Uw Azure-abonnementen op schaal beheren met beheergroepen

  • Artikel

Als uw organisatie veel abonnementen heeft, moet u de toegang, beleidsregels en naleving voor deze abonnementen op een efficiënte manier kunnen beheren. Azure-beheergroepen bieden een scopeniveau boven abonnementen. U ordent abonnementen in containers, zogenaamde 'beheergroepen', en past uw governancevoorwaarden hierop toe. Alle abonnementen in een beheergroep nemen automatisch de voorwaarden over die op de beheergroep zijn toegepast.

Beheergroepen bieden u beheer van bedrijfskwaliteit op grote schaal, ongeacht de typen abonnementen die u hebt. Zie Uw resources organiseren met Azure-beheergroepen voor meer informatie over beheergroepen.

Notitie

Dit artikel bevat stappen voor het verwijderen van persoonlijke gegevens van het apparaat of de service. U kunt het ook gebruiken om uw verplichtingen met betrekking tot de AVG (Algemene Verordening Gegevensbescherming) na te komen. Zie de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust-portal voor algemene informatie over de AVG.

Belangrijk

Azure Resource Manager-gebruikerstokens en de cache van beheergroepen duren 30 minuten voordat ze worden vernieuwd. Nadat u een actie hebt uitgevoerd, zoals het verplaatsen van een beheergroep of abonnement, kan het tot 30 minuten duren voordat deze wordt weergegeven. Als u de updates eerder wilt zien, moet u uw token bijwerken door de browser te vernieuwen, u aan te melden en af te melden of een nieuw token aan te vragen.

Belangrijk

AzManagementGroup-gerelateerde Az PowerShell-cmdlets vermelden dat de -GroupId de alias is van de parameter -GroupName , zodat we een van beide kunnen gebruiken om de beheergroep-id op te geven als een tekenreekswaarde.

De naam van een beheergroep wijzigen

U kunt de naam van de beheergroep wijzigen met behulp van de portal, PowerShell of Azure CLI.

De naam in de portal wijzigen

  1. Meld u aan bij Azure Portal.

  2. Selecteer Alle services>Beheergroepen.

  3. Selecteer de beheergroep die u wilt wijzigen.

  4. Details selecteren.

  5. Selecteer de optie Naam van groep wijzigen bovenaan de pagina.

    Schermopname van de actiebalk en de knop Naam van groep wijzigen op de pagina van de beheergroep.

  6. Wanneer het menu wordt geopend, voert u de nieuwe naam in die u wilt weergeven.

    Schermopname van het venster Naam van groep wijzigen en opties voor het wijzigen van de naam van een beheergroep.

  7. Selecteer Opslaan.

De naam wijzigen in PowerShell

Gebruik Update-AzManagementGroup om de weergavenaam bij te werken. Als u bijvoorbeeld de weergavenaam van een beheergroep wilt wijzigen van 'Contoso IT' in 'Contoso Group', voert u de volgende opdracht uit:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

De naam wijzigen in Azure CLI

Gebruik voor Azure CLI de opdracht bijwerken.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Een beheergroep verwijderen

Als u een beheergroep wilt verwijderen, moet aan de volgende vereisten worden voldaan:

  1. Er zijn geen onderliggende beheergroepen of abonnementen onder de beheergroep. Zie Beheergroepen en abonnementen verplaatsen in de hiërarchie als u een abonnement of beheergroep naar een andere beheergroep wilt verplaatsen.

  2. U hebt schrijfmachtigingen nodig voor de beheergroep ('Eigenaar', 'Inzender' of 'Inzender beheergroep'). Als u wilt zien welke machtigingen u hebt, selecteert u de beheergroep en selecteert u vervolgens IAM. Zie Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor meer informatie over Azure-rollen.

Verwijderen in de portal

  1. Meld u aan bij Azure Portal.

  2. Selecteer Alle services>Beheergroepen.

  3. Selecteer de beheergroep die u wilt verwijderen.

  4. Details selecteren.

  5. Selecteer Verwijderen

    Schermopname van de pagina Beheergroep met de knop Verwijderen gemarkeerd.

    Tip

    Als het pictogram is uitgeschakeld, wordt de reden weergegeven als u de muiskiezer boven het pictogram houdt.

  6. Er wordt een venster geopend waarin wordt bevestigd dat u de beheergroep wilt verwijderen.

    Schermopname van het bevestigingsdialoogvenster 'Groep verwijderen' voor het verwijderen van een beheergroep.

  7. Selecteer Ja.

Verwijderen in PowerShell

Gebruik de opdracht Remove-AzManagementGroup in PowerShell om beheergroepen te verwijderen.

Remove-AzManagementGroup -GroupId 'Contoso'

Verwijderen in de Azure CLI

Gebruik in Azure CLI de opdracht az account management-group delete.

az account management-group delete --name 'Contoso'

Beheergroepen weergeven

U kunt elke beheergroep weergeven waarvoor u een directe of overgenomen Azure-rol hebt.

Weergeven in de portal

  1. Meld u aan bij Azure Portal.

  2. Selecteer Alle services>Beheergroepen.

  3. De hiërarchiepagina van de beheergroep wordt geladen. Op deze pagina kunt u alle beheergroepen en abonnementen verkennen waar u toegang toe hebt. Als u de groepsnaam selecteert, gaat u naar een lager niveau in de hiërarchie. De navigatie werkt op dezelfde wijze als een verkenner.

  4. Als u de details van de beheergroep wilt zien, selecteert u de koppeling (details) naast de titel van de beheergroep. Als deze koppeling niet beschikbaar is, bent u niet gemachtigd om die beheergroep weer te geven.

    Schermopname van de pagina Beheergroepen, met onderliggende beheergroepen en abonnementen.

Weergeven in PowerShell

U gebruikt de opdracht Get-AzManagementGroup om alle groepen op te halen. Zie Az.Resources-modules voor de volledige lijst met GET PowerShell-opdrachten voor beheergroepen.

Get-AzManagementGroup

Voor de informatie van één beheergroep gebruikt u de parameter -GroupId

Get-AzManagementGroup -GroupId 'Contoso'

Als u een specifieke beheergroep en alle onderliggende niveaus van de hiërarchie wilt retourneren, gebruikt u de parameters -Expand en -Recurse .

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Weergeven in Azure CLI

U gebruikt de lijstopdracht om alle groepen op te halen.

az account management-group list

Gebruik voor de informatie van één beheergroep de opdracht weergeven

az account management-group show --name 'Contoso'

Als u een specifieke beheergroep en alle onderliggende niveaus van de hiërarchie wilt retourneren, gebruikt u de parameters -Expand en -Recurse .

az account management-group show --name 'Contoso' -e -r

Beheergroepen en abonnementen verplaatsen

Een reden om een beheergroep te maken, is om abonnementen te bundelen. Alleen beheergroepen en abonnementen kunnen onderliggende items van een andere beheergroep worden gemaakt. Een abonnement dat naar een beheergroep wordt verplaatst, neemt alle gebruikerstoegang en beleidsregels over van de bovenliggende beheergroep

Wanneer u een beheergroep of abonnement verplaatst naar een onderliggend element van een andere beheergroep, moeten drie regels worden geëvalueerd als waar.

Als u de verplaatsingsactie uitvoert, hebt u machtigingen nodig voor elk van de volgende lagen:

  • Onderliggend abonnement/beheergroep
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (alleen voor abonnementen)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Bovenliggende doelbeheergroep
    • Microsoft.management/managementgroups/write
  • Huidige bovenliggende beheergroep
    • Microsoft.management/managementgroups/write

Uitzondering: Als de beoogde of bestaande bovenliggende beheergroep de hoofdbeheergroep is, zijn de machtigingsvereisten niet van toepassing. Omdat de hoofdbeheergroep de standaardplek voor alle nieuwe beheergroepen en abonnementen is, hebt u geen machtigingen nodig om een item te verplaatsen.

Als de rol Eigenaar van het abonnement wordt overgenomen van de huidige beheergroep, zijn de verplaatsingsdoelen beperkt. U kunt het abonnement alleen verplaatsen naar een andere beheergroep waarvan u de rol Eigenaar hebt. U kunt het abonnement niet verplaatsen naar een beheergroep waarvan u alleen een inzender bent, omdat u het eigendom van het abonnement verliest. Als u rechtstreeks bent toegewezen aan de rol Eigenaar voor het abonnement, kunt u het verplaatsen naar elke beheergroep waarin u een inzender bent.

Als u wilt zien welke machtigingen u hebt in de Azure Portal, selecteert u de beheergroep en selecteert u vervolgens IAM. Zie Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor meer informatie over Azure-rollen.

Abonnementen verplaatsen

Een bestaand abonnement toevoegen aan een beheergroep in de portal

  1. Meld u aan bij Azure Portal.

  2. Selecteer Alle services>Beheergroepen.

  3. Selecteer de beheergroep die u van plan bent om de bovenliggende groep te worden.

  4. Selecteer Bovenaan de pagina de optie Abonnement toevoegen.

  5. Selecteer het abonnement in de lijst met de juiste id.

    Schermopname van de opties 'Abonnement toevoegen' voor het selecteren van een bestaand abonnement dat u wilt toevoegen aan een beheergroep.

  6. Selecteer Opslaan.

Een abonnement verwijderen uit een beheergroep in de portal

  1. Meld u aan bij Azure Portal.

  2. Selecteer Alle services>Beheergroepen.

  3. Selecteer de beheergroep die u plant en die het huidige bovenliggende item is.

  4. Selecteer het beletselteken aan het einde van de rij voor het abonnement in de lijst die u wilt verplaatsen.

    Schermopname van het alternatieve menu voor een abonnement om de optie Verplaatsen te selecteren.

  5. Selecteer Verplaatsen.

  6. Selecteer in het menu dat wordt geopend de bovenliggende beheergroep.

    Schermopname van het venster 'Verplaatsen' en opties voor het verplaatsen van een abonnement naar een andere beheergroep.

  7. Selecteer Opslaan.

Abonnementen verplaatsen in PowerShell

Als u een abonnement in PowerShell wilt verplaatsen, gebruikt u de opdracht New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Gebruik de opdracht Remove-AzManagementGroupSubscription om de koppeling tussen het abonnement en de beheergroep te verwijderen.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Abonnementen verplaatsen in Azure CLI

Als u een abonnement in CLI wilt verplaatsen, gebruikt u de opdracht toevoegen.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Als u het abonnement uit de beheergroep wilt verwijderen, gebruikt u de opdracht abonnement verwijderen.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Abonnementen verplaatsen in ARM-sjabloon

Als u een abonnement in een ARM-sjabloon (Azure Resource Manager) wilt verplaatsen, gebruikt u de volgende sjabloon en implementeert u deze op tenantniveau.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Of het volgende Bicep-bestand.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Beheergroepen verplaatsen

Beheergroepen verplaatsen in de portal

  1. Meld u aan bij Azure Portal.

  2. Selecteer Alle services>Beheergroepen.

  3. Selecteer de beheergroep die u van plan bent om de bovenliggende groep te worden.

  4. Selecteer beheergroep toevoegen bovenaan de pagina.

  5. Selecteer in het menu dat wordt geopend of u een nieuwe of een bestaande beheergroep wilt gebruiken.

    • Als u nieuw selecteert, wordt er een nieuwe beheergroep gemaakt.
    • Als u een bestaande selecteert, ziet u een vervolgkeuzelijst met alle beheergroepen die u naar deze beheergroep kunt verplaatsen.

    Schermopname van de opties Beheergroep toevoegen, voor het maken van een nieuwe beheergroep.

  6. Selecteer Opslaan.

Beheergroepen verplaatsen in PowerShell

Gebruik de opdracht Update-AzManagementGroup in PowerShell om een beheergroep onder een andere groep te verplaatsen.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Beheergroepen verplaatsen in Azure CLI

Gebruik de opdracht bijwerken om een beheergroep te verplaatsen met Azure CLI.

az account management-group update --name 'Contoso' --parent ContosoIT

Beheergroepen controleren met behulp van activiteitenlogboeken

Beheergroepen worden ondersteund door het Azure-activiteitenlogboek. U kunt een query uitvoeren op alle gebeurtenissen die zich voordoen bij een beheergroep op dezelfde centrale locatie als andere Azure-resources. Zo kunt u alle gewijzigde rol- of beleidstoewijzingen binnen een bepaalde beheergroep bekijken.

Schermopname van activiteitenlogboeken en bewerkingen met betrekking tot de geselecteerde beheergroep.

Bij het uitvoeren van query's op beheergroepen buiten de Azure-portal, ziet het doelbereik voor beheergroepen er als volgt uit: / providers/Microsoft.Management/managementGroups/{yourMgID} .

Naar beheergroepen van andere resourceproviders verwijzen

Wanneer u verwijst naar beheergroepen uit acties van andere resourceproviders, gebruikt u het volgende pad als het bereik. Dit pad wordt gebruikt bij het gebruik van PowerShell, Azure CLI en REST API's.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Een voorbeeld van het gebruik van dit pad is bij het toewijzen van een nieuwe roltoewijzing aan een beheergroep in PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Hetzelfde bereikpad wordt gebruikt bij het ophalen van een beleidsdefinitie bij een beheergroep.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Volgende stappen

Voor meer informatie over beheergroepen gaat u naar: