Gruppi di gestione
I gruppi di gestione sono essenziali per organizzare e gestire le sottoscrizioni di Azure. Man mano che aumenta il numero di sottoscrizioni, i gruppi di gestione forniscono una struttura critica all'ambiente Azure e semplificano la gestione delle sottoscrizioni. Usare le indicazioni seguenti per stabilire una gerarchia efficace dei gruppi di gestione e organizzare le sottoscrizioni in base alle procedure consigliate.
Considerazioni sulla progettazione dei gruppi di gestione
Le strutture dei gruppi di gestione all'interno di un tenant di Microsoft Entra supportano il mapping dell'organizzazione. È importante considerare accuratamente la struttura dei gruppi di gestione quando l'organizzazione pianifica l'adozione di Azure su larga scala.
In che modo l'organizzazione separa i servizi di proprietà o gestiti da team specifici?
Esistono funzioni specifiche che devono essere mantenute separate per motivi di conformità aziendale o operativa?
I gruppi di gestione possono essere usati per aggregare assegnazioni di criteri e iniziative tramite Criteri di Azure.
L'albero di un gruppo di gestione può supportare fino a sei livelli di profondità. Questo limite non include il livello radice del tenant o il livello di sottoscrizione.
Qualsiasi entità, indipendentemente dal fatto che un utente o un'entità servizio, all'interno di un tenant di Microsoft Entra possa creare nuovi gruppi di gestione. Questa autorizzazione è necessaria perché l'autorizzazione del controllo degli accessi in base al ruolo di Azure per le operazioni dei gruppi di gestione non è abilitata per impostazione predefinita. Per altre informazioni, vedere Come proteggere la gerarchia delle risorse
Per impostazione predefinita, tutte le nuove sottoscrizioni verranno inserite nel gruppo di gestione radice del tenant.
Vedere i gruppi di gestione per esplorarne le funzionalità in modo più dettagliato.
Raccomandazioni per i gruppi di gestione
Mantenere la gerarchia dei gruppi di gestione ragionevolmente piatta. L'ideale è che il numero dei livelli non sia superiore a tre o quattro. In questo modo si riduce il sovraccarico e la complessità della gestione.
Evitare di duplicare la struttura organizzativa in una gerarchia di gruppi di gestione profondamente nidificata. Usare i gruppi di gestione per l'assegnazione dei criteri e per la fatturazione. Questo approccio richiede l'uso dei gruppi di gestione per lo scopo previsto nell'architettura concettuale della zona di destinazione di Azure. Questa architettura fornisce criteri di Azure per carichi di lavoro che richiedono lo stesso tipo di sicurezza e conformità nello stesso livello del gruppo di gestione.
Creare gruppi di gestione nel gruppo di gestione a livello radice per rappresentare i tipi di carichi di lavoro che verranno ospitati. Questi gruppi si basano sulle esigenze di sicurezza, conformità, connettività e funzionalità dei carichi di lavoro. Con questa struttura di raggruppamento è possibile applicare un set di criteri di Azure a livello di gruppo di gestione. Questa struttura di raggruppamento interessa tutti i carichi di lavoro che richiedono le stesse impostazioni di sicurezza, conformità, connettività e funzionalità.
Usare i tag delle risorse per eseguire query e spostarsi orizzontalmente nella gerarchia dei gruppi di gestione. I tag delle risorse possono essere applicati o aggiunti tramite Criteri di Azure. È quindi possibile raggruppare le risorse per le esigenze di ricerca senza dover usare una gerarchia dei gruppi di gestione complessa.
Creare un gruppo di gestione sandbox di primo livello in modo che gli utenti possano sperimentare immediatamente con Azure. Gli utenti potranno quindi sperimentare con risorse che potrebbero non essere ancora consentite negli ambienti di produzione. Sandbox offre l'isolamento dagli ambienti di sviluppo, test e produzione.
Creare un gruppo di gestione della piattaforma nel gruppo di gestione radice per supportare i criteri comuni della piattaforma e l'assegnazione di ruolo di Azure. Questa struttura di raggruppamento garantisce che è possibile applicare criteri diversi alle sottoscrizioni usate per la base di Azure. Garantisce anche che la fatturazione per le risorse comuni sia centralizzata in un unico set di sottoscrizioni di base.
Limitare il numero di assegnazioni di Criteri di Azure effettuate nell'ambito del gruppo di gestione radice. Questa limitazione riduce al minimo il debug di criteri ereditati in gruppi di gestione di basso livello.
Usare i criteri per applicare i requisiti di conformità nell'ambito del gruppo di gestione o della sottoscrizione e ottenere una governance basata su criteri.
Assicurarsi che solo gli utenti con privilegi possano gestire i gruppi di gestione nel tenant. Abilitare l'autorizzazione del controllo degli accessi in base al ruolo di Azure nelle impostazioni della gerarchia del gruppo di gestione per perfezionare i privilegi utente. Per impostazione predefinita, tutti gli utenti sono autorizzati a creare i propri gruppi di gestione nel gruppo di gestione radice.
Configurare un gruppo di gestione dedicato predefinito per le nuove sottoscrizioni. Questo gruppo garantisce che nessuna sottoscrizione sia inserita nel gruppo di gestione radice. Questo gruppo è particolarmente importante se sono presenti utenti idonei per vantaggi e sottoscrizioni Microsoft Developer Network (MSDN) o Visual Studio. Un gruppo di gestione sandbox è un buon candidato per questo tipo di gruppo di gestione. Per altre informazioni, vedere Impostazione - gruppo di gestione predefinito.
Non creare gruppi di gestione per ambienti di produzione, test e sviluppo. Se necessario, separare questi gruppi in sottoscrizioni diverse nello stesso gruppo di gestione. Per altre indicazioni su questo argomento, vedere:
Gruppi di gestione nell'acceleratore della zona di destinazione di Azure e nel repository ALZ-Bicep
Le decisioni seguenti sono state prese e incluse nell'implementazione per la struttura del gruppo di gestione. Queste decisioni fanno parte dell'acceleratore di zona di destinazione di Azure e del modulo dei gruppi di gestione del repository ALZ-Bicep.
Nota
La gerarchia del gruppo di gestione può essere modificata nel modulo bicep della zona di destinazione di Azure modificando managementGroups.bicep.
| Gruppo di gestione | Descrizione |
|---|---|
| Gruppo di gestione radice intermedio | Questo gruppo di gestione si trova direttamente sotto il gruppo radice del tenant. Creato con un prefisso fornito dall'organizzazione, che evita in modo specifico l'utilizzo del gruppo radice, in modo che le organizzazioni possano spostare le sottoscrizioni di Azure esistenti nella gerarchia. Consente anche scenari futuri. Questo gruppo di gestione è un elemento padre di tutti gli altri gruppi di gestione creati dall'acceleratore della zona di destinazione di Azure. |
| Piattaforma | Questo gruppo di gestione contiene tutti i gruppi di gestione figlio della piattaforma, ad esempio gestione, connettività e identità. |
| Gestione | Questo gruppo di gestione contiene una sottoscrizione dedicata per la gestione, il monitoraggio e la sicurezza. Questa sottoscrizione ospiterà un'area di lavoro Azure Log Analytics, incluse le soluzioni associate, e un account Automazione di Azure locale. |
| Connettività | Questo gruppo di gestione contiene una sottoscrizione dedicata per la connettività. Questa sottoscrizione ospiterà le risorse di rete di Azure necessarie per la piattaforma, ad esempio rete WAN virtuale di Azure, Firewall di Azure e zone private DNS di Azure. |
| Identità | Questo gruppo di gestione contiene una sottoscrizione dedicata per l'identità. Questa sottoscrizione è un segnaposto per le macchine virtuali (VM) di Windows Server Dominio di Active Directory Services (AD DS) o Microsoft Entra Domain Services. La sottoscrizione abilita anche AuthN o AuthZ per i carichi di lavoro all'interno delle zone di destinazione. Per la protezione avanzata e la gestione delle risorse nella sottoscrizione di identità vengono assegnati Criteri di Azure specifici. |
| Zone di destinazione | Gruppo di gestione padre per tutti i gruppi di gestione figlio della zona di destinazione. Verranno assegnati criteri di Azure indipendenti dal carico di lavoro per garantire che i carichi di lavoro siano sicuri e conformi. |
| Online | Gruppo di gestione dedicato per le zone di destinazione online. Questo gruppo è riservato a carichi di lavoro che potrebbero richiedere una connettività internet diretta in ingresso/uscita o per carichi di lavoro che potrebbero non richiedere una rete virtuale. |
| Corp | Gruppo di gestione dedicato per le zone di destinazione aziendali. Questo gruppo è riservato a carichi di lavoro che richiedono una connettività o connettività ibrida con la rete aziendale tramite l'hub nella sottoscrizione di connettività. |
| Sandbox | Gruppo di gestione dedicato per le sottoscrizioni che verrà usato solo per il test e l'esplorazione da parte di un'organizzazione. Queste sottoscrizioni verranno disconnesse in modo sicuro dalle zone di destinazione aziendali e online. Le sandbox hanno anche un set meno restrittivo di criteri assegnati per abilitare il test, l'esplorazione e la configurazione di servizi di Azure. |
| Disattivato | Gruppo di gestione dedicato per le zone di destinazione che vengono annullate. Le zone di destinazione annullate verranno spostate in questo gruppo di gestione prima dell'eliminazione da parte di Azure dopo 30-60 giorni. |
Nota
Per molte organizzazioni, i gruppi predefiniti Corp e Online di gestione offrono un punto di partenza ideale.
Alcune organizzazioni devono aggiungere di più, mentre altre non le troveranno rilevanti per l'organizzazione.
Se si sta valutando la possibilità di apportare modifiche alla gerarchia del gruppo di gestione, vedere l'articolo Personalizzare l'architettura della zona di destinazione di Azure per soddisfare le indicazioni sui requisiti .
Autorizzazioni per l'acceleratore della zona di destinazione di Azure
Richiede un nome dell'entità servizio (SPN) dedicato per eseguire operazioni del gruppo di gestione, operazioni di gestione delle sottoscrizioni e assegnazione di ruolo. L'uso di un nome SPN riduce il numero di utenti con diritti elevati e segue le linee guida dei privilegi minimi.
Richiede il ruolo di Amministratore accesso utente all'ambito del gruppo di gestione radice per concedere al nome dell'entità servizio l'accesso a livello radice. Quando vengono concesse le autorizzazioni al nome SPN, il ruolo di Amministratore Accesso utenti può essere rimosso in modo sicuro. In questo modo, solo il nome SPN fa parte del ruolo Amministratore Accesso utenti.
Richiede il ruolo di Collaboratore per il nome SPN indicato in precedenza nell'ambito del gruppo di gestione radice, che consente operazioni a livello di tenant. Questo livello di autorizzazione garantisce che il nome SPN possa essere usato per distribuire e gestire le risorse in qualsiasi sottoscrizione all'interno dell'organizzazione.
Passaggi successivi
Informazioni sul ruolo delle sottoscrizioni quando si pianifica un'adozione su larga scala di Azure.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per