Delen via

Abonnementen organiseren in beheergroepen en rollen toewijzen aan gebruikers

  • Artikel

Beheer de beveiligingspostuur van uw organisatie op schaal door beveiligingsbeleid toe te passen op alle Azure-abonnementen die zijn gekoppeld aan uw Microsoft Entra-tenant.

Voor inzicht in de beveiligingspostuur van alle abonnementen die zijn gekoppeld aan een Microsoft Entra-tenant, hebt u een Azure-rol nodig met voldoende leesmachtigingen die zijn toegewezen aan de hoofdbeheergroep.

Uw abonnementen organiseren in beheergroepen

Overzicht van beheergroepen

Gebruik beheergroepen om op efficiënte wijze toegang, beleid en rapportage over groepen abonnementen te beheren en effectief de hele Azure-activa te beheren door acties uit te voeren op de hoofdbeheergroep. U kunt abonnementen in beheergroepen organiseren en uw governancebeleid toepassen op de beheergroepen. Alle abonnementen in een beheergroep nemen automatisch het beleid over dat op de beheergroep is toegepast.

Elke Microsoft Entra-tenant krijgt één beheergroep op het hoogste niveau, de hoofdbeheergroep. Deze hoofdbeheergroep is zo in de hiërarchie ingebouwd dat alle beheergroepen en abonnementen hierin zijn opgevouwen. Met deze groep kunnen globale beleidsregels en Azure-roltoewijzingen worden toegepast op directoryniveau.

De hoofdbeheergroep wordt automatisch gemaakt wanneer u een van de volgende acties uitvoert:

  • Selecteer beheergroepen in de Azure-portal.
  • Maak een beheergroep met een API-aanroep.
  • Maak een beheergroep met PowerShell. Zie Beheergroepen maken voor resource- en organisatiebeheer voor powerShell-instructies.

Beheergroepen zijn niet vereist voor het onboarden van Defender voor Cloud, maar we raden u aan ten minste één te maken, zodat de hoofdbeheergroep wordt gemaakt. Nadat de groep is gemaakt, worden alle abonnementen onder uw Microsoft Entra-tenant eraan gekoppeld.

Zie het artikel Uw resources organiseren met Azure-beheergroepen voor een gedetailleerd overzicht van beheergroepen .

Beheergroepen weergeven en maken in Azure Portal

  1. Meld u aan bij het Azure-portaal.

  2. Zoek en selecteer beheergroepen.

  3. Als u een beheergroep wilt maken, selecteert u Maken, voert u de relevante gegevens in en selecteert u Verzenden.

    Adding a management group to Azure.

    • De beheergroep-ID is de unieke ID van de map die wordt gebruikt voor het verzenden van opdrachten in deze beheergroep. Deze id kan niet worden bewerkt nadat deze is gemaakt, omdat deze wordt gebruikt in het Hele Azure-systeem om deze groep te identificeren.

    • Het veld Weergavenaam is de naam die wordt weergegeven in de Azure-portal. Een afzonderlijke weergavenaam is een optioneel veld bij het maken van de beheergroep en kan op elk gewenst moment worden gewijzigd.

Abonnementen toevoegen aan een beheergroep

U kunt abonnementen toevoegen aan de beheergroep die u hebt gemaakt.

  1. Meld u aan bij het Azure-portaal.

  2. Zoek en selecteer beheergroepen.

  3. Selecteer de beheergroep voor uw abonnement.

  4. Wanneer de pagina van de groep wordt geopend, selecteert u Abonnementen.

  5. Selecteer Op de pagina Abonnementen de optie Toevoegen, selecteer vervolgens uw abonnementen en selecteer Opslaan. Herhaal dit totdat u alle abonnementen in het bereik hebt toegevoegd.

    Adding a subscription to a management group.

    Belangrijk

    Beheergroepen kunnen zowel abonnementen als onderliggende beheergroepen bevatten. Wanneer u een gebruiker een Azure-rol toewijst aan de bovenliggende beheergroep, wordt de toegang overgenomen door de abonnementen van de onderliggende beheergroep. Beleidsregels die zijn ingesteld bij de bovenliggende beheergroep, worden ook overgenomen door de onderliggende items.

Azure-rollen toewijzen aan andere gebruikers

Azure-rollen toewijzen aan gebruikers via Azure Portal

  1. Meld u aan bij het Azure-portaal.

  2. Zoek en selecteer beheergroepen.

  3. Selecteer de relevante beheergroep.

  4. Selecteer Toegangsbeheer (IAM), open het tabblad Roltoewijzingen en selecteer Roltoewijzing toevoegen>.

    Adding a user to a management group.

  5. Selecteer op de pagina Roltoewijzing toevoegen de relevante rol.

    Add role assignment page.

  6. Selecteer op het tabblad Leden de optie + Leden selecteren en wijs de rol toe aan de relevante leden.

  7. Selecteer op het tabblad Beoordelen en toewijzen de optie Beoordelen en toewijzen om de rol toe te wijzen.

Azure-rollen toewijzen aan gebruikers met PowerShell

  1. Installeer Azure PowerShell.

  2. Voer de volgende opdrachten uit:

    # Login to Azure as a Global Administrator user
Connect-AzAccount

  3. Meld u aan met de referenties van de globale beheerder wanneer u hierom wordt gevraagd.

    Sign in prompt screenshot.

  4. Verken de rolmachtigingen van de lezer door de volgende opdracht uit te voeren:

    # Add Reader role to the required user on the Root Management Group
# Replace "user@domian.com” with the user to grant access to
New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"

  5. Gebruik de volgende opdracht om de rol te verwijderen:

    Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"

Verhoogde toegang verwijderen

Zodra de Azure-rollen zijn toegewezen aan de gebruikers, moet de tenantbeheerder zichzelf verwijderen uit de beheerdersrol voor gebruikerstoegang.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer Microsoft Entra ID in de navigatielijst en selecteer vervolgens Eigenschappen.

  3. Stel onder Toegangsbeheer voor Azure-resources de schakeloptie in op Nee.

  4. Als u de instelling wilt opslaan, selecteert u Opslaan.

Volgende stappen

Op deze pagina hebt u geleerd hoe u abonnementen in beheergroepen ordent en rollen toewijst aan gebruikers. Zie voor verwante informatie: