Grupy zarządzania
Grupy zarządzania to narzędzie ułatwiające struktury środowisk chmury dla organizacji i ładu na dużą skalę.
Rozważanie sposobu używania grup zarządzania w ramach projektowania środowiska jest ważnym podstawowym krokiem. Skorzystaj z poniższych wskazówek, aby ułatwić podejmowanie decyzji dotyczących architektury chmury.
Zagadnienia dotyczące projektowania grupy zarządzania
Struktury grup zarządzania w ramach dzierżawy firmy Microsoft Entra obsługują mapowanie organizacyjne. Należy dokładnie rozważyć strukturę grupy zarządzania, ponieważ organizacja planuje wdrożenie platformy Azure na dużą skalę.
W jaki sposób Organizacja rozdzieli usługi należące do określonych zespołów lub obsługiwane przez nie?
Czy istnieją konkretne funkcje, które muszą być oddzielone ze względów zgodności biznesowej lub operacyjnej?
Grupy zarządzania umożliwiają agregowanie przypisań zasad i inicjatyw za pośrednictwem usługi Azure Policy.
Drzewo grupy zarządzania może obsługiwać maksymalnie sześć poziomów głębokości. Ten limit nie obejmuje poziomu głównego dzierżawy lub poziomu subskrypcji.
Każdy podmiot zabezpieczeń, niezależnie od tego, czy użytkownik, czy jednostka usługi, w dzierżawie firmy Microsoft Entra może tworzyć nowe grupy zarządzania. To uprawnienie jest spowodowane tym, że autoryzacja kontroli dostępu na podstawie ról (RBAC) na platformie Azure dla operacji grupy zarządzania nie jest domyślnie włączona. Aby uzyskać więcej informacji, zobacz Jak chronić hierarchię zasobów
Wszystkie nowe subskrypcje zostaną domyślnie umieszczone w głównej grupie zarządzania dzierżawy.
Zobacz grupy zarządzania, aby dokładniej zapoznać się z ich możliwościami.
Zalecenia dotyczące grupy zarządzania
Zachowaj hierarchię grup zarządzania dość płaską, najlepiej z maksymalnie trzema do czterech poziomów. To ograniczenie zmniejsza nakłady pracy związane z zarządzaniem i złożonością.
Unikaj duplikowania struktury organizacyjnej w głęboko zagnieżdżonej hierarchii grupy zarządzania. Użyj grup zarządzania na potrzeby przypisywania zasad w porównaniu z rozliczeniami. Takie podejście wymaga użycia grup zarządzania do zamierzonego celu w architekturze koncepcyjnej strefy docelowej platformy Azure. Ta architektura zapewnia zasady platformy Azure dla obciążeń, które wymagają tego samego typu zabezpieczeń i zgodności na tym samym poziomie grupy zarządzania.
Utwórz grupy zarządzania w grupie zarządzania na poziomie głównym, aby reprezentować typy obciążeń, które będą hostowane. Te grupy są oparte na wymaganiach dotyczących zabezpieczeń, zgodności, łączności i funkcji obciążeń. Dzięki tej strukturze grupowania można zastosować zestaw zasad platformy Azure na poziomie grupy zarządzania. Ta struktura grupowania dotyczy wszystkich obciążeń, które wymagają tych samych ustawień zabezpieczeń, zgodności, łączności i funkcji.
Użyj tagów zasobów, aby wykonywać zapytania i przechodzić w poziomie w hierarchii grup zarządzania. Tagi zasobów można wymuszać lub dołączać za pomocą usługi Azure Policy. Następnie grupuj zasoby na potrzeby wyszukiwania bez konieczności korzystania ze złożonej hierarchii grup zarządzania.
Utwórz grupę zarządzania piaskownicą najwyższego poziomu, aby użytkownicy mogli natychmiast eksperymentować z platformą Azure. Następnie mogą eksperymentować z zasobami, które mogą nie być jeszcze dozwolone w środowiskach produkcyjnych. Piaskownica zapewnia izolację od środowisk projektowych, testowych i produkcyjnych.
Utwórz grupę zarządzania platformą w głównej grupie zarządzania, aby obsługiwać typowe zasady platformy i przypisanie roli platformy Azure. Ta struktura grupowania zapewnia, że do subskrypcji używanych na potrzeby usługi Azure Foundation można zastosować różne zasady. Gwarantuje również, że rozliczenia za wspólne zasoby są scentralizowane w jednym zestawie podstawowych subskrypcji.
Ogranicz liczbę przypisań usługi Azure Policy w zakresie głównej grupy zarządzania. To ograniczenie minimalizuje dziedziczone zasady debugowania w grupach zarządzania niższego poziomu.
Użyj zasad, aby wymusić wymagania dotyczące zgodności w grupie zarządzania lub zakresie subskrypcji w celu osiągnięcia ładu opartego na zasadach.
Upewnij się, że tylko uprzywilejowani użytkownicy mogą obsługiwać grupy zarządzania w dzierżawie. Włącz autoryzację RBAC platformy Azure w ustawieniach hierarchii grup zarządzania, aby uściślić uprawnienia użytkownika. Domyślnie wszyscy użytkownicy mają uprawnienia do tworzenia własnych grup zarządzania w głównej grupie zarządzania.
Skonfiguruj domyślną dedykowaną grupę zarządzania dla nowych subskrypcji. Ta grupa gwarantuje, że żadna subskrypcja nie zostanie umieszczona w głównej grupie zarządzania. Ta grupa jest szczególnie ważna, jeśli użytkownicy kwalifikują się do korzystania z usługi Microsoft Developer Network (MSDN) lub korzyści i subskrypcji programu Visual Studio. Dobrym kandydatem dla tego typu grupy zarządzania jest grupa zarządzania piaskownicą. Aby uzyskać więcej informacji, zobacz Ustawienie — domyślna grupa zarządzania.
Nie twórz grup zarządzania dla środowisk produkcyjnych, testowych i programistycznych. W razie potrzeby rozdziel te grupy na różne subskrypcje w tej samej grupie zarządzania. Aby zapoznać się z dalszymi wskazówkami dotyczącymi tego tematu, zobacz:
Grupy zarządzania w akceleratorze strefy docelowej platformy Azure i repozytorium ALZ-Bicep
Podjęto następujące decyzje i uwzględniono je w implementacji struktury grupy zarządzania. Te decyzje są częścią akceleratora strefy docelowej platformy Azure i modułu grup zarządzania repozytorium ALZ-Bicep.
Uwaga
Hierarchia grup zarządzania można zmodyfikować w module bicep strefy docelowej platformy Azure, edytując folder managementGroups.bicep.
| Grupa zarządzania | opis |
|---|---|
| Pośrednia główna grupa zarządzania | Ta grupa zarządzania znajduje się bezpośrednio w grupie głównej dzierżawy. Utworzono z prefiksem dostarczonym przez organizację, co celowo pozwala uniknąć użycia grupy głównej, aby organizacje mogły przenosić istniejące subskrypcje platformy Azure do hierarchii. Umożliwia również przyszłe scenariusze. Ta grupa zarządzania jest elementem nadrzędnym dla wszystkich pozostałych grup zarządzania utworzonych przez akcelerator strefy docelowej platformy Azure. |
| Platforma | Ta grupa zarządzania zawiera wszystkie podrzędne grupy zarządzania platformy, takie jak zarządzanie, łączność i tożsamość. |
| Zarządzanie | Ta grupa zarządzania zawiera dedykowaną subskrypcję do zarządzania, monitorowania i zabezpieczeń. Ta subskrypcja będzie hostować obszar roboczy usługi Azure Log Analytics, w tym skojarzone rozwiązania i konto usługi Azure Automation. |
| Łączność | Ta grupa zarządzania zawiera dedykowaną subskrypcję na potrzeby łączności. Ta subskrypcja będzie hostować zasoby sieciowe platformy Azure wymagane dla platformy, takie jak azure Virtual WAN, Azure Firewall i strefy prywatne usługi Azure DNS. |
| Tożsamość | Ta grupa zarządzania zawiera dedykowaną subskrypcję tożsamości. Ta subskrypcja jest symbolem zastępczym maszyn wirtualnych z systemem Windows Server domena usługi Active Directory Services (AD DS) lub microsoft Entra Domain Services. Subskrypcja umożliwia również AuthN lub AuthZ dla obciążeń w strefach docelowych. Określone zasady platformy Azure są przypisywane do wzmacniania zabezpieczeń zasobów i zarządzania nimi w subskrypcji tożsamości. |
| Strefy docelowe | Nadrzędna grupa zarządzania dla wszystkich podrzędnych grup zarządzania strefy docelowej. Będzie ona mieć przypisane niezależne od obciążenia zasady platformy Azure, aby zapewnić bezpieczeństwo i zgodność obciążeń. |
| Online | Dedykowana grupa zarządzania dla stref docelowych online. Ta grupa dotyczy obciążeń, które mogą wymagać bezpośredniej łączności przychodzącej/wychodzącej z Internetu lub obciążeń, które mogą nie wymagać sieci wirtualnej. |
| Corp | Dedykowana grupa zarządzania dla firmowych stref docelowych. Ta grupa dotyczy obciążeń wymagających łączności lub łączności hybrydowej z siecią firmową za pośrednictwem centrum w subskrypcji łączności. |
| Piaskownice | Dedykowana grupa zarządzania dla subskrypcji, która będzie używana tylko do testowania i eksploracji przez organizację. Te subskrypcje zostaną bezpiecznie odłączone od stref docelowych firmowych i online. Piaskownice mają również mniej restrykcyjny zestaw zasad przypisanych do włączania testowania, eksploracji i konfiguracji usług platformy Azure. |
| Wycofany ze służby | Dedykowana grupa zarządzania dla stref docelowych, które są anulowane. Anulowane strefy docelowe zostaną przeniesione do tej grupy zarządzania przed usunięciem przez platformę Azure po upływie 30–60 dni. |
Uwaga
W przypadku wielu organizacji domyślne Corp grupy zarządzania i Online zarządzania stanowią idealny punkt wyjścia.
Niektóre organizacje muszą dodać więcej, podczas gdy inne nie znajdą ich znaczenia dla swojej organizacji.
Jeśli rozważasz wprowadzenie zmian w hierarchii grupy zarządzania, zapoznaj się z naszą architekturą dostosuj architekturę strefy docelowej platformy Azure, aby spełnić wymagania.
Uprawnienia do akceleratora strefy docelowej platformy Azure
Wymaga dedykowanej nazwy głównej usługi (SPN) do wykonywania operacji grupy zarządzania, operacji zarządzania subskrypcjami i przypisywania ról. Korzystanie z nazwy SPN zmniejsza liczbę użytkowników z podniesionymi uprawnieniami i przestrzega wskazówek dotyczących najniższych uprawnień.
Wymaga roli Administracja istrator dostępu użytkowników w zakresie głównej grupy zarządzania w celu udzielenia dostępu spN na poziomie głównym. Po udzieleniu uprawnień nazwie SPN rola administratora dostępu użytkowników może zostać bezpiecznie usunięta. W ten sposób tylko nazwa SPN jest częścią roli administratora dostępu użytkowników.
Wymaga roli Współautor do głównej nazwy usługi wymienionej wcześniej w zakresie głównej grupy zarządzania, co umożliwia wykonywanie operacji na poziomie dzierżawy. Ten poziom uprawnień zapewnia, że nazwa SPN może służyć do wdrażania zasobów i zarządzania nimi w ramach dowolnej subskrypcji w obrębie organizacji.
Następne kroki
Dowiedz się więcej o subskrypcjach ról, które odgrywają podczas planowania wdrożenia platformy Azure na dużą skalę.