Jak chronić hierarchię zasobów

Zasoby, grupy zasobów, subskrypcje, grupy zarządzania i dzierżawa wspólnie tworzą hierarchię zasobów. Ustawienia w głównej grupie zarządzania, takiej jak role niestandardowe platformy Azure lub Azure Policy przypisania zasad, mogą mieć wpływ na każdy zasób w hierarchii zasobów. Ważne jest, aby chronić hierarchię zasobów przed zmianami, które mogą negatywnie wpłynąć na wszystkie zasoby.

Grupy zarządzania mają teraz ustawienia hierarchii, które umożliwiają administratorowi dzierżawy kontrolowanie tych zachowań. W tym artykule opisano każde z dostępnych ustawień hierarchii i sposób ich ustawiania.

Uprawnienia RBAC platformy Azure dla ustawień hierarchii

Skonfigurowanie dowolnego z ustawień hierarchii wymaga wykonania następujących dwóch operacji dostawcy zasobów w głównej grupie zarządzania:

• Microsoft.Management/managementgroups/settings/write
• Microsoft.Management/managementgroups/settings/read

Te operacje umożliwiają tylko użytkownikowi odczytywanie i aktualizowanie ustawień hierarchii. Operacje nie zapewniają żadnego innego dostępu do hierarchii grup zarządzania ani zasobów w hierarchii. Obie te operacje są dostępne w ramach wbudowanej roli Administrator ustawień hierarchii platformy Azure.

Ustawienie — domyślna grupa zarządzania

Domyślnie nowa subskrypcja dodana w ramach dzierżawy jest dodawana jako członek głównej grupy zarządzania. Jeśli przypisania zasad, kontrola dostępu oparta na rolach platformy Azure (RBAC) i inne konstrukcje ładu są przypisywane do głównej grupy zarządzania, natychmiast wpływają na te nowe subskrypcje. Z tego powodu wiele organizacji nie stosuje tych konstrukcji w głównej grupie zarządzania, mimo że jest to wymagane miejsce do ich przypisania. W innych przypadkach wymagany jest bardziej restrykcyjny zestaw kontrolek dla nowych subskrypcji, ale nie powinien być przypisany do wszystkich subskrypcji. To ustawienie obsługuje oba przypadki użycia.

Zezwalając na definiowanie domyślnej grupy zarządzania dla nowych subskrypcji, można stosować konstrukcje ładu dla całej organizacji w głównej grupie zarządzania i oddzielną grupę zarządzania z przypisaniami zasad lub przypisaniami ról platformy Azure bardziej odpowiednie do nowej subskrypcji.

Ustawianie domyślnej grupy zarządzania w portalu

Aby skonfigurować to ustawienie w Azure Portal, wykonaj następujące kroki:

1. Użyj paska wyszukiwania, aby wyszukać i wybrać pozycję "Grupy zarządzania".

2. W głównej grupie zarządzania wybierz szczegóły obok nazwy grupy zarządzania.

3. W obszarze Ustawienia wybierz pozycję Ustawienia hierarchii.

4. Wybierz przycisk Zmień domyślną grupę zarządzania .

   Uwaga

   Jeśli przycisk Zmień domyślną grupę zarządzania jest wyłączony, wyświetlana grupa zarządzania nie jest główną grupą zarządzania lub podmiot zabezpieczeń nie ma niezbędnych uprawnień do zmiany ustawień hierarchii.

5. Wybierz grupę zarządzania z hierarchii i użyj przycisku Wybierz .

Ustawianie domyślnej grupy zarządzania przy użyciu interfejsu API REST

Aby skonfigurować to ustawienie za pomocą interfejsu API REST, wywoływany jest punkt końcowy Ustawienia hierarchii . W tym celu użyj następującego identyfikatora URI interfejsu API REST i formatu treści. Zastąp {rootMgID} element identyfikatorem głównej grupy zarządzania i {defaultGroupID} identyfikatorem grupy zarządzania, aby stać się domyślną grupą zarządzania:

• Identyfikator URI interfejsu API REST

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Treść żądania

  {
      "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
      }
  }
  

Aby ustawić domyślną grupę zarządzania z powrotem do głównej grupy zarządzania, użyj tego samego punktu końcowego i ustaw wartość defaultManagementGroup na wartość /providers/Microsoft.Management/managementGroups/{rootMgID}.

Ustawienie — wymaganie autoryzacji

Każdy użytkownik domyślnie może tworzyć nowe grupy zarządzania w ramach dzierżawy. Administratorzy dzierżawy mogą chcieć udzielić tych uprawnień tylko określonym użytkownikom, aby zachować spójność i zgodność w hierarchii grup zarządzania. Jeśli to ustawienie jest włączone, użytkownik wymaga Microsoft.Management/managementGroups/write wykonania operacji w głównej grupie zarządzania w celu utworzenia nowych podrzędnych grup zarządzania.

Ustawianie opcji Wymagaj autoryzacji w portalu

Aby skonfigurować to ustawienie w Azure Portal, wykonaj następujące kroki:

1. Użyj paska wyszukiwania, aby wyszukać i wybrać pozycję "Grupy zarządzania".

2. W głównej grupie zarządzania wybierz szczegóły obok nazwy grupy zarządzania.

3. W obszarze Ustawienia wybierz pozycję Ustawienia hierarchii.

4. Przełącz opcję Wymagaj uprawnień do tworzenia nowych grup zarządzania.

   Uwaga

   Jeśli przełącznik Wymagaj uprawnień do tworzenia nowych grup zarządzania jest wyłączony, wyświetlana grupa zarządzania nie jest główną grupą zarządzania lub podmiot zabezpieczeń nie ma niezbędnych uprawnień do zmiany ustawień hierarchii.

Ustawianie wymagania autoryzacji przy użyciu interfejsu API REST

Aby skonfigurować to ustawienie za pomocą interfejsu API REST, wywoływany jest punkt końcowy Ustawienia hierarchii . W tym celu użyj następującego identyfikatora URI interfejsu API REST i formatu treści. Ta wartość jest wartością logiczną, dlatego podaj wartość true lub false dla wartości. Wartość true włącza tę metodę ochrony hierarchii grup zarządzania:

• Identyfikator URI interfejsu API REST

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Treść żądania

  {
      "properties": {
          "requireAuthorizationForGroupCreation": true
      }
  }
  

Aby wyłączyć ustawienie, użyj tego samego punktu końcowego i ustaw wartość requireAuthorizationForGroupCreation na wartość false.

Przykładowy skrypt programu PowerShell

Program PowerShell nie ma polecenia "Az", aby ustawić domyślną grupę zarządzania lub ustawić wymaga autoryzacji, ale jako obejście można użyć interfejsu API REST z poniższym przykładem programu PowerShell:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Następne kroki

Aby dowiedzieć się więcej na temat grup zarządzania, zobacz:

• Tworzenie grup zarządzania w celu organizowania zasobów platformy Azure
• Jak zmienić lub usunąć grupy zarządzania oraz zarządzać nimi