Gestire le sottoscrizioni di Azure su larga scala con i gruppi di gestione

Se l'organizzazione dispone di molte sottoscrizioni, potrebbe essere necessario gestire in modo efficace l'accesso, i criteri e la conformità per tali sottoscrizioni. I gruppi di gestione di Azure forniscono un livello di ambito oltre le sottoscrizioni. Le sottoscrizioni sono organizzate in contenitori chiamati "gruppi di gestione" a cui vengono applicate le condizioni di governance. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo di gestione.

I gruppi di gestione offrono gestione di livello aziendale su larga scala, indipendentemente dal tipo di sottoscrizioni che si posseggono. Per altre informazioni sui gruppi di gestione, vedere Organizzare le risorse con i gruppi di gestione di Azure.

Nota

Questo articolo illustra come eliminare i dati personali dal dispositivo o dal servizio e può essere usato per supportare gli obblighi previsti dal GDPR. Per informazioni generali sul GDPR, vedere la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del portale di trust del servizio.

Importante

I token utente di Azure Resource Manager e la cache del gruppo di gestione durano 30 minuti prima essere aggiornati in modo forzato. Dopo aver eseguito un'azione come lo spostamento di un gruppo di gestione o una sottoscrizione, possono essere necessari fino a 30 minuti per la visualizzazione. Per visualizzare gli aggiornamenti prima che sia necessario aggiornare il token aggiornando il browser, eseguendo l'accesso e la disconnessione o richiedendo un nuovo token.

Importante

I cmdlet AzManagementGroup correlati a Az PowerShell indicano che il valore -GroupId è alias del parametro -GroupName , in modo che sia possibile usarlo per specificare l'ID gruppo di gestione come valore stringa.

Modificare il nome di un gruppo di gestione

È possibile modificare il nome del gruppo di gestione tramite il portale, PowerShell o l'interfaccia della riga di comando di Azure.

Modificare il nome nel portale

1. Accedere al portale di Azure.

2. Selezionare Tutti i servizi>Gruppi di gestione.

3. Selezionare il gruppo di gestione da rinominare.

4. Selezionare Dettagli.

5. Selezionare l'opzione Rinomina gruppo nella parte superiore della pagina.

   

6. All'apertura del menu, immettere il nuovo nome che si vuole visualizzare.

   

7. Selezionare Salva.

Modificare il nome in PowerShell

Per aggiornare il nome visualizzato, usare use Update-AzManagementGroup. Ad esempio, per modificare il nome di visualizzazione di un gruppo di gestione da "Contoso" a "Gruppo Contoso" si esegue il comando seguente:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Modificare il nome nell'interfaccia della riga di comando di Azure

Per l'interfaccia della riga di comando di Azure usare il comando di aggiornamento.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Eliminare un gruppo di gestione

Per eliminare un gruppo di gestione è necessario che siano soddisfatti i requisiti seguenti:

1. Nel gruppo di gestione non esistono gruppi di gestione o sottoscrizioni figlio. Per spostare una sottoscrizione o un gruppo di gestione in un altro gruppo di gestione, vedere Spostamento di gruppi di gestione e sottoscrizioni nella gerarchia.

2. Sono necessarie autorizzazioni di scrittura per il gruppo di gestione ("Proprietario" o "Collaboratore" o "Collaboratore del gruppo di gestione"). Per controllare le proprie autorizzazioni, selezionare il gruppo di gestione e quindi selezionare IAM. Per altre informazioni sui ruoli di Azure, vedere Controllo degli accessi in base al ruolo di Azure .Per altre informazioni sui ruoli, vedere Controllo degli accessi in base al ruolo di Azure.

Eseguire l'eliminazione nel portale

1. Accedere al portale di Azure.

2. Selezionare Tutti i servizi>Gruppi di gestione.

3. Selezionare il gruppo di gestione da eliminare.

4. Selezionare Dettagli.

5. Selezionare Elimina

   

   Suggerimento

   Se l'icona è disabilitata, posizionando il cursore del mouse sull'icona viene visualizzato il motivo.

6. Si aprirà una finestra con la richiesta di confermare l'eliminazione del gruppo di gestione.

   

7. Selezionare Sì.

Eseguire l'eliminazione in PowerShell

Usare il comando Remove-AzManagementGroup in PowerShell per eliminare gruppi di gestione.

Remove-AzManagementGroup -GroupId 'Contoso'

Eseguire l'eliminazione nell'interfaccia della riga di comando di Azure

Nell'interfaccia della riga di comando di Azure usare il comando az account management-group delete.

az account management-group delete --name 'Contoso'

Visualizzare i gruppi di gestione

È possibile visualizzare qualsiasi gruppo di gestione in cui è disponibile un ruolo diretto o ereditato in Azure.

Visualizzare nel portale

1. Accedere al portale di Azure.

2. Selezionare Tutti i servizi>Gruppi di gestione.

3. Viene caricata la pagina della gerarchia del gruppo di gestione. Questa è la pagina in cui è possibile esplorare tutti i gruppi di gestione e le sottoscrizioni a cui si ha accesso. Selezionando il nome del gruppo si passa a un livello inferiore nella gerarchia. Le funzioni di spostamento sono le stesse di Esplora file.

4. Per visualizzare i dettagli del gruppo di gestione, selezionare il collegamento (dettagli) accanto al titolo del gruppo di gestione. Se questo collegamento non è disponibile, non si hanno le autorizzazioni per visualizzare il gruppo di gestione.

   

Visualizzare in PowerShell

Per recuperare tutti i gruppi, usare il comando Get-AzManagementGroup. Vedere i moduli AZ.Resources per l'elenco completo dei comandi Ottieni PowerShell per il gruppo di gestione.

Get-AzManagementGroup

Per informazioni su un singolo gruppo di gestione, usare il parametro -GroupId

Get-AzManagementGroup -GroupId 'Contoso'

Per restituire un gruppo di gestione specifico e tutti i livelli della gerarchia al suo interno, usare i parametri -Expand e -Recurse.

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Visualizzare nell'interfaccia della riga di comando di Azure

Per recuperare tutti i gruppi, usare il comando list.

az account management-group list

Per ottenere le informazioni su un singolo gruppo di gestione, usare il comando show

az account management-group show --name 'Contoso'

Per restituire un gruppo di gestione specifico e tutti i livelli della gerarchia al suo interno, usare i parametri -Expand e -Recurse.

az account management-group show --name 'Contoso' -e -r

Spostamento di gruppi di gestione e sottoscrizioni

Uno dei motivi per creare un gruppo di gestione è l'accorpamento delle sottoscrizioni. Solo i gruppi di gestione e le sottoscrizioni possono essere resi elementi figlio di un altro gruppo di gestione. Una sottoscrizione che viene spostata in un gruppo di gestione eredita tutti i criteri e le autorizzazioni di accesso utente dal gruppo di gestione padre

Quando si sposta un gruppo di gestione o una sottoscrizione per essere figlio di un altro gruppo di gestione, è necessario valutare tre regole come true.

Se si esegue l'azione di spostamento, è necessaria l'autorizzazione in ognuno dei livelli seguenti:

• Sottoscrizione figlio/gruppo di gestione
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (solo per le sottoscrizioni)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Gruppo di gestione padre di destinazione
  • Microsoft.management/managementgroups/write
• Gruppo di gestione padre corrente
  • Microsoft.management/managementgroups/write

Eccezione: se il gruppo di gestione padre di destinazione o esistente è il gruppo di gestione radice, i requisiti delle autorizzazioni non sono applicabili. Poiché il gruppo di gestione radice è il punto di destinazione predefinito per tutti i nuovi gruppi di gestione e le sottoscrizioni, non è necessario avere le autorizzazioni per spostare un elemento.

Se il ruolo Proprietario nella sottoscrizione viene ereditato dal gruppo di gestione corrente, le destinazioni di spostamento sono limitate. È possibile spostare la sottoscrizione solo in un altro gruppo di gestione in cui si ha il ruolo Proprietario. Non è possibile spostare la sottoscrizione in un gruppo di gestione in cui si è solo un collaboratore perché si perde la proprietà della sottoscrizione. Se si è assegnati direttamente al ruolo Proprietario per la sottoscrizione, è possibile spostarlo in qualsiasi gruppo di gestione in cui si è un collaboratore.

Per controllare le proprie autorizzazioni nel portale di Azure, selezionare il gruppo di gestione e quindi selezionare IAM. Per altre informazioni sui ruoli di Azure, vedere Controllo degli accessi in base al ruolo di Azure .Per altre informazioni sui ruoli, vedere Controllo degli accessi in base al ruolo di Azure.

Spostare sottoscrizioni

Aggiungere una sottoscrizione esistente a un gruppo di gestione nel portale

1. Accedere al portale di Azure.

2. Selezionare Tutti i servizi>Gruppi di gestione.

3. Selezionare il gruppo di gestione che dovrà fungere da elemento padre.

4. Nella parte superiore della pagina selezionare Aggiungi sottoscrizione.

5. Selezionare nell'elenco la sottoscrizione con l'ID corretto.

   

6. Selezionare "Salva".

Rimuovere una sottoscrizione da un gruppo di gestione nel portale

1. Accedere al portale di Azure.

2. Selezionare Tutti i servizi>Gruppi di gestione.

3. Selezionare il gruppo di gestione che attualmente funge da elemento padre.

4. Selezionare i puntini di sospensione in fondo alla riga della sottoscrizione che si vuole spostare.

   

5. Selezionare Sposta.

6. Nel menu visualizzato selezionare il Gruppo di gestione padre.

   

7. Selezionare Salva.

Spostare sottoscrizioni in PowerShell

Per spostare una sottoscrizione in PowerShell, usare il comando New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Per rimuovere il collegamento tra la sottoscrizione e il gruppo di gestione, usare il comando Remove-AzManagementGroupSubscription.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Spostare sottoscrizioni nell'interfaccia della riga di comando di Azure

Per spostare una sottoscrizione nell'interfaccia della riga di comando, usare il comando add.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Per rimuovere la sottoscrizione dal gruppo di gestione, usare il comando remove.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Spostare le sottoscrizioni nel modello di Resource Manager

Per spostare una sottoscrizione in un modello di Azure Resource Manager (modello ARM), usare il modello seguente e distribuirlo a livello di tenant.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

In alternativa, il file Bicep seguente.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Spostare i gruppi di gestione

Spostare gruppi di gestione nel portale

1. Accedere al portale di Azure.

2. Selezionare Tutti i servizi>Gruppi di gestione.

3. Selezionare il gruppo di gestione che dovrà fungere da elemento padre.

4. Nella parte superiore della pagina selezionare Aggiungi gruppo di gestione.

5. Nel menu visualizzato, selezionare se usare un gruppo di gestione nuovo o esistente.

   • Selezionando la prima opzione verrà creato un nuovo gruppo di gestione.
   • Selezionando un esistente verrà visualizzato un elenco a discesa di tutti i gruppi di gestione che è possibile spostare in questo gruppo di gestione.

   

6. Selezionare Salva.

Spostare gruppi di gestione in PowerShell

Usare il comando Update-AzManagementGroup in PowerShell per spostare un gruppo di gestione in un gruppo diverso.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Spostare gruppi di gestione nell'interfaccia della riga di comando di Azure

Usare il comando update per spostare un gruppo di gestione con l'interfaccia della riga di comando di Azure.

az account management-group update --name 'Contoso' --parent ContosoIT

Controllare i gruppi di gestione con i log attività

I gruppi di gestione sono supportati all'interno del log attività di Azure. È possibile eseguire una query di tutti gli eventi che si verificano per un gruppo di gestione nella stessa posizione centrale delle altre risorse di Azure. È ad esempio possibile vedere tutte le modifiche delle assegnazioni di ruoli o di criteri apportate a uno specifico gruppo di gestione.

Quando si esegue una query sui gruppi di gestione all'esterno del portale di Azure, l'ambito di destinazione per tali gruppi sarà simile a "/providers/Microsoft.Management/managementGroups/{yourMgID}" .

Riferimento a gruppi di gestione da altri provider di risorse

Quando si fa riferimento a gruppi di gestione di altre azioni del provider di risorse, usare il percorso seguente come ambito. Questo percorso viene usato quando si usano PowerShell, l'interfaccia della riga di comando di Azure e le API REST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Un esempio di uso di questo percorso è l'assegnazione di una nuova assegnazione di ruolo a un gruppo di gestione in PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Lo stesso percorso dell'ambito viene usato quando si recupera una definizione di criteri in un gruppo di gestione.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Passaggi successivi

Per altre informazioni sui gruppi di gestione, vedere:

• Creare gruppi di gestione per organizzare le risorse di Azure
• Come modificare, eliminare o gestire i gruppi di gestione
• Gruppi di gestione nel modulo Resources di Azure PowerShell
• Gruppi di gestione nell'API REST
• Gruppi di gestione nell'interfaccia della riga di comando di Azure