Uw Azure-abonnementen op schaal beheren met beheergroepen
Als uw organisatie veel abonnementen heeft, hebt u mogelijk een manier nodig om voor deze abonnementen de toegang, de bijbehorende beleidsregels en de naleving daarvan efficiënt te beheren. Azure-beheergroepen bieden een bereikniveau dat hoger is dan abonnementen. U ordent abonnementen in containers, zogenaamde 'beheergroepen', en past uw governancevoorwaarden hierop toe. Alle abonnementen in een beheergroep nemen automatisch de voorwaarden over die op de beheergroep zijn toegepast.
Beheergroepen bieden u beheer van bedrijfskwaliteit op grote schaal, ongeacht de typen abonnementen die u hebt. Zie Uw resources organiseren met Azure-beheergroepen voor meer informatie over beheergroepen.
Notitie
Dit artikel bevat stappen voor het verwijderen van persoonlijke gegevens van het apparaat of de service. U kunt het ook gebruiken om uw verplichtingen met betrekking tot de AVG (Algemene Verordening Gegevensbescherming) na te komen. Zie voor algemene informatie over AVG de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust Portal.
Belangrijk
Azure Resource Manager-gebruikerstokens en -beheergroepcache duurt 30 minuten voordat ze worden gedwongen te vernieuwen. Nadat u een actie hebt uitgevoerd, zoals het verplaatsen van een beheergroep of abonnement, kan het tot 30 minuten duren voordat deze wordt weergegeven. Als u de updates sneller wilt zien, moet u uw token bijwerken door de browser te vernieuwen, u aan te melden en af te melden of een nieuw token aan te vragen.
Belangrijk
AzManagementGroup-gerelateerde Az PowerShell-cmdlets vermelden dat de parameter -GroupId een alias is van de parameter -GroupName, zodat we een van beide kunnen gebruiken om de beheergroep-id als tekenreekswaarde op te geven.
De naam van een beheergroep wijzigen
U kunt de naam van de beheergroep wijzigen met behulp van de portal, PowerShell of Azure CLI.
De naam in de portal wijzigen
Meld u aan bij Azure Portal.
Selecteer Alle servicesbeheergroepen>.
Selecteer de beheergroep die u wilt wijzigen.
Selecteer details.
Selecteer de groepsoptie Naam wijzigen boven aan de pagina.
Wanneer het menu wordt geopend, voert u de nieuwe naam in die u wilt weergeven.
Selecteer Opslaan.
De naam wijzigen in PowerShell
Gebruik Update-AzManagementGroup om de weergavenaam bij te werken. Als u bijvoorbeeld de weergavenaam van een beheergroep wilt wijzigen van 'Contoso IT' in 'Contoso-groep', voert u de volgende opdracht uit:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
De naam wijzigen in Azure CLI
Gebruik de opdracht Bijwerken voor Azure CLI.
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Een beheergroep verwijderen
Als u een beheergroep wilt verwijderen, moet aan de volgende vereisten worden voldaan:
Er zijn geen onderliggende beheergroepen of abonnementen onder de beheergroep. Zie Beheergroepen en abonnementen verplaatsen in de hiërarchie om een abonnement of beheergroep naar een andere beheergroep te verplaatsen.
U hebt schrijfmachtigingen nodig voor de beheergroep ('Eigenaar', 'Inzender' of 'Inzender voor beheergroepen'). Als u wilt zien welke machtigingen u hebt, selecteert u de beheergroep en selecteert u vervolgens IAM. Zie Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor meer informatie over Azure-rollen.
Verwijderen in de portal
Meld u aan bij Azure Portal.
Selecteer Alle servicesbeheergroepen>.
Selecteer de beheergroep die u wilt verwijderen.
Selecteer details.
Selecteer Verwijderen
Tip
Als het pictogram is uitgeschakeld, wijst u met de muisaanwijzer op het pictogram de reden aan.
Er wordt een venster geopend waarin wordt bevestigd dat u de beheergroep wilt verwijderen.
Selecteer Ja.
Verwijderen in PowerShell
Gebruik de opdracht Remove-AzManagementGroup in PowerShell om beheergroepen te verwijderen.
Remove-AzManagementGroup -GroupId 'Contoso'
Verwijderen in de Azure CLI
Gebruik met Azure CLI de opdracht az account management-group delete.
az account management-group delete --name 'Contoso'
Beheergroepen weergeven
U kunt elke beheergroep bekijken waarvoor u een directe of overgenomen Azure-rol hebt.
Weergeven in de portal
Meld u aan bij Azure Portal.
Selecteer Alle servicesbeheergroepen>.
De hiërarchiepagina van de beheergroep wordt geladen. Op deze pagina kunt u alle beheergroepen en abonnementen verkennen waar u toegang toe hebt. Als u de groepsnaam selecteert, gaat u naar een lager niveau in de hiërarchie. De navigatie werkt hetzelfde als een verkenner.
Als u de details van de beheergroep wilt bekijken, selecteert u de koppeling (details) naast de titel van de beheergroep. Als deze koppeling niet beschikbaar is, hebt u geen machtigingen om die beheergroep weer te geven.
Weergeven in PowerShell
U gebruikt de opdracht Get-AzManagementGroup om alle groepen op te halen. Zie Az.Resources-modules voor de volledige lijst met GET PowerShell-opdrachten voor beheergroepen.
Get-AzManagementGroup
Gebruik de parameter -GroupId voor één beheergroep
Get-AzManagementGroup -GroupId 'Contoso'
Als u een specifieke beheergroep en alle niveaus van de hiërarchie eronder wilt retourneren, gebruikt u de parameters -Expand en -Recurse .
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Weergeven in Azure CLI
U gebruikt de lijstopdracht om alle groepen op te halen.
az account management-group list
Gebruik de opdracht Show voor één beheergroep
az account management-group show --name 'Contoso'
Als u een specifieke beheergroep en alle niveaus van de hiërarchie eronder wilt retourneren, gebruikt u de parameters -Expand en -Recurse .
az account management-group show --name 'Contoso' -e -r
Beheergroepen en abonnementen verplaatsen
Een van de redenen om een beheergroep te maken, is door abonnementen samen te bundelen. Alleen beheergroepen en abonnementen kunnen onderliggende elementen van een andere beheergroep maken. Een abonnement dat naar een beheergroep wordt verplaatst, neemt alle gebruikerstoegang en beleidsregels over van de bovenliggende beheergroep. U kunt abonnementen verplaatsen tussen beheergroepen. Houd er rekening mee dat een abonnement slechts één bovenliggende beheergroep kan hebben.
Wanneer u een beheergroep of abonnement verplaatst naar een onderliggend element van een andere beheergroep, moeten drie regels als waar worden geëvalueerd.
Als u de verplaatsingsactie uitvoert, hebt u machtigingen nodig voor elk van de volgende lagen:
- Onderliggend abonnement/beheergroep
Microsoft.management/managementgroups/write
Microsoft.management/managementgroups/subscriptions/write
(alleen voor abonnementen)Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete
Microsoft.Management/register/action
- Bovenliggende beheergroep doel
Microsoft.management/managementgroups/write
- Huidige bovenliggende beheergroep
Microsoft.management/managementgroups/write
Uitzondering: Als het doel of de bestaande bovenliggende beheergroep de hoofdbeheergroep is, zijn de machtigingsvereisten niet van toepassing. Omdat de hoofdbeheergroep de standaardplek voor alle nieuwe beheergroepen en abonnementen is, hebt u geen machtigingen nodig om een item te verplaatsen.
Als de rol Eigenaar van het abonnement wordt overgenomen van de huidige beheergroep, zijn de verplaatsingsdoelen beperkt. U kunt het abonnement alleen verplaatsen naar een andere beheergroep waarvan u de rol Eigenaar hebt. U kunt het abonnement niet verplaatsen naar een beheergroep waar u alleen inzender bent, omdat u het eigendom van het abonnement verliest. Als u rechtstreeks bent toegewezen aan de rol Eigenaar voor het abonnement, kunt u deze verplaatsen naar elke beheergroep waar u inzender bent.
Als u wilt zien welke machtigingen u hebt in Azure Portal, selecteert u de beheergroep en selecteert u vervolgens IAM. Zie Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor meer informatie over Azure-rollen.
Abonnementen verplaatsen
Een bestaand abonnement toevoegen aan een beheergroep in de portal
Meld u aan bij Azure Portal.
Selecteer Alle servicesbeheergroepen>.
Selecteer de beheergroep die u van plan bent om de bovenliggende groep te zijn.
Selecteer Boven aan de pagina de optie Abonnement toevoegen.
Selecteer het abonnement in de lijst met de juiste id.
Selecteer Opslaan.
Een abonnement verwijderen uit een beheergroep in de portal
Meld u aan bij Azure Portal.
Selecteer Alle servicesbeheergroepen>.
Selecteer de beheergroep die u plant dat het huidige bovenliggende item is.
Selecteer het beletselteken aan het einde van de rij voor het abonnement in de lijst die u wilt verplaatsen.
Selecteer Verplaatsen.
Selecteer in het menu dat wordt geopend de bovenliggende beheergroep.
Selecteer Opslaan.
Abonnementen verplaatsen in PowerShell
Als u een abonnement wilt verplaatsen in PowerShell, gebruikt u de opdracht New-AzManagementGroupSubscription.
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Als u de koppeling tussen het abonnement en de beheergroep wilt verwijderen, gebruikt u de opdracht Remove-AzManagementGroupSubscription.
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Abonnementen verplaatsen in Azure CLI
Als u een abonnement in CLI wilt verplaatsen, gebruikt u de opdracht Toevoegen.
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Als u het abonnement uit de beheergroep wilt verwijderen, gebruikt u de opdracht Abonnement verwijderen.
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Abonnementen verplaatsen in ARM-sjabloon
Als u een abonnement in een ARM-sjabloon (Azure Resource Manager) wilt verplaatsen, gebruikt u de volgende sjabloon en implementeert u het op tenantniveau.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Of het volgende Bicep-bestand.
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Beheergroepen verplaatsen
Beheergroepen verplaatsen in de portal
Meld u aan bij Azure Portal.
Selecteer Alle servicesbeheergroepen>.
Selecteer de beheergroep die u van plan bent om de bovenliggende groep te zijn.
Selecteer Boven aan de pagina de optie Beheergroep toevoegen.
Selecteer in het menu dat wordt geopend of u een nieuwe wilt gebruiken of een bestaande beheergroep wilt gebruiken.
- Als u nieuw selecteert, wordt een nieuwe beheergroep gemaakt.
- Als u een bestaande selecteert, ziet u een vervolgkeuzelijst met alle beheergroepen die u naar deze beheergroep kunt verplaatsen.
Selecteer Opslaan.
Beheergroepen verplaatsen in PowerShell
Gebruik de opdracht Update-AzManagementGroup in PowerShell om een beheergroep onder een andere groep te verplaatsen.
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Beheergroepen verplaatsen in Azure CLI
Gebruik de opdracht Update om een beheergroep te verplaatsen met Azure CLI.
az account management-group update --name 'Contoso' --parent ContosoIT
Beheergroepen controleren met behulp van activiteitenlogboeken
Beheergroepen worden ondersteund door het Azure-activiteitenlogboek. U kunt query's uitvoeren op alle gebeurtenissen die plaatsvinden met een beheergroep op dezelfde centrale locatie als andere Azure-resources. Zo kunt u alle gewijzigde rol- of beleidstoewijzingen binnen een bepaalde beheergroep bekijken.
Bij het uitvoeren van query's op beheergroepen buiten de Azure-portal, ziet het doelbereik voor beheergroepen er als volgt uit: / providers/Microsoft.Management/managementGroups/{yourMgID}.
Verwijzen naar beheergroepen van andere resourceproviders
Wanneer u verwijst naar beheergroepen uit de acties van andere resourceproviders, gebruikt u het volgende pad als bereik. Dit pad wordt gebruikt bij het gebruik van PowerShell, Azure CLI en REST API's.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Een voorbeeld van het gebruik van dit pad is wanneer u een nieuwe roltoewijzing toewijst aan een beheergroep in PowerShell:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Hetzelfde bereikpad wordt gebruikt bij het ophalen van een beleidsdefinitie bij een beheergroep.
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Volgende stappen
Voor meer informatie over beheergroepen gaat u naar:
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor