Uw resourcehiërarchie beveiligen

Uw resources, resourcegroepen, abonnementen, beheergroepen en tenant stellen uw resourcehiërarchie samen. Instellingen in de hoofdbeheergroep, zoals aangepaste Azure-rollen of beleidstoewijzingen, kunnen van invloed zijn op elke resource in uw resourcehiërarchie. Het is belangrijk om de resourcehiërarchie te beschermen tegen wijzigingen die negatieve gevolgen kunnen hebben voor alle resources.

Beheergroepen hebben hiërarchie-instellingen waarmee de tenantbeheerder dit gedrag kan beheren. In dit artikel wordt elk van de beschikbare hiërarchie-instellingen beschreven en hoe u deze instelt.

Azure RBAC-machtigingen voor hiërarchie-instellingen

Voor het configureren van hiërarchie-instellingen zijn de volgende bewerkingen van de resourceprovider in de hoofdbeheergroep vereist:

• Microsoft.Management/managementgroups/settings/write
• Microsoft.Management/managementgroups/settings/read

Deze bewerkingen vertegenwoordigen machtigingen voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Ze staan een gebruiker alleen toe om de hiërarchie-instellingen te lezen en bij te werken. Ze bieden geen andere toegang tot de hiërarchie van de beheergroep of tot resources in de hiërarchie.

Beide bewerkingen zijn beschikbaar in de ingebouwde Azure-rol Hiërarchie-instellingenbeheerder.

Instelling: De standaardbeheergroep definiëren

Een nieuw abonnement dat u aan een tenant toevoegt, wordt standaard lid van de hoofdbeheergroep. Als u beleidstoewijzingen, Azure RBAC en andere governanceconstructies toewijst aan de hoofdbeheergroep, zijn deze onmiddellijk van invloed op deze nieuwe abonnementen. Daarom passen veel organisaties deze constructies niet toe op de hoofdbeheergroep, ook al is dat de gewenste plek om ze toe te wijzen. In andere gevallen wil een organisatie een meer beperkende set besturingselementen voor nieuwe abonnementen, maar deze niet toewijzen aan alle abonnementen. Deze instelling ondersteunt beide use cases.

Door toe te staan dat de standaardbeheergroep voor nieuwe abonnementen kan worden gedefinieerd, kunt u governanceconstructies voor de hele organisatie toepassen op de hoofdbeheergroep. U kunt een afzonderlijke beheergroep definiëren met beleidstoewijzingen of Azure-roltoewijzingen die geschikter zijn voor een nieuw abonnement.

De standaardbeheergroep definiëren in de portal

1. Meld u aan bij het Azure-portaal.

2. Gebruik de zoekbalk om beheergroepen te zoeken en te selecteren.

3. Selecteer de hoofdbeheergroep.

4. Selecteer Instellingen aan de linkerkant van de pagina.

5. Selecteer de knop Standaardbeheergroep wijzigen.

   Als de knop Standaardbeheergroep wijzigen niet beschikbaar is, is de oorzaak een van deze voorwaarden:

   • De beheergroep die u bekijkt, is niet de hoofdbeheergroep.
   • Uw beveiligingsprincipaal beschikt niet over de benodigde machtigingen om de hiërarchie-instellingen te wijzigen.

6. Selecteer een beheergroep in uw hiërarchie en kies vervolgens de knop Selecteren .

De standaardbeheergroep definiëren met behulp van de REST API

Als u de standaardbeheergroep wilt definiëren met behulp van de REST API, moet u het eindpunt Hiërarchie-instellingen aanroepen. Gebruik de volgende REST API-URI en hoofdtekstindeling. Vervang door {rootMgID} de id van uw hoofdbeheergroep. Vervang {defaultGroupID} door de id van de beheergroep die de standaardbeheergroep wordt.

• REST API-URI:

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Aanvraagtekst:

  {
      "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
      }
  }
  

Als u de standaardbeheergroep weer wilt instellen op de hoofdbeheergroep, gebruikt u hetzelfde eindpunt en stelt u deze in defaultManagementGroup op een waarde van /providers/Microsoft.Management/managementGroups/{rootMgID}.

Instelling: Autorisatie vereisen

Elke gebruiker kan standaard nieuwe beheergroepen maken in een tenant. Beheerders van een tenant willen deze machtigingen mogelijk alleen verlenen aan specifieke gebruikers, om consistentie en overeenstemming in de hiërarchie van de beheergroep te behouden. Als u onderliggende beheergroepen wilt maken, vereist een gebruiker de Microsoft.Management/managementGroups/write bewerking in de hoofdbeheergroep.

Autorisatie vereisen in de portal

1. Meld u aan bij het Azure-portaal.

2. Gebruik de zoekbalk om beheergroepen te zoeken en te selecteren.

3. Selecteer de hoofdbeheergroep.

4. Selecteer Instellingen aan de linkerkant van de pagina.

5. Schakel de wisselknop Machtigingen in voor het maken van nieuwe beheergroepen .

   Als de wisselknop Schrijfmachtigingen vereisen voor het maken van nieuwe beheergroepen niet beschikbaar is, is de oorzaak een van de volgende voorwaarden:

   • De beheergroep die u bekijkt, is niet de hoofdbeheergroep.
   • Uw beveiligingsprincipaal beschikt niet over de benodigde machtigingen om de hiërarchie-instellingen te wijzigen.

Autorisatie vereisen met behulp van de REST API

Als u autorisatie wilt vereisen met behulp van de REST API, roept u het eindpunt Hiërarchie-instellingen aan. Gebruik de volgende REST API-URI en hoofdtekstindeling. Deze waarde is een Booleaanse waarde, dus geef true dit op of false voor de waarde. Een waarde waarmee true deze methode wordt ingeschakeld voor het beveiligen van uw hiërarchie van beheergroepen.

• REST API-URI:

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Aanvraagtekst:

  {
      "properties": {
          "requireAuthorizationForGroupCreation": true
      }
  }
  

Als u de instelling wilt uitschakelen, gebruikt u hetzelfde eindpunt en stelt u deze in op requireAuthorizationForGroupCreation een waarde van false.

Azure PowerShell-voorbeeld

Azure PowerShell heeft Az geen opdracht om de standaardbeheergroep te definiëren of om autorisatie te vereisen. Als tijdelijke oplossing kunt u de REST API gebruiken met het volgende Azure PowerShell-voorbeeld:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Gerelateerde inhoud

Voor meer informatie over beheergroepen gaat u naar:

• Beheergroepen maken om Azure-resources te ordenen
• Uw beheergroepen wijzigen, verwijderen of beheren