Creare gruppi di gestione

  • 3 minuti

Le organizzazioni che usano più sottoscrizioni hanno bisogno di un modo per gestire in modo efficiente l'accesso, i criteri e la conformità. I gruppi di gestione di Azure offrono un certo livello di definizione dell'ambito e di controllo per le sottoscrizioni. È possibile usare i gruppi di gestione come contenitori per gestire l'accesso, i criteri e la conformità per tutte le sottoscrizioni.

Informazioni sui gruppi di gestione

Valutare le caratteristiche seguenti dei gruppi di gestione di Azure:

  • Per impostazione predefinita, tutte le nuove sottoscrizioni vengono inserite nel gruppo di gestione di primo livello o gruppo radice.

  • Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate a tale gruppo di gestione.

  • L'albero di un gruppo di gestione può supportare fino a sei livelli di profondità.

  • L'autorizzazione del controllo degli accessi in base al ruolo di Azure per le operazioni sui gruppi di gestione non è abilitata per impostazione predefinita.

Il diagramma seguente illustra come è possibile usare i gruppi di gestione di Azure per organizzare le sottoscrizioni in una gerarchia di gestione unificata dei criteri e degli accessi. In questo scenario, l'organizzazione ha un singolo gruppo di gestione di primo livello. Ogni directory nel gruppo radice viene aggiunta nel gruppo di primo livello.

Diagram that shows how Azure management groups can be used to organize subscriptions in a hierarchy of unified policy and access management.

Aspetti da considerare quando si usano i gruppi di gestione

Esaminare i modi seguenti per usare i gruppi di gestione in Criteri di Azure per gestire le sottoscrizioni:

  • Valutare gerarchie e gruppi personalizzati. Allineare le sottoscrizioni di Azure usando gerarchie e raggruppamenti personalizzati adatti alla struttura organizzativa e agli scenari aziendali della società. È possibile usare i gruppi di gestione per assegnare criteri e budget di spesa tra le sottoscrizioni.

  • Valutare l'ereditarietà dei criteri. Controllare l'ereditarietà gerarchica di accesso e privilegi nelle definizioni dei criteri. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano le condizioni applicate al gruppo di gestione. È possibile applicare criteri a un gruppo di gestione per limitare le aree disponibili per la creazione di macchine virtuali. I criteri possono essere applicati a tutti i gruppi di gestione, alle sottoscrizioni e alle risorse nel gruppo di gestione iniziale, per assicurarsi che le macchine virtuali vengano create solo nelle aree specificate.

  • Valutare le regole di conformità. Organizzare le sottoscrizioni in gruppi di gestione per soddisfare le regole di conformità per singoli reparti e team.

  • Valutare la creazione di report sui costi. Usare i gruppi di gestione per eseguire report sui costi in base al reparto o per scenari aziendali specifici. È possibile usare i gruppi di gestione per creare report sui dettagli del budget tra le sottoscrizioni.

Creare gruppi di gestione

È possibile creare un gruppo di gestione con Criteri di Azure usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure. Ecco un esempio dell'interfaccia visualizzata nel portale di Azure:

Screenshot that shows how to create a management group in the Azure portal.

Un gruppo di gestione ha un identificatore (ID) univoco della directory e un nome visualizzato. L'ID viene usato per inviare comandi da eseguire sul gruppo di gestione. Il valore ID non può essere modificato dopo la creazione perché viene usato in tutto il sistema di Azure per identificare il gruppo di gestione. Il nome visualizzato per il gruppo di gestione è facoltativo e può essere modificato in qualsiasi momento.