Uw Azure-abonnementen op schaal beheren met beheergroepen

Als uw organisatie veel abonnementen heeft, wilt u mogelijk de toegang, het beleid en de naleving voor die abonnementen op efficiënte wijze beheren. Azure-beheergroepen bieden een bereikniveau dat hoger is dan abonnementen. U organiseert abonnementen in containers die beheergroepen worden genoemd en past uw governancevoorwaarden toe op de beheergroepen. Alle abonnementen in een beheergroep nemen automatisch de voorwaarden over die op de beheergroep zijn toegepast.

Beheergroepen bieden u bedrijfsbeheer op grote schaal, ongeacht het type abonnement dat u hebt. Zie Uw resources organiseren met Azure-beheergroepen voor meer informatie over beheergroepen.

Notitie

Dit artikel bevat stappen voor het verwijderen van persoonlijke gegevens van het apparaat of de service. U kunt het ook gebruiken om uw verplichtingen met betrekking tot de AVG (Algemene Verordening Gegevensbescherming) na te komen. Zie voor algemene informatie over AVG de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust Portal.

Belangrijk

Azure Resource Manager-gebruikerstokens en de cache van beheergroepen duren 30 minuten voordat ze worden gedwongen om te vernieuwen. Het kan tot 30 minuten duren voordat een actie, zoals het verplaatsen van een beheergroep of abonnement, wordt weergegeven. Als u de updates sneller wilt zien, moet u uw token bijwerken door de browser te vernieuwen, u aan te melden en af te melden of een nieuw token aan te vragen.

Houd er voor de Azure PowerShell-acties in dit artikel rekening mee dat AzManagementGroup-gerelateerde cmdlets een -GroupId alias van de -GroupName parameter zijn. U kunt een van beide gebruiken om de id van de beheergroep op te geven als tekenreekswaarde.

De naam van een beheergroep wijzigen

U kunt de naam van de beheergroep wijzigen met behulp van Azure Portal, Azure PowerShell of de Azure CLI.

De naam in de portal wijzigen

1. Meld u aan bij het Azure-portaal.

2. Selecteer Alle services. Voer in het tekstvak Filterservices beheergroepen in en selecteer deze in de lijst.

3. Selecteer de beheergroep die u de naam wilt wijzigen.

4. Selecteer details.

5. Selecteer de optie Naam van groep wijzigen boven aan het deelvenster.

   

6. Voer in het deelvenster Naam van groep wijzigen de nieuwe naam in die u wilt weergeven.

   

7. Selecteer Opslaan.

De naam wijzigen in Azure PowerShell

Als u de weergavenaam wilt bijwerken, gebruikt Update-AzManagementGroup u deze in Azure PowerShell. Als u bijvoorbeeld de weergavenaam van een beheergroep wilt wijzigen van Contoso IT in Contoso Group, voert u de volgende opdracht uit:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

De naam wijzigen in de Azure CLI

Gebruik de update opdracht voor de Azure CLI:

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Een beheergroep verwijderen

Als u een beheergroep wilt verwijderen, moet u aan de volgende vereisten voldoen:

• Er zijn geen onderliggende beheergroepen of abonnementen onder de beheergroep. Zie Beheergroepen en abonnementen verderop in dit artikel verplaatsen als u een abonnement of beheergroep naar een andere beheergroep wilt verplaatsen.

• U hebt schrijfmachtigingen nodig voor de beheergroep (Eigenaar, Inzender of Inzender voor beheergroepen). Als u wilt zien welke machtigingen u hebt, selecteert u de beheergroep en selecteert u vervolgens IAM. Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)? voor meer informatie over Azure-rollen.

Een beheergroep verwijderen in de portal

1. Meld u aan bij het Azure-portaal.

2. Selecteer Alle services. Voer in het tekstvak Filterservices beheergroepen in en selecteer deze in de lijst.

3. Selecteer de beheergroep die u wilt verwijderen.

4. Selecteer details.

5. Selecteer Verwijderen.

   

   Tip

   Als de knop Verwijderen niet beschikbaar is, wordt de reden weergegeven door de muisaanwijzer op de knop te bewegen.

6. Er wordt een dialoogvenster geopend en u wordt gevraagd te bevestigen dat u de beheergroep wilt verwijderen.

   

7. Selecteer Ja.

Een beheergroep verwijderen in Azure PowerShell

Als u een beheergroep wilt verwijderen, gebruikt u de Remove-AzManagementGroup opdracht in Azure PowerShell:

Remove-AzManagementGroup -GroupId 'Contoso'

Een beheergroep verwijderen in de Azure CLI

Gebruik de opdracht az account management-group deletemet de Azure CLI:

az account management-group delete --name 'Contoso'

Beheergroepen weergeven

U kunt elke beheergroep weergeven als u een directe of overgenomen Azure-rol hebt.

Beheergroepen weergeven in de portal

1. Meld u aan bij het Azure-portaal.

2. Selecteer Alle services. Voer in het tekstvak Filterservices beheergroepen in en selecteer deze in de lijst.

3. De pagina voor de hiërarchie van beheergroepen wordt weergegeven. Op deze pagina kunt u alle beheergroepen en abonnementen verkennen waartoe u toegang hebt. Als u de groepsnaam selecteert, gaat u naar een lager niveau in de hiërarchie. De navigatie werkt hetzelfde als een verkenner.

4. Als u de details van de beheergroep wilt bekijken, selecteert u de koppeling (details) naast de titel van de beheergroep. Als deze koppeling niet beschikbaar is, hebt u geen machtigingen om die beheergroep weer te geven.

   

Beheergroepen weergeven in Azure PowerShell

U gebruikt de Get-AzManagementGroup opdracht om alle groepen op te halen. Zie de Az.Resources-modules voor de volledige lijst met GET PowerShell-opdrachten voor beheergroepen.

Get-AzManagementGroup

Gebruik de -GroupId parameter voor de informatie van één beheergroep:

Get-AzManagementGroup -GroupId 'Contoso'

Als u een specifieke beheergroep en alle niveaus van de hiërarchie eronder wilt retourneren, gebruikt u de -Expand en -Recurse parameters:

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Beheergroepen weergeven in de Azure CLI

U gebruikt de list opdracht om alle groepen op te halen:

az account management-group list

Gebruik de show opdracht voor de informatie van één beheergroep:

az account management-group show --name 'Contoso'

Als u een specifieke beheergroep en alle niveaus van de hiërarchie eronder wilt retourneren, gebruikt u de -Expand en -Recurse parameters:

az account management-group show --name 'Contoso' -e -r

Beheergroepen en abonnementen verplaatsen

Een van de redenen om een beheergroep te maken, is door abonnementen samen te bundelen. Alleen beheergroepen en abonnementen kunnen onderliggende elementen van een andere beheergroep worden. Een abonnement dat naar een beheergroep wordt verplaatst, neemt alle gebruikerstoegang en beleidsregels over van de bovenliggende beheergroep.

U kunt abonnementen verplaatsen tussen beheergroepen. Een abonnement kan slechts één bovenliggende beheergroep hebben.

Wanneer u een beheergroep of abonnement verplaatst naar een onderliggend element van een andere beheergroep, moeten drie regels als waar worden geëvalueerd.

Als u de verplaatsingsactie uitvoert, hebt u machtigingen nodig voor elk van de volgende lagen:

• Onderliggend abonnement of beheergroep
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (alleen voor abonnementen)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Bovenliggende beheergroep doel
  • Microsoft.management/managementgroups/write
• Huidige bovenliggende beheergroep
  • Microsoft.management/managementgroups/write

Er is een uitzondering: als het doel of de bestaande bovenliggende beheergroep de hoofdbeheergroep is, zijn de machtigingsvereisten niet van toepassing. Omdat de hoofdbeheergroep de standaardlandingsplaats is voor alle nieuwe beheergroepen en abonnementen, hebt u er geen machtigingen voor nodig om een item te verplaatsen.

Als de rol Eigenaar van het abonnement wordt overgenomen van de huidige beheergroep, zijn de verplaatsingsdoelen beperkt. U kunt het abonnement alleen verplaatsen naar een andere beheergroep met de rol Eigenaar. U kunt het abonnement niet verplaatsen naar een beheergroep waarin u alleen inzender bent, omdat u het eigendom van het abonnement verliest. Als u rechtstreeks bent toegewezen aan de rol Eigenaar voor het abonnement, kunt u deze verplaatsen naar elke beheergroep met de rol Inzender.

Als u wilt zien welke machtigingen u hebt in Azure Portal, selecteert u de beheergroep en selecteert u vervolgens IAM. Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)? voor meer informatie over Azure-rollen.

Een bestaand abonnement toevoegen aan een beheergroep in de portal

1. Meld u aan bij het Azure-portaal.

2. Selecteer Alle services. Voer in het tekstvak Filterservices beheergroepen in en selecteer deze in de lijst.

3. Selecteer de beheergroep die u als bovenliggende groep wilt hebben.

4. Selecteer Boven aan de pagina de optie Abonnement toevoegen.

5. Selecteer in Abonnement toevoegen het abonnement in de lijst met de juiste id.

   

6. Selecteer Opslaan.

Een abonnement verwijderen uit een beheergroep in de portal

1. Meld u aan bij het Azure-portaal.

2. Selecteer Alle services. Voer in het tekstvak Filterservices beheergroepen in en selecteer deze in de lijst.

3. Selecteer de beheergroep die het huidige bovenliggende item is.

4. Selecteer het beletselteken (...) aan het einde van de rij voor het abonnement in de lijst die u wilt verplaatsen.

   

5. Selecteer Verplaatsen.

6. Selecteer in het deelvenster Verplaatsen de waarde voor de id van de nieuwe bovenliggende beheergroep.

   

7. Selecteer Opslaan.

Een abonnement verplaatsen in Azure PowerShell

Als u een abonnement wilt verplaatsen in PowerShell, gebruikt u de New-AzManagementGroupSubscription opdracht:

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Gebruik Remove-AzManagementGroupSubscription de opdracht om de koppeling tussen het abonnement en de beheergroep te verwijderen:

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Een abonnement verplaatsen in de Azure CLI

Als u een abonnement wilt verplaatsen in de Azure CLI, gebruikt u de add opdracht:

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Gebruik de subscription remove opdracht om het abonnement uit de beheergroep te verwijderen:

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Een abonnement verplaatsen in een ARM-sjabloon

Als u een abonnement in een ARM-sjabloon (Azure Resource Manager) wilt verplaatsen, gebruikt u de volgende sjabloon en implementeert u het op tenantniveau:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Of gebruik het volgende Bicep-bestand:

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Een beheergroep verplaatsen in de portal

1. Meld u aan bij het Azure-portaal.

2. Selecteer Alle services. Voer in het tekstvak Filterservices beheergroepen in en selecteer deze in de lijst.

3. Selecteer de beheergroep die u als bovenliggende groep wilt hebben.

4. Selecteer Maken boven aan de pagina.

5. Kies in het deelvenster Beheergroep maken of u een nieuwe of bestaande beheergroep wilt gebruiken:

   • Als u Nieuwe maken selecteert, wordt een nieuwe beheergroep gemaakt.
   • Als u Bestaande gebruiken selecteert, ziet u een vervolgkeuzelijst met alle beheergroepen die u naar deze beheergroep kunt verplaatsen.

   

6. Selecteer Opslaan.

Een beheergroep verplaatsen in Azure PowerShell

Als u een beheergroep onder een andere groep wilt verplaatsen, gebruikt u de Update-AzManagementGroup opdracht in Azure PowerShell:

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Een beheergroep verplaatsen in de Azure CLI

Gebruik de update opdracht om een beheergroep te verplaatsen in de Azure CLI:

az account management-group update --name 'Contoso' --parent ContosoIT

Beheergroepen controleren met behulp van activiteitenlogboeken

Beheergroepen worden ondersteund in activiteitenlogboeken van Azure Monitor. U kunt query's uitvoeren op alle gebeurtenissen die plaatsvinden met een beheergroep op dezelfde centrale locatie als andere Azure-resources. U kunt bijvoorbeeld alle wijzigingen in roltoewijzingen of beleidstoewijzingen zien die zijn aangebracht in een bepaalde beheergroep.

Wanneer u query's wilt uitvoeren op beheergroepen buiten De Azure-portal, ziet het doelbereik voor beheergroepen er als volgt "/providers/Microsoft.Management/managementGroups/{yourMgID}"uit.

Referentiebeheergroepen van andere resourceproviders

Wanneer u verwijst naar beheergroepen van de acties van een andere resourceprovider, gebruikt u het volgende pad als bereik. Dit pad is van toepassing wanneer u Azure PowerShell, de Azure CLI en REST API's gebruikt.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Een voorbeeld van het gebruik van dit pad is wanneer u een nieuwe rol toewijst aan een beheergroep in Azure PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

U gebruikt hetzelfde bereikpad om een beleidsdefinitie voor een beheergroep op te halen:

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Gerelateerde inhoud

Voor meer informatie over beheergroepen gaat u naar:

• Quickstart: Een beheergroep maken
• Beheergroepen controleren in de Azure PowerShell Az.Resources-module
• Beheergroepen controleren in de REST API
• Beheergroepen controleren in de Azure CLI