Co to są grupy zarządzania platformy Azure?
Jeśli twoja organizacja ma wiele subskrypcji platformy Azure, może być konieczne efektywne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania zapewniają zakres ładu powyżej subskrypcji. Subskrypcje są organizowane w grupy zarządzania; warunki ładu stosowane kaskadowo przez dziedziczenie do wszystkich skojarzonych subskrypcji.
Grupy zarządzania zapewniają zarządzanie klasy korporacyjnej na dużą skalę, niezależnie od typu subskrypcji, które mogą istnieć. Jednak wszystkie subskrypcje w ramach jednej grupy zarządzania muszą ufać tej samej dzierżawie usługi Azure Active Directory (Azure AD).
Na przykład możesz zastosować do grupy zarządzania zasady ograniczające regiony dostępne na potrzeby tworzenia maszyny wirtualnej. Te zasady będą stosowane do wszystkich zagnieżdżonych grup zarządzania, subskrypcji i zasobów oraz zezwalania na tworzenie maszyn wirtualnych tylko w autoryzowanych regionach.
Hierarchia grup zarządzania i subskrypcji
Można utworzyć elastyczną strukturę grup zarządzania i subskrypcji w celu organizowania zasobów w hierarchię na potrzeby ujednoliconego zarządzania zasadami i dostępem. Na poniższym diagramie przedstawiono przykład tworzenia hierarchii dla nadzoru przy użyciu grup zarządzania.
Diagram głównej grupy zarządzania zawierającej zarówno grupy zarządzania, jak i subskrypcje. Niektóre podrzędne grupy zarządzania przechowują grupy zarządzania, niektóre przechowują subskrypcje, a niektóre przechowują obie. Jednym z przykładów w przykładowej hierarchii jest cztery poziomy grup zarządzania, a poziom podrzędny to wszystkie subskrypcje.
Można utworzyć hierarchię, która stosuje zasady, na przykład, które ograniczają lokalizacje maszyn wirtualnych do regionu Zachodnie stany USA w grupie zarządzania o nazwie "Corp". Te zasady będą dziedziczyć wszystkie subskrypcje Umowa Enterprise (EA), które są elementami podrzędnymi tej grupy zarządzania i będą stosowane do wszystkich maszyn wirtualnych w ramach tych subskrypcji. Te zasady zabezpieczeń nie mogą być zmieniane przez właściciela zasobu lub subskrypcji, co pozwala na poprawę ładu.
Uwaga
Grupy zarządzania nie są obecnie obsługiwane w funkcjach usługi Cost Management dla subskrypcji Umowa z Klientem Microsoft (MCA).
Innym scenariuszem, w którym można użyć grup zarządzania, jest zapewnienie użytkownikom dostępu do wielu subskrypcji. Przenosząc wiele subskrypcji w ramach tej grupy zarządzania, można utworzyć jedno przypisanie roli platformy Azure w grupie zarządzania, która będzie dziedziczyć ten dostęp do wszystkich subskrypcji. Jedno przypisanie w grupie zarządzania może umożliwić użytkownikom dostęp do wszystkiego, czego potrzebują, zamiast wykonywać skrypty kontroli dostępu opartej na rolach platformy Azure w różnych subskrypcjach.
Ważne fakty dotyczące grup zarządzania
- W jednym katalogu może być obsługiwane 10000 grup zarządzania.
- Drzewo grupy zarządzania może obsługiwać maksymalnie sześć poziomów głębokości.
- Ten limit nie obejmuje poziomu głównego lub poziomu subskrypcji.
- Każda grupa zarządzania i subskrypcja może obsługiwać tylko jeden element nadrzędny.
- Każda grupa zarządzania może mieć wiele elementów podrzędnych.
- Wszystkie subskrypcje i grupy zarządzania znajdują się w jednej hierarchii w każdym katalogu. Zobacz Ważne informacje dotyczące głównej grupy zarządzania.
Główna grupa zarządzania dla każdego katalogu
Każdy katalog ma pojedynczą grupę zarządzania najwyższego poziomu nazywaną główną grupą zarządzania. Główna grupa zarządzania jest wbudowana w hierarchię, aby wszystkie grupy zarządzania i subskrypcje zostały złożone. Ta główna grupa zarządzania umożliwia stosowanie zasad globalnych i przypisań ról platformy Azure na poziomie katalogu. Administrator globalny usługi Azure AD musi podnieść swój poziom uprawnień do roli Administrator dostępu użytkowników, aby początkowo być właścicielem tej głównej grupy. Po dokonaniu dostępu administrator może przypisać dowolną rolę platformy Azure innym użytkownikom katalogu lub grupom w celu zarządzania hierarchią. Jako administrator możesz przypisać swoje konto jako właściciela głównej grupy zarządzania.
Ważne fakty dotyczące głównej grupy zarządzania
- Domyślnie nazwa wyświetlana głównej grupy zarządzania to Grupa główna dzierżawy i działa jako grupa zarządzania. Identyfikator jest taką samą wartością jak identyfikator dzierżawy usługi Azure Active Directory (Azure AD).
- Aby zmienić nazwę wyświetlaną, konto musi mieć przypisaną rolę Właściciel lub Współautor w głównej grupie zarządzania. Zobacz Zmienianie nazwy grupy zarządzania w celu zaktualizowania nazwy grupy zarządzania.
- Głównej grupy zarządzania nie można przenieść ani usunąć, w odróżnieniu od innych grup zarządzania.
- Wszystkie subskrypcje i grupy zarządzania składają się w jedną główną grupę zarządzania w katalogu.
- Wszystkie zasoby w katalogu składają się do głównej grupy zarządzania dla globalnego zarządzania.
- Nowe subskrypcje są automatycznie domyślnie dodawane do głównej grupy zarządzania podczas tworzenia.
- Główna grupa zarządzania jest widoczna dla wszystkich klientów platformy Azure, ale nie wszyscy klienci mają dostęp do zarządzania tą główną grupą zarządzania.
- Każdy, kto ma dostęp do subskrypcji, może zobaczyć kontekst, w którym ta subskrypcja znajduje się w hierarchii.
- Nikt nie otrzymuje domyślnego dostępu do głównej grupy zarządzania. Administratorzy globalni usługi Azure AD są jedynymi użytkownikami, którzy mogą samodzielnie podnieść swój poziom uprawnień, aby uzyskać dostęp. Po uzyskaniu dostępu do głównej grupy zarządzania administratorzy globalni mogą przypisać dowolną rolę platformy Azure innym użytkownikom w celu zarządzania nią.
Ważne
Każde przypisanie dostępu użytkownika lub zasad w głównej grupie zarządzania ma zastosowanie do wszystkich zasobów w katalogu. W związku z tym wszyscy klienci powinni ocenić potrzebę posiadania elementów zdefiniowanych w tym zakresie. Przypisania dostępu użytkowników i zasad powinny być „niezbędne” tylko w tym zakresie.
Konfiguracja początkowa grup zarządzania
Kiedy dowolny użytkownik rozpoczyna korzystanie z grup zarządzania, wykonywany jest proces konfiguracji początkowej. Pierwszym jego krokiem jest utworzenie głównej grupy zarządzania w katalogu. Po utworzeniu tej grupy wszystkie istniejące subskrypcje, które znajdują się w katalogu, stają się elementami podrzędnymi głównej grupy zarządzania. Celem tego procesu jest upewnienie się, że istnieje tylko jedna hierarchia grup zarządzania w katalogu. Pojedyncza hierarchia w katalogu umożliwia klientom administracyjnym klientom stosowanie globalnego dostępu i zasad, których inni klienci w katalogu nie mogą obejść. Wszystkie przypisane elementy główne będą miały zastosowanie do całej hierarchii, która obejmuje wszystkie grupy zarządzania, subskrypcje, grupy zasobów i zasoby w tej dzierżawie usługi Azure AD.
Dostęp do grupy zarządzania
Grupy zarządzania platformy Azure obsługują kontrolę dostępu opartą na rolach (RBAC) platformy Azure dla wszystkich definicji dostępu do zasobów i ról. Te uprawnienia są dziedziczone do zasobów podrzędnych, które istnieją w hierarchii. Dowolną rolę platformy Azure można przypisać do grupy zarządzania, która będzie dziedziczyć hierarchię do zasobów. Na przykład współautor maszyny wirtualnej roli platformy Azure można przypisać do grupy zarządzania. Ta rola nie ma żadnej akcji w grupie zarządzania, ale dziedziczy wszystkie maszyny wirtualne w ramach tej grupy zarządzania.
Na poniższym wykresie przedstawiono listę ról i obsługiwane akcje na grupach zarządzania.
| Nazwa roli platformy Azure | Utworzenie | Zmień nazwę | Przenoszenie** | Delete | Przypisywanie dostępu | Przypisywanie zasad | Przeczytaj |
|---|---|---|---|---|---|---|---|
| Właściciel | X | X | X | X | X | X | X |
| Współautor | X | X | X | X | X | ||
| Współautor grupy zarządzania* | X | X | X | X | X | ||
| Czytelnik | X | ||||||
| Czytelnik grupy zarządzania* | X | ||||||
| Współautor zasad zasobów | X | ||||||
| Administrator dostępu użytkowników | X | X |
*: Role Współautor grupy zarządzania i Czytelnik grupy zarządzania umożliwiają użytkownikom wykonywanie tych akcji tylko w zakresie grupy zarządzania.
**: Przypisania ról w głównej grupie zarządzania nie są wymagane do przeniesienia subskrypcji ani grupy zarządzania do i z niej.
Aby uzyskać szczegółowe informacje o przenoszeniu elementów w hierarchii, zobacz Zarządzanie zasobami przy użyciu grup zarządzania.
Niestandardowa definicja i przypisanie roli platformy Azure
Grupę zarządzania można zdefiniować jako zakres możliwy do przypisania w niestandardowej definicji roli platformy Azure. Rola niestandardowa platformy Azure będzie następnie dostępna do przypisania w tej grupie zarządzania i dowolnej grupie zarządzania, subskrypcji, grupie zasobów lub zasobie. Rola niestandardowa dziedziczy hierarchię tak jak każda wbudowana rola. Aby uzyskać informacje o ograniczeniach dotyczących ról niestandardowych i grup zarządzania, zobacz Ograniczenia.
Przykładowa definicja
Definiowanie i tworzenie roli niestandardowej nie zmienia się wraz z dołączeniem grup zarządzania. Użyj pełnej ścieżki, aby zdefiniować grupę zarządzania /providers/Microsoft.Management/managementgroups/{groupId}.
Użyj identyfikatora grupy zarządzania, a nie nazwy wyświetlanej grupy zarządzania. Ten typowy błąd występuje, ponieważ oba są polami zdefiniowanymi niestandardowymi podczas tworzenia grupy zarządzania.
...
{
"Name": "MG Test Custom Role",
"Id": "id",
"IsCustom": true,
"Description": "This role provides members understand custom roles.",
"Actions": [
"Microsoft.Management/managementgroups/delete",
"Microsoft.Management/managementgroups/read",
"Microsoft.Management/managementgroup/write",
"Microsoft.Management/managementgroup/subscriptions/delete",
"Microsoft.Management/managementgroup/subscriptions/write",
"Microsoft.resources/subscriptions/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.PolicyInsights/*",
"Microsoft.Authorization/roleAssignments/*",
"Microsoft.Authorization/roledefinitions/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/providers/microsoft.management/managementGroups/ContosoCorporate"
]
}
...
Problemy z przerywaniem definicji roli i ścieżki hierarchii przypisań
Definicje ról są przypisywane w dowolnym miejscu w hierarchii grup zarządzania. Definicję roli można zdefiniować w nadrzędnej grupie zarządzania, podczas gdy rzeczywiste przypisanie roli istnieje w subskrypcji podrzędnej. Ponieważ istnieje relacja między dwoma elementami, podczas próby oddzielenia przypisania od jego definicji zostanie wyświetlony błąd.
Przyjrzyjmy się na przykład małej sekcji hierarchii wizualizacji.
Diagram koncentruje się na głównej grupie zarządzania z podrzędnymi strefami docelowymi i grupami zarządzania piaskownicą. Grupa zarządzania strefami docelowymi ma dwie podrzędne grupy zarządzania o nazwach Corp i Online, podczas gdy grupa zarządzania piaskownicą ma dwie podrzędne subskrypcje.
Załóżmy, że istnieje rola niestandardowa zdefiniowana w grupie zarządzania piaskownicą. Ta rola niestandardowa jest następnie przypisywana w dwóch subskrypcjach piaskownicy.
Jeśli spróbujemy przenieść jedną z tych subskrypcji jako element podrzędny grupy zarządzania Corp, spowoduje to przerwanie ścieżki z przypisania roli subskrypcji do definicji roli grupy zarządzania piaskownicy. W tym scenariuszu zostanie wyświetlony błąd informujący, że przeniesienie nie jest dozwolone, ponieważ spowoduje przerwanie tej relacji.
Istnieje kilka różnych opcji rozwiązania tego scenariusza:
- Usuń przypisanie roli z subskrypcji przed przeniesieniem subskrypcji do nowej nadrzędnej grupy dostępności.
- Dodaj subskrypcję do możliwego do przypisania zakresu definicji roli.
- Zmień zakres możliwy do przypisania w definicji roli. W powyższym przykładzie można zaktualizować możliwe do przypisania zakresy z piaskownicy do głównej grupy zarządzania, aby można było uzyskać dostęp do definicji przez obie gałęzie hierarchii.
- Utwórz inną rolę niestandardową zdefiniowaną w innej gałęzi. Ta nowa rola wymaga również zmiany przypisania roli w subskrypcji.
Ograniczenia
Istnieją ograniczenia dotyczące używania ról niestandardowych w grupach zarządzania.
- Można zdefiniować tylko jedną grupę zarządzania w możliwych do przypisania zakresach nowej roli. To ograniczenie ma na celu zmniejszenie liczby sytuacji, w których definicje ról i przypisania ról są rozłączone. Taka sytuacja występuje, gdy subskrypcja lub grupa zarządzania z przypisaniem roli zostanie przeniesiona do innego elementu nadrzędnego, który nie ma definicji roli.
- Ról niestandardowych z elementem
DataActionsnie można przypisywać do zakresu grupy zarządzania. Aby uzyskać więcej informacji, zobacz Niestandardowe limity ról. - Usługa Azure Resource Manager nie weryfikuje istnienia grupy zarządzania w zakresie możliwym do przypisania określonym w definicji roli. Jeśli na liście znajduje się literówka lub nieprawidłowy identyfikator grupy zarządzania, definicja roli jest nadal tworzona.
Przenoszenie grup zarządzania i subskrypcji
Aby przenieść grupę zarządzania lub subskrypcję jako podrzędną innej grupy zarządzania, należy ocenić trzy reguły jako prawdziwe.
Jeśli wykonujesz akcję przenoszenia, potrzebne są następujące elementy:
- Uprawnienia zapisu i przypisywania ról grupy zarządzania w subskrypcji podrzędnej lub grupie zarządzania.
- Przykład roli wbudowanej: Właściciel
- Dostęp do zapisu grupy zarządzania w docelowej nadrzędnej grupie zarządzania.
- Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania
- Dostęp do zapisu grupy zarządzania w istniejącej nadrzędnej grupie zarządzania.
- Przykład roli wbudowanej: Właściciel, Współautor, Współautor grupy zarządzania
Wyjątek: jeśli element docelowy lub istniejąca nadrzędna grupa zarządzania jest główną grupą zarządzania, wymagania dotyczące uprawnień nie mają zastosowania. Ponieważ główna grupa zarządzania jest domyślnym miejscem docelowym dla wszystkich nowych grup zarządzania i subskrypcji, nie potrzebujesz uprawnień do przeniesienia elementu.
Jeśli rola Właściciel subskrypcji jest dziedziczona z bieżącej grupy zarządzania, cele przenoszenia są ograniczone. Subskrypcję można przenieść tylko do innej grupy zarządzania, w której masz rolę Właściciel . Nie można przenieść jej do grupy zarządzania, w której jesteś współautorem, ponieważ utracisz własność subskrypcji. Jeśli przypisano cię bezpośrednio do roli Właściciel subskrypcji (nie dziedziczonej z grupy zarządzania), możesz przenieść ją do dowolnej grupy zarządzania, w której przypisano rolę Współautor .
Ważne
Usługa Azure Resource Manager buforuje szczegóły hierarchii grup zarządzania przez maksymalnie 30 minut. W związku z tym przeniesienie grupy zarządzania może nie zostać od razu odzwierciedlone w witrynie Azure Portal.
Inspekcja grup zarządzania przy użyciu dzienników aktywności
Grupy zarządzania są obsługiwane w dzienniku aktywności platformy Azure. Możesz wyszukiwać wszystkie zdarzenia, które wystąpiły w grupie zarządzania w tej samej lokalizacji centralnej co inne zasoby platformy Azure. Można na przykład zobaczyć wszystkie przypisania ról lub zmiany przypisania zasad wprowadzone w określonej grupie zarządzania.
Podczas wykonywania zapytań dotyczących grup zarządzania poza witryną Azure Portal zakres docelowy grup zarządzania wygląda następująco: "/providers/Microsoft.Management/managementGroups/{management-group-id}".
Uwaga
Za pomocą interfejsu API REST usługi Azure Resource Manager można włączyć ustawienia diagnostyczne w grupie zarządzania w celu wysyłania powiązanych wpisów dziennika aktywności platformy Azure do obszaru roboczego usługi Log Analytics, usługi Azure Storage lub usługi Azure Event Hub. Aby uzyskać więcej informacji, zobacz Diagnostyka grupy zarządzania Ustawienia — tworzenie lub aktualizowanie.
Następne kroki
Aby dowiedzieć się więcej na temat grup zarządzania, zobacz: