tenant come membro del gruppo di gestione radice. Se le assegnazioni di criteri, il controllo degli accessi in base al ruolo di Azure e altri costrutti di governance vengono assegnati al gruppo di gestione radice, queste nuove sottoscrizioni vengono applicate immediatamente. Per questo motivo, molte organizzazioni non applicano questi costrutti al gruppo di gestione radice, anche se si tratta della posizione desiderata per assegnarli. In altri casi, per le nuove sottoscrizioni è necessario un set di controlli più restrittivo, che non deve tuttavia essere assegnato a tutte le sottoscrizioni. Questa impostazione supporta entrambi i casi d'uso.
Consentendo di definire il gruppo di gestione predefinito per le nuove sottoscrizioni, è possibile applicare costrutti di governance a livello di organizzazione al gruppo di gestione radice e un gruppo di gestione separato con assegnazioni di criteri o assegnazioni di ruolo di Azure più adatte a una nuova sottoscrizione.
Impostare il gruppo di gestione predefinito nel portale
Per configurare questa impostazione nella portale di Azure, seguire questa procedura:
Usare la barra di ricerca per cercare e selezionare "Gruppi di gestione".
Nel gruppo di gestione radice selezionare i dettagli accanto al nome del gruppo di gestione.
In Impostazioni selezionare Impostazioni gerarchia.
Selezionare il pulsante Cambia gruppo di gestione predefinito .
Nota
Se il pulsante Modifica gruppo di gestione predefinito è disabilitato, il gruppo di gestione visualizzato non è il gruppo di gestione radice o l'entità di sicurezza non dispone delle autorizzazioni necessarie per modificare le impostazioni della gerarchia.
Selezionare un gruppo di gestione dalla gerarchia e usare il pulsante Seleziona .
Impostare il gruppo di gestione predefinito con l'API REST
Per configurare questa impostazione con l'API REST, viene chiamato l'endpoint Impostazioni gerarchia . A tale scopo, usare il formato di URI DELL'API REST e di richiesta seguente. Sostituire {rootMgID} con l'ID del gruppo di gestione radice e {defaultGroupID} con l'ID del gruppo di gestione che deve diventare il gruppo di gestione predefinito:
URI DELL'API REST
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01Request Body
{ "properties": { "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}" } }
Per impostare di nuovo il gruppo di gestione radice come gruppo di gestione predefinito, usare lo stesso endpoint e impostare defaultManagementGroup sul valore /providers/Microsoft.Management/managementGroups/{rootMgID}.
Impostazione - Autorizzazione di richiesta
Per impostazione predefinita, qualsiasi utente può creare nuovi gruppi di gestione all'interno di un tenant. Gli amministratori di un tenant possono voler fornire queste autorizzazioni solo a utenti specifici per mantenere la coerenza e la conformità nella gerarchia del gruppo di gestione. Se abilitata, un utente richiede l'operazione Microsoft.Management/managementGroups/write sul gruppo di gestione radice per creare nuovi gruppi di gestione figlio.
Impostare richiedere l'autorizzazione nel portale
Per configurare questa impostazione nella portale di Azure, seguire questa procedura:
Usare la barra di ricerca per cercare e selezionare "Gruppi di gestione".
Nel gruppo di gestione radice selezionare i dettagli accanto al nome del gruppo di gestione.
In Impostazioni selezionare Impostazioni gerarchia.
Attivare l'opzione Richiedi autorizzazioni per la creazione di nuovi gruppi di gestione.
Nota
Se l'interruttore Richiedi autorizzazioni per la creazione di nuovi gruppi di gestione è disabilitato, il gruppo di gestione visualizzato non è il gruppo di gestione radice o l'entità di sicurezza non dispone delle autorizzazioni necessarie per modificare le impostazioni della gerarchia.
Impostare richiedere l'autorizzazione con l'API REST
Per configurare questa impostazione con l'API REST, viene chiamato l'endpoint Impostazioni gerarchia . A tale scopo, usare il formato di URI DELL'API REST e di richiesta seguente. Si tratta di un valore booleano, è quindi necessario specificare true o false. Il valore true abilita questo metodo di protezione della gerarchia del gruppo di gestione:
URI DELL'API REST
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01Request Body
{ "properties": { "requireAuthorizationForGroupCreation": true } }
Per disattivare l'impostazione, usare lo stesso endpoint e impostare requireAuthorizationForGroupCreation sul valore false.
Esempio PowerShell
PowerShell non ha un comando "Az" per impostare il gruppo di gestione predefinito o impostare richiede l'autorizzazione, ma come soluzione alternativa è possibile usare l'API REST con l'esempio di PowerShell seguente:
$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"
$body = '{
"properties": {
"defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
"requireAuthorizationForGroupCreation": true
}
}'
$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"
Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body
Passaggi successivi
Per altre informazioni sui gruppi di gestione, vedere: