Uw resourcehiërarchie beveiligen
Uw resources, resourcegroepen, abonnementen, beheergroepen en tenants vormen gezamenlijk uw resourcehiërarchie. Instellingen in de hoofdbeheergroep, zoals aangepaste Azure-rollen of Azure Policy beleidstoewijzingen, kunnen van invloed zijn op elke resource in uw resourcehiërarchie. Het is belangrijk om de resourcehiërarchie te beschermen tegen wijzigingen die een negatieve invloed kunnen hebben op alle resources.
Beheergroepen hebben nu hiërarchie-instellingen waarmee de tenantbeheerder dit gedrag kan beheren. In dit artikel worden alle beschikbare hiërarchie-instellingen besproken en wordt uitgelegd hoe u deze instelt.
Azure RBAC-machtigingen voor hiërarchie-instellingen
Voor het configureren van een van de hiërarchie-instellingen zijn de volgende twee resourceproviderbewerkingen in de hoofdbeheergroep vereist:
Microsoft.Management/managementgroups/settings/writeMicrosoft.Management/managementgroups/settings/read
Met deze bewerkingen kan een gebruiker alleen de hiërarchie-instellingen lezen en bijwerken. De bewerkingen bieden geen andere toegang tot de beheergroephiërarchie of -resources in de hiërarchie. Beide bewerkingen zijn beschikbaar in de ingebouwde Azure-rol Hiërarchie-instellingenbeheerder.
Instelling - Standaardbeheergroep
Een nieuw abonnement dat binnen een tenant wordt toegevoegd, wordt standaard toegevoegd als lid van de hoofdbeheergroep. Als beleidstoewijzingen, op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) en andere governanceconstructies worden toegewezen aan de hoofdbeheergroep, worden deze nieuwe abonnementen onmiddellijk toegepast. Daarom passen veel organisaties deze constructies niet toe op de hoofdbeheergroep, ook al is dat de gewenste plaats om ze toe te wijzen. In andere gevallen is een meer beperkende set besturingselementen gewenst voor nieuwe abonnementen, maar moet deze niet worden toegewezen aan alle abonnementen. Deze instelling ondersteunt beide use cases.
Door toe te staan dat de standaardbeheergroep voor nieuwe abonnementen wordt gedefinieerd, kunnen beheerconstructies voor de hele organisatie worden toegepast in de hoofdbeheergroep en kan een afzonderlijke beheergroep met beleidstoewijzingen of Azure-roltoewijzingen worden gedefinieerd die meer geschikt zijn voor een nieuw abonnement.
Standaardbeheergroep instellen in portal
Voer de volgende stappen uit om deze instelling in de Azure Portal te configureren:
Gebruik de zoekbalk om 'Beheergroepen' te zoeken en te selecteren.
Selecteer in de hoofdbeheergroep details naast de naam van de beheergroep.
Selecteer onder Instellingende optie Hiërarchie-instellingen.
Selecteer de knop Standaardbeheergroep wijzigen .
Notitie
Als de knop Standaardbeheergroep wijzigen is uitgeschakeld, is de beheergroep die wordt weergegeven niet de hoofdbeheergroep of beschikt uw beveiligingsprincipal niet over de benodigde machtigingen om de hiërarchie-instellingen te wijzigen.
Selecteer een beheergroep in uw hiërarchie en gebruik de knop Selecteren .
Standaardbeheergroep instellen met REST API
Als u deze instelling wilt configureren met REST API, wordt het eindpunt Hiërarchie-instellingen aangeroepen. Gebruik hiervoor de volgende REST API-URI en hoofdtekstindeling. Vervang door {rootMgID} de id van uw hoofdbeheergroep en {defaultGroupID} door de id van de beheergroep om de standaardbeheergroep te worden:
REST API-URI
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01Aanvraagtekst
{ "properties": { "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}" } }
Als u de standaardbeheergroep weer wilt instellen op de hoofdbeheergroep, gebruikt u hetzelfde eindpunt en stelt u defaultManagementGroup in op de waarde ./providers/Microsoft.Management/managementGroups/{rootMgID}
Instelling: autorisatie vereisen
Elke gebruiker kan standaard nieuwe beheergroepen binnen een tenant maken. Beheerders van een tenant willen deze machtigingen mogelijk alleen verlenen aan specifieke gebruikers om consistentie en conformiteit in de hiërarchie van beheergroepen te behouden. Indien ingeschakeld, vereist een gebruiker de Microsoft.Management/managementGroups/write bewerking in de hoofdbeheergroep om nieuwe onderliggende beheergroepen te maken.
Autorisatie vereisen instellen in portal
Voer de volgende stappen uit om deze instelling in de Azure Portal te configureren:
Gebruik de zoekbalk om 'Beheergroepen' te zoeken en te selecteren.
Selecteer in de hoofdbeheergroep details naast de naam van de beheergroep.
Selecteer onder Instellingende optie Hiërarchie-instellingen.
Schakel de optie Machtigingen vereisen voor het maken van nieuwe beheergroepen in . in.
Notitie
Als de wisselknop Machtigingen vereisen voor het maken van nieuwe beheergroepen. is uitgeschakeld, is de beheergroep die wordt weergegeven niet de hoofdbeheergroep of beschikt uw beveiligingsprincipal niet over de benodigde machtigingen om de hiërarchie-instellingen te wijzigen.
Autorisatie vereisen instellen met REST API
Als u deze instelling wilt configureren met REST API, wordt het eindpunt Hiërarchie-instellingen aangeroepen. Gebruik hiervoor de volgende REST API-URI en hoofdtekstindeling. Deze waarde is een booleaanse waarde, dus geef waar of onwaar op voor de waarde. Met de waarde true kunt u deze methode voor het beveiligen van uw beheergroephiërarchie inschakelen:
REST API-URI
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01Aanvraagtekst
{ "properties": { "requireAuthorizationForGroupCreation": true } }
Als u de instelling weer wilt uitschakelen, gebruikt u hetzelfde eindpunt en stelt u requireAuthorizationForGroupCreation in op de waarde false.
Voorbeeld van PowerShell
PowerShell heeft geen Az-opdracht om de standaardbeheergroep in te stellen of om autorisatie in te stellen, maar als tijdelijke oplossing kunt u de REST API gebruiken met het onderstaande PowerShell-voorbeeld:
$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"
$body = '{
"properties": {
"defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
"requireAuthorizationForGroupCreation": true
}
}'
$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"
Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body
Volgende stappen
Voor meer informatie over beheergroepen gaat u naar: