Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure-servicegroepen bieden een flexibele manier om resources in abonnementen en resourcegroepen te organiseren en te beheren, parallel aan een bestaande Azure-resourcehiërarchie. Ze zijn ideaal voor scenario's waarvoor grensoverschrijdende groepering, minimale machtigingen en aggregaties van gegevens tussen resources nodig zijn. Met deze functies kunnen teams op maat gemaakte resourceverzamelingen maken die zijn afgestemd op operationele, organisatie- of persona-behoeften. Dit artikel helpt u een overzicht te geven van wat servicegroepen zijn, de scenario's voor het gebruik ervan en belangrijke feiten.
Belangrijk
Azure-servicegroepen is momenteel beschikbaar als PREVIEW-versie. Zie de preview-versie van Azure-servicegroepen voor meer informatie over deelname aan de preview. Zie de Aanvullende Gebruiksvoorwaarden voor Microsoft Azure Previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta, preview, of anderszins nog niet algemeen beschikbaar zijn.
Belangrijkste mogelijkheden
- Meerdere hiërarchieën: Servicegroepen maken scenario's mogelijk waarbij de resources voor meerdere doeleinden in verschillende weergaven kunnen worden gegroepeerd.
- Flexibel lidmaatschap: Met servicegroepen kunnen resources uit verschillende abonnementen worden gegroepeerd, zodat u een uniforme weergave- en beheermogelijkheden krijgt. Ze staan ook het groeperen van abonnementen, resourcegroepen en resources toe. Dezelfde resources kunnen worden verbonden met veel verschillende servicegroepen, zodat verschillende persona's en scenario's van klanten kunnen worden gemaakt en gebruikt.
- Beheer met lage bevoegdheden: servicegroepen zijn ontworpen om te werken met minimale machtigingen, zodat gebruikers resources kunnen beheren zonder overmatige toegangsrechten nodig te hebben.
Voorbeeldscenario's
Klanten kunnen veel verschillende weergaven maken die ondersteunen hoe ze hun resources organiseren.
Metrische gegevens aggregeren
- Organisaties met meerdere toepassingen en omgevingen kunnen servicegroepen gebruiken om metrische gegevens in verschillende omgevingen samen te voegen. Lidbronnen of broncontainers kunnen afkomstig zijn uit verschillende omgevingen binnen diverse beheergroepen of abonnementen en kunnen worden gekoppeld aan één enkele servicegroep, die een uniforme weergave van metrische gegevens biedt.
- Omdat servicegroepen geen machtigingen overnemen voor de leden, kunnen klanten minimale bevoegdheden toepassen om machtigingen toe te wijzen aan de servicegroepen die het weergeven van metrische gegevens toestaan. Deze mogelijkheid biedt een oplossing waarbij twee gebruikers toegang kunnen krijgen tot dezelfde servicegroep, maar slechts één gebruiker bepaalde resources mag zien.
Inventaris maken
- Klanten kunnen resources verbinden met de servicegroepen om een geconsolideerde weergave te krijgen van alle resources van een bepaald type of functie in de hele omgeving.
- Verschillende persoonlijkheden
- Met servicegroepen kunnen organisaties meerdere hiërarchieën beheren over dezelfde resources voor verschillende persona's en hun eigen weergaven. Klanten kunnen dezelfde resources gebruiken als leden van een workloadservicegroep, een afdelingsservicegroep en een servicegroep met alle productieresources.
Hoe het werkt
Azure-servicegroepen zijn een parallelle hiërarchie op tenantniveau waarmee resources kunnen worden gegroepeerd. Dankzij de scheiding van beheergroepen, abonnementen en resourcegroepen kunnen servicegroepen vaak worden verbonden met verschillende resources en resourcecontainers zonder dat dit van invloed is op de bestaande structuren.
Informatie over servicegroepen
- Er wordt een servicegroep gemaakt binnen de Microsoft.Management-resourceprovider.
- Met servicegroepen kunt u zelf nesten tot 10 niveaus van groepeerdiepte maken. Nesting kan worden beheerd via de eigenschap 'parent' (bovenliggend) in de resource van de servicegroep.
- Roltoewijzingen in de servicegroep kunnen alleen worden overgenomen door de onderliggende servicegroepen. Er is geen overname via de lidmaatschappen voor de resources of resourcecontainers.
- Er geldt een limiet van 2000 servicegroepsleden die afkomstig zijn van hetzelfde abonnement. Dit betekent dat er binnen één abonnement, resources of resourcegroepen slechts 2000 lidmaatschappen kunnen zijn voor servicegroepen.
- In het voorbeeldvenster is er een limiet van 10.000 servicegroepen in één tenant.
- Servicegroepen en servicegroeplid-id's ondersteunen maximaal 250 tekens. Ze kunnen alfanumerieke en speciale tekens zijn: - _ ( ). ~
- Voor servicegroepen is een wereldwijd unieke id vereist. Twee Microsoft Entra-tenants kunnen geen servicegroep met identieke id's hebben.
- Lidmaatschap van servicegroepen wordt beheerd door de 'Microsoft.Relationship/ServiceGroupMember' op het gewenste lid (een resource, resourcegroep of abonnement) en is gericht op de gewenste servicegroep.
Azure Resource Manager-groeperingen
Azure biedt een groot aantal resourcescontainers waarmee onze klanten resources op veel verschillende schaal kunnen beheren. Servicegroepen is alleen de nieuwste versie in een serie ARM-containers (Azure Resource Manager) die worden gebruikt om uw omgeving te organiseren.
In deze tabel ziet u een samenvatting van de verschillen tussen de groepen.
Scenariovergelijking
| Scenariobeschrijving | Resourcegroep | Abonnement | Beheergroep | Servicegroep | Tags |
|---|---|---|---|---|---|
| Ervoor zorgen dat de erfenis van de scope-toewijzing op elke lid- en onderliggende resource van toepassing is | Ondersteund* | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund |
| Consolidatie van resources ter vermindering van roltoewijzingen en beleidstoewijzingen. | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund |
| Groeperen van resources die worden gedeeld over toepassingsgebiedsgrenzen. Bijvoorbeeld: Globale netwerkresources in één abonnement/resourcegroep die worden gedeeld in meerdere toepassingen die hun eigen abonnementen/resourcegroepen hebben. | Niet ondersteund | Niet ondersteund | Niet ondersteund | Ondersteund | Ondersteund |
| Afzonderlijke groeperingen maken die afzonderlijke aggregaties van metrische gegevens mogelijk maken | Niet ondersteund | Ondersteund | Ondersteund | Ondersteund | Ondersteund** |
| Bedrijfsbrede beperkingen of organisatieconfiguraties afdwingen voor veel resources | Ondersteund* | Ondersteund* | Ondersteund* | Niet ondersteund | Ondersteund*** |
*: Wanneer een beleidsregel wordt toegepast op een toepassingsgebied, is de handhaving van toepassing op alle leden binnen dat gebied. Voor een resourcegroep is deze alleen van toepassing op de onderliggende resources.
**: Tags kunnen worden toegepast op verschillende bereiken en worden afzonderlijk toegevoegd aan resources. Azure Policy heeft ingebouwde beleidsregels die kunnen helpen bij het beheren van tags.
: Azure-tags kunnen worden gebruikt als criteria in Azure Policy om beleidsregels toe te passen op bepaalde resources. Azure-tags zijn onderhevig aan beperkingen.
Belangrijke feiten over servicegroepen
- Eén tenant kan 10.000 servicegroepen ondersteunen.
- De structuur van de servicegroep kan maximaal 10 diepteniveaus ondersteunen. Deze limiet omvat niet het hoofdniveau.
- Elke servicegroep kan veel kinderen hebben.
- Eén servicegroepnaam/-id mag maximaal 250 tekens bevatten.
- Er gelden geen limieten voor het aantal leden van servicegroepen, maar er is een limiet van 2000 relaties (inclusief ServiceGroupMember) binnen een abonnement
De hoofdservicegroep
Servicegroepen, vergelijkbaar met beheergroepen, hebben één hoofddienstgroep, die de bovenliggende van alle servicegroepen in die tenant is. De ID van de hoofdservicegroep is hetzelfde als de tenant-ID.
Servicegroepen maakt de hoofdservicegroep op de eerste aanvraag die binnen de tenant is ontvangen en gebruikers kunnen de hoofdservicegroep niet maken of bijwerken. "/providers/microsoft.management/servicegroups/[tenantId]"
Toegang tot de root moet worden gegeven door een gebruiker met machtigingen 'microsoft.authorization/roleassignments/write' op de tenantniveau. De globale beheerder van de tenant kan bijvoorbeeld de toegang voor de tenant verhogen om deze machtigingen te hebben. Details over het verhogen van Tenant Global Administrator-toegang
Op rollen gebaseerd toegangsbeheer
Er zijn drie ingebouwde rollendefinities ter ondersteuning van servicegroepen in de preview.
Opmerking
Aangepaste op rollen gebaseerde toegangsbeheer worden niet ondersteund in de preview.
Servicegroepbeheerder
Deze rol beheert alle aspecten van servicegroepen en relaties en is de standaardrol die aan gebruikers wordt gegeven wanneer ze een servicegroep maken. De rol beperkt de roltoewijzingsmogelijkheden tot 'Servicegroepbeheerder', 'Inzender voor servicegroepen' en 'Servicegroeplezer' voor andere gebruikers.
Id: '/providers/Microsoft.Authorization/roleDefinitions/4e50c84c-c78e-4e37-b47e-e60ffea0a775'
{
"assignableScopes": [
"/providers/Microsoft.Management/serviceGroups"
],
"createdBy": null,
"createdOn": "2024-10-15T18:15:20.488676+00:00",
"description": "Role Definition for administrator of a Service Group",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4e50c84c-c78e-4e37-b47e-e60ffea0a775",
"name": "4e50c84c-c78e-4e37-b47e-e60ffea0a775",
"permissions": [
{
"actions": [
"*"
],
"condition": null,
"conditionVersion": null,
"dataActions": [],
"notActions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{4e50c84cc78e4e37b47ee60ffea0a775,32e6a4ec60954e37b54b12aa350ba81f,de754d53652d4c75a67f1e48d8b49c97})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{4e50c84cc78e4e37b47ee60ffea0a775,32e6a4ec60954e37b54b12aa350ba81f,de754d53652d4c75a67f1e48d8b49c97}))",
"conditionVersion": "2.0",
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Service Group Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions",
"updatedBy": null,
"updatedOn": "2025-03-25T18:40:31.229386+00:00"
}
Inzender voor servicegroepen
De rol Inzender voor servicegroepen die aan gebruikers wordt gegeven wanneer ze de levenscyclus van een servicegroep moeten maken of beheren. Met deze rol kunnen alle acties worden uitgevoerd, met uitzondering van mogelijkheden voor roltoewijzing.
{
"assignableScopes": [
"/providers/Microsoft.Management/serviceGroups"
],
"createdBy": null,
"createdOn": "2024-10-15T18:15:20.488676+00:00",
"description": "Role Definition for contributor of a Service Group",
"id": "/providers/Microsoft.Authorization/roleDefinitions/32e6a4ec-6095-4e37-b54b-12aa350ba81f",
"name": "32e6a4ec-6095-4e37-b54b-12aa350ba81f",
"permissions": [
{
"actions": [
"*"
],
"condition": null,
"conditionVersion": null,
"dataActions": [],
"notActions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notDataActions": []
}
],
"roleName": "Service Group Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions",
"updatedBy": null,
"updatedOn": "2024-10-15T18:15:20.488676+00:00"
}
Servicegroeplezer
Deze ingebouwde rol wordt gebruikt om servicegroepen te lezen en kan ook worden toegewezen aan andere resources om de verbonden relaties weer te geven.
{
"assignableScopes": [
"/"
],
"createdBy": null,
"createdOn": "2024-10-15T18:15:20.487675+00:00",
"description": "Role Definition for reader of a Service Group",
"id": "/providers/Microsoft.Authorization/roleDefinitions/de754d53-652d-4c75-a67f-1e48d8b49c97",
"name": "de754d53-652d-4c75-a67f-1e48d8b49c97",
"permissions": [
{
"actions": [
"Microsoft.Management/serviceGroups/read",
"Microsoft.Authorization/*/read"
],
"condition": null,
"conditionVersion": null,
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Service Group Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions",
"updatedBy": null,
"updatedOn": "2024-10-15T18:15:20.487675+00:00"
}