Co to są grupy zarządzania platformy Azure?

Jeśli twoja organizacja ma wiele subskrypcji platformy Azure, może być konieczne efektywne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania zapewniają zakres ładu powyżej subskrypcji. Subskrypcje są zorganizowane w grupy zarządzania; warunki ładu stosowane kaskadowo przez dziedziczenie do wszystkich skojarzonych subskrypcji.

Grupy zarządzania zapewniają zarządzanie klasy korporacyjnej na dużą skalę niezależnie od typu subskrypcji, które mogą być potrzebne. Jednak wszystkie subskrypcje w ramach jednej grupy zarządzania muszą ufać tej samej dzierżawie usługi Azure Active Directory (Azure AD).

Na przykład możesz zastosować do grupy zarządzania zasady ograniczające regiony dostępne na potrzeby tworzenia maszyny wirtualnej. Te zasady będą stosowane do wszystkich zagnieżdżonych grup zarządzania, subskrypcji i zasobów oraz zezwalania na tworzenie maszyn wirtualnych tylko w autoryzowanych regionach.

Hierarchia grup zarządzania i subskrypcji

Można utworzyć elastyczną strukturę grup zarządzania i subskrypcji w celu organizowania zasobów w hierarchię na potrzeby ujednoliconego zarządzania zasadami i dostępem. Na poniższym diagramie przedstawiono przykład tworzenia hierarchii dla nadzoru przy użyciu grup zarządzania.

Diagram przykładowej hierarchii grup zarządzania.

Diagram głównej grupy zarządzania zawierającej zarówno grupy zarządzania, jak i subskrypcje. Niektóre podrzędne grupy zarządzania przechowują grupy zarządzania, niektóre przechowują subskrypcje, a niektóre przechowują obie te grupy. Jednym z przykładów w przykładowej hierarchii jest cztery poziomy grup zarządzania z poziomem podrzędnym wszystkich subskrypcji.

Można utworzyć hierarchię, która stosuje zasady, na przykład, które ograniczają lokalizacje maszyn wirtualnych do regionu Zachodnie stany USA w grupie zarządzania o nazwie "Produkcja". Te zasady będą dziedziczone przez wszystkie subskrypcje umowy Enterprise Agreement (EA), które są elementami podrzędnymi tej grupy zarządzania i będą stosowane do wszystkich maszyn wirtualnych w ramach tych subskrypcji. Te zasady zabezpieczeń nie mogą zostać zmienione przez właściciela zasobu lub subskrypcji, co zapewnia ulepszony nadzór.

Uwaga

Grupy zarządzania nie są obecnie obsługiwane w funkcjach usługi Cost Management dla subskrypcji Umowa z Klientem Microsoft (MCA).

Innym scenariuszem, w którym można użyć grup zarządzania, jest zapewnienie użytkownikom dostępu do wielu subskrypcji. Przeniesienie wielu subskrypcji w ramach tej grupy zarządzania umożliwia utworzenie jednego przypisania roli platformy Azure w grupie zarządzania, która będzie dziedziczyć ten dostęp do wszystkich subskrypcji. Jedno przypisanie w grupie zarządzania może umożliwić użytkownikom dostęp do wszystkiego, czego potrzebują, zamiast skryptów kontroli dostępu opartej na rolach platformy Azure w różnych subskrypcjach.

Ważne fakty dotyczące grup zarządzania

  • W jednym katalogu może być obsługiwane 10000 grup zarządzania.
  • Drzewo grupy zarządzania może obsługiwać maksymalnie sześć poziomów głębokości.
    • Ten limit nie obejmuje poziomu głównego lub poziomu subskrypcji.
  • Każda grupa zarządzania i subskrypcja może obsługiwać tylko jeden element nadrzędny.
  • Każda grupa zarządzania może mieć wiele elementów podrzędnych.
  • Wszystkie subskrypcje i grupy zarządzania znajdują się w jednej hierarchii w każdym katalogu. Zobacz Ważne informacje dotyczące głównej grupy zarządzania.

Główna grupa zarządzania dla każdego katalogu

Każdy katalog ma pojedynczą grupę zarządzania najwyższego poziomu o nazwie główna grupa zarządzania. Główna grupa zarządzania jest wbudowana w hierarchię, aby wszystkie grupy zarządzania i subskrypcje zostały złożone do niej. Ta główna grupa zarządzania umożliwia stosowanie zasad globalnych i przypisań ról platformy Azure na poziomie katalogu. Administrator globalny usługi Azure AD musi podnieść swój poziom uprawnień do roli Administrator dostępu użytkowników, aby początkowo być właścicielem tej głównej grupy. Po dokonaniu dostępu administrator może przypisać dowolną rolę platformy Azure innym użytkownikom katalogu lub grupom do zarządzania hierarchią. Jako administrator możesz przypisać własne konto jako właściciela głównej grupy zarządzania.

Ważne fakty dotyczące głównej grupy zarządzania

  • Domyślnie nazwa wyświetlana głównej grupy zarządzania to Grupa główna dzierżawy i działa jako grupa zarządzania. Identyfikator jest taką samą wartością jak identyfikator dzierżawy usługi Azure Active Directory (Azure AD).
  • Aby zmienić nazwę wyświetlaną, konto musi mieć przypisaną rolę Właściciel lub Współautor w głównej grupie zarządzania. Zobacz Zmienianie nazwy grupy zarządzania , aby zaktualizować nazwę grupy zarządzania.
  • Głównej grupy zarządzania nie można przenieść ani usunąć, w odróżnieniu od innych grup zarządzania.
  • Wszystkie subskrypcje i grupy zarządzania składają się do jednej głównej grupy zarządzania w katalogu.
    • Wszystkie zasoby w katalogu składają się do głównej grupy zarządzania dla globalnego zarządzania.
    • Nowe subskrypcje są automatycznie domyślnie dodawane do głównej grupy zarządzania podczas tworzenia.
  • Główna grupa zarządzania jest widoczna dla wszystkich klientów platformy Azure, ale nie wszyscy klienci mają dostęp do zarządzania tą główną grupą zarządzania.
    • Każdy, kto ma dostęp do subskrypcji, może zobaczyć kontekst, w którym ta subskrypcja znajduje się w hierarchii.
    • Nikt nie otrzymuje domyślnego dostępu do głównej grupy zarządzania. Administratorzy globalni usługi Azure AD są jedynymi użytkownikami, którzy mogą samodzielnie podnieść swój poziom uprawnień, aby uzyskać dostęp. Gdy mają dostęp do głównej grupy zarządzania, administratorzy globalni mogą przypisać dowolną rolę platformy Azure innym użytkownikom do zarządzania nią.

Ważne

Każde przypisanie dostępu użytkownika lub zasad w głównej grupie zarządzania ma zastosowanie do wszystkich zasobów w katalogu. W związku z tym wszyscy klienci powinni ocenić potrzebę posiadania elementów zdefiniowanych w tym zakresie. Przypisania dostępu użytkowników i zasad powinny być „niezbędne” tylko w tym zakresie.

Konfiguracja początkowa grup zarządzania

Kiedy dowolny użytkownik rozpoczyna korzystanie z grup zarządzania, wykonywany jest proces konfiguracji początkowej. Pierwszym jego krokiem jest utworzenie głównej grupy zarządzania w katalogu. Po utworzeniu tej grupy wszystkie istniejące subskrypcje, które znajdują się w katalogu, stają się elementami podrzędnymi głównej grupy zarządzania. Celem tego procesu jest upewnienie się, że istnieje tylko jedna hierarchia grup zarządzania w katalogu. Pojedyncza hierarchia w katalogu umożliwia klientom administracyjnym klientom stosowanie globalnego dostępu i zasad, których inni klienci w katalogu nie mogą obejść. Wszystkie przypisane elementy w katalogu głównym będą stosowane do całej hierarchii, która obejmuje wszystkie grupy zarządzania, subskrypcje, grupy zasobów i zasoby w ramach tej dzierżawy Azure AD.

Problemy z wyświetlaniem wszystkich subskrypcji

Kilka katalogów, które zaczęły korzystać z grup zarządzania na początku wersji zapoznawczej przed 25 czerwca 2018 r., może zobaczyć problem polegający na tym, że nie wszystkie subskrypcje znajdowały się w hierarchii. Proces umieszczania subskrypcji w hierarchii był implementowany po przypisaniu roli lub zasad w głównej grupie zarządzania w katalogu.

Jak rozwiązać ten problem

Istnieją dwie opcje rozwiązania tego problemu.

  • Usuwanie wszystkich przypisań ról i zasad z głównej grupy zarządzania
    • Usuwając wszystkie przypisania zasad i ról z głównej grupy zarządzania, usługa wypełnia wszystkie subskrypcje w hierarchii w następnym cyklu nocnym. Ten proces ma na celu zapewnienie, że nie został przypadkowo udzielony dostęp lub nie przypisano przypadkowo zasad do wszystkich subskrypcji dzierżawy.
    • Najlepszym sposobem na wykonanie tego procesu bez wpływu na usługi jest zastosowanie przypisań ról lub zasad na jeden poziom poniżej głównej grupy zarządzania. Wtedy będzie można usunąć wszystkie przypisania z zakresu głównego.
  • Bezpośrednio wywołaj interfejs API, aby rozpocząć proces wypełniania
    • Każdy klient w katalogu może wywołać interfejs API TenantBackfillStatusRequest lub StartTenantBackfillRequest. Wywołanie interfejsu API StartTenantBackfillRequest powoduje rozpoczęcie procesu początkowej konfiguracji, który polega na przeniesieniu wszystkich subskrypcji do hierarchii. Ten proces rozpoczyna również wymuszanie dodawania wszystkich nowych subskrypcji jako elementu podrzędnego głównej grupy zarządzania. Ten proces można wykonać bez zmiany przydziałów na poziomie głównej grupy. Wywołując ten interfejs API, potwierdzasz, że dowolne zasady i przypisania dostępu określone w grupie głównej mogą być stosowane do wszystkich subskrypcji.

Jeśli masz pytania na temat tego procesu wypełniania, napisz na adres managementgroups@microsoft.com

Dostęp do grupy zarządzania

Grupy zarządzania platformy Azure obsługują kontrolę dostępu opartą na rolach platformy Azure (Azure RBAC) dla wszystkich definicji dostępu do zasobów i ról. Te uprawnienia są dziedziczone do zasobów podrzędnych, które istnieją w hierarchii. Dowolną rolę platformy Azure można przypisać do grupy zarządzania, która będzie dziedziczyć hierarchię do zasobów. Na przykład współautor maszyny wirtualnej roli platformy Azure można przypisać do grupy zarządzania. Ta rola nie ma żadnej akcji wykonywanej na grupie zarządzania, ale będzie dziedziczona do wszystkich maszyn wirtualnych w ramach tej grupy zarządzania.

Na poniższym wykresie przedstawiono listę ról i obsługiwane akcje na grupach zarządzania.

Nazwa roli platformy Azure Utwórz Zmień nazwę Przenoszenie** Usuń Przypisywanie dostępu Przypisywanie zasad Odczyt
Właściciel X X X X X X X
Współautor X X X X X
Współautor grupy zarządzania* X X X X X
Czytelnik X
Czytelnik grupy zarządzania* X
Współautor zasad zasobów X
Administrator dostępu użytkowników X X

*: Role Współautor grupy zarządzania i Czytelnik grupy zarządzania umożliwiają użytkownikom wykonywanie tych akcji tylko w zakresie grupy zarządzania.

**: Przypisania ról w głównej grupie zarządzania nie są wymagane do przeniesienia subskrypcji lub grupy zarządzania do i z niej.

Aby uzyskać szczegółowe informacje o przenoszeniu elementów w hierarchii, zobacz Zarządzanie zasobami przy użyciu grup zarządzania.

Niestandardowa definicja i przypisanie roli platformy Azure

Obsługa roli niestandardowej platformy Azure dla grup zarządzania jest obecnie dostępna w wersji zapoznawczej z pewnymi ograniczeniami. Zakres grupy zarządzania można zdefiniować w możliwym do przypisania zakresie definicji roli. Ta rola niestandardowa platformy Azure będzie następnie dostępna do przypisania dla tej grupy zarządzania i dowolnej grupy zarządzania, subskrypcji, grupy zasobów lub zasobu. Ta rola niestandardowa będzie dziedziczyć hierarchię tak jak każda wbudowana rola.

Przykładowa definicja

Definiowanie i tworzenie roli niestandardowej nie zmienia się wraz z dołączeniem grup zarządzania. Użyj pełnej ścieżki, aby zdefiniować grupę zarządzania /providers/Microsoft.Management/managementgroups/{groupId}.

Użyj identyfikatora grupy zarządzania, a nie nazwy wyświetlanej grupy zarządzania. Ten typowy błąd występuje, ponieważ oba te pola są polami zdefiniowanymi niestandardowymi podczas tworzenia grupy zarządzania.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problemy z przerywaniem definicji roli i ścieżki hierarchii przypisań

Definicje ról są przypisywanym zakresem w dowolnym miejscu w hierarchii grup zarządzania. Definicję roli można zdefiniować w nadrzędnej grupie zarządzania, gdy rzeczywiste przypisanie roli istnieje w subskrypcji podrzędnej. Ponieważ istnieje relacja między dwoma elementami, podczas próby oddzielenia przypisania od jego definicji zostanie wyświetlony błąd.

Przyjrzyjmy się na przykład małej sekcji hierarchii wizualizacji.

Diagram podzestawu przykładowej hierarchii grup zarządzania.

Diagram koncentruje się na głównej grupie zarządzania z podrzędnymi grupami zarządzania I I i Marketing. Grupa zarządzania I T ma pojedynczą podrzędną grupę zarządzania o nazwie Produkcja, podczas gdy grupa zarządzania Marketing ma dwie subskrypcje podrzędne bezpłatnej wersji próbnej.

Załóżmy, że istnieje rola niestandardowa zdefiniowana w grupie zarządzania Marketing. Ta rola niestandardowa jest następnie przypisywana w dwóch subskrypcjach bezpłatnej wersji próbnej.

Jeśli spróbujemy przenieść jedną z tych subskrypcji jako element podrzędny produkcyjnej grupy zarządzania, spowoduje to przerwanie ścieżki z przypisania roli subskrypcji do definicji roli grupy zarządzania Marketing. W tym scenariuszu zostanie wyświetlony błąd informujący, że przeniesienie nie jest dozwolone, ponieważ spowoduje to przerwanie tej relacji.

Istnieje kilka różnych opcji rozwiązania tego scenariusza:

  • Usuń przypisanie roli z subskrypcji przed przeniesieniem subskrypcji do nowej nadrzędnej grupy dostępności.
  • Dodaj subskrypcję do możliwego do przypisania zakresu definicji roli.
  • Zmień zakres możliwy do przypisania w definicji roli. W powyższym przykładzie można zaktualizować możliwe do przypisania zakresy z marketingu do głównej grupy zarządzania, aby można było uzyskać dostęp do definicji przez obie gałęzie hierarchii.
  • Utwórz inną rolę niestandardową zdefiniowaną w innej gałęzi. Ta nowa rola wymaga również zmiany przypisania roli w subskrypcji.

Ograniczenia

Istnieją ograniczenia, które istnieją w przypadku korzystania z ról niestandardowych w grupach zarządzania.

  • Można zdefiniować tylko jedną grupę zarządzania w możliwych do przypisania zakresach nowej roli. To ograniczenie ma na celu zmniejszenie liczby sytuacji, w których definicje ról i przypisania ról są rozłączane. Taka sytuacja występuje, gdy subskrypcja lub grupa zarządzania z przypisaniem roli zostanie przeniesiona do innego elementu nadrzędnego, który nie ma definicji roli.
  • Nie można zdefiniować akcji płaszczyzny danych dostawcy zasobów w rolach niestandardowych grupy zarządzania. To ograniczenie ma miejsce, ponieważ występuje problem z opóźnieniem podczas aktualizowania dostawców zasobów płaszczyzny danych. Ten problem z opóźnieniem jest opracowywany i te akcje zostaną wyłączone z definicji roli, aby zmniejszyć ryzyko.
  • Usługa Azure Resource Manager nie weryfikuje istnienia grupy zarządzania w zakresie przypisywanym przez definicję roli. Jeśli na liście znajduje się literówka lub nieprawidłowy identyfikator grupy zarządzania, definicja roli jest nadal tworzona.
  • Przypisanie roli z funkcją dataActions nie jest obsługiwane. Zamiast tego utwórz przypisanie roli w zakresie subskrypcji.

Ważne

Dodawanie grupy zarządzania do AssignableScopes programu jest obecnie w wersji zapoznawczej. Ta wersja zapoznawcza jest dostarczana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Przenoszenie grup zarządzania i subskrypcji

Aby przenieść grupę zarządzania lub subskrypcję jako element podrzędny innej grupy zarządzania, należy ocenić trzy reguły jako prawdziwe.

Jeśli wykonujesz akcję przenoszenia, potrzebne są następujące elementy:

  • Uprawnienia do zapisu i przypisywania ról grupy zarządzania w podrzędnej subskrypcji lub grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel
  • Dostęp do zapisu grupy zarządzania w docelowej nadrzędnej grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania
  • Dostęp do zapisu grupy zarządzania w istniejącej nadrzędnej grupie zarządzania.
    • Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania

Wyjątek: Jeśli element docelowy lub istniejąca nadrzędna grupa zarządzania jest główną grupą zarządzania, wymagania dotyczące uprawnień nie mają zastosowania. Ponieważ główna grupa zarządzania jest domyślnym miejscem docelowym dla wszystkich nowych grup zarządzania i subskrypcji, nie potrzebujesz uprawnień do przeniesienia elementu.

Jeśli rola Właściciel subskrypcji jest dziedziczona z bieżącej grupy zarządzania, cele przenoszenia są ograniczone. Subskrypcję można przenieść tylko do innej grupy zarządzania, w której masz rolę Właściciel . Nie można przenieść go do grupy zarządzania, w której jesteś współautorem , ponieważ utracisz własność subskrypcji. Jeśli jesteś bezpośrednio przypisany do roli Właściciel dla subskrypcji (nie dziedziczonej z grupy zarządzania), możesz przenieść ją do dowolnej grupy zarządzania, w której przypisano rolę Współautor .

Ważne

Usługa Azure Resource Manager buforuje szczegóły hierarchii grup zarządzania przez maksymalnie 30 minut. W związku z tym przeniesienie grupy zarządzania może nie zostać natychmiast odzwierciedlone w Azure Portal.

Inspekcja grup zarządzania przy użyciu dzienników aktywności

Grupy zarządzania są obsługiwane w dzienniku aktywności platformy Azure. Możesz wyszukiwać wszystkie zdarzenia, które wystąpiły w grupie zarządzania w tej samej lokalizacji centralnej co inne zasoby platformy Azure. Na przykład można zobaczyć wszystkie przypisania ról lub zmiany przypisania zasad wprowadzone w określonej grupie zarządzania.

Zrzut ekranu przedstawiający dzienniki aktywności i operacje związane z wybraną grupą zarządzania.

Podczas wykonywania zapytań dotyczących grup zarządzania poza Azure Portal zakres docelowy grup zarządzania wygląda następująco: "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Uwaga

Za pomocą interfejsu API REST usługi Azure Resource Manager można włączyć ustawienia diagnostyczne w grupie zarządzania w celu wysyłania powiązanych wpisów dziennika aktywności platformy Azure do obszaru roboczego usługi Log Analytics, usługi Azure Storage lub usługi Azure Event Hub. Aby uzyskać więcej informacji, zobacz Ustawienia diagnostyczne grupy zarządzania — tworzenie lub aktualizowanie.

Następne kroki

Aby dowiedzieć się więcej na temat grup zarządzania, zobacz: