Zarządzanie subskrypcjami platformy Azure na dużą skalę przy użyciu grup zarządzania
Jeśli Twoja organizacja ma wiele subskrypcji, konieczny może być sposób na wydajne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania platformy Azure zapewniają poziom zakresu powyżej subskrypcji. Subskrypcje można organizować w kontenerach nazywanych grupami zarządzania i stosować warunki ładu do grup zarządzania. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki zastosowane do tej grupy zarządzania.
Grupy zarządzania zapewniają zarządzanie klasy korporacyjnej na dużą skalę niezależnie od typu posiadanej subskrypcji. Aby dowiedzieć się więcej na temat grup zarządzania, zobacz Organizowanie zasobów przy użyciu grup zarządzania platformy Azure.
Uwaga
Ten artykuł zawiera kroki usuwania danych osobowych z urządzenia lub usługi i może służyć do wspierania zobowiązań wynikających z RODO. Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.
Ważne
Tokeny użytkowników usługi Azure Resource Manager i pamięć podręczna grup zarządzania trwają przez 30 minut, zanim zostaną one zmuszone do odświeżenia. Wyświetlenie dowolnej akcji, takiej jak przeniesienie grupy zarządzania lub subskrypcji, może potrwać do 30 minut. Aby zobaczyć aktualizacje wcześniej, musisz zaktualizować token, odświeżając przeglądarkę, logując się i wychodząc lub żądając nowego tokenu.
W przypadku akcji programu Azure PowerShell w tym artykule należy pamiętać, że AzManagementGrouppolecenia cmdlet związane z programem -related wspominają o -GroupId aliasie parametru -GroupName .
Możesz użyć jednego z nich, aby podać identyfikator grupy zarządzania jako wartość ciągu.
Zmienianie nazwy grupy zarządzania
Nazwę grupy zarządzania można zmienić przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Zmienianie nazwy w portalu
Zaloguj się w witrynie Azure Portal.
Wybierz pozycję Wszystkie usługi. W polu tekstowym Filtruj usługi wprowadź grupy zarządzania i wybierz je z listy.
Wybierz grupę zarządzania, której nazwę chcesz zmienić.
Wybierz szczegóły.
Wybierz opcję Zmień nazwę grupy w górnej części okienka.
W okienku Zmień nazwę grupy wprowadź nową nazwę, którą chcesz wyświetlić.
Wybierz pozycję Zapisz.
Zmienianie nazwy w programie Azure PowerShell
Aby zaktualizować nazwę wyświetlaną, użyj polecenia Update-AzManagementGroup w programie Azure PowerShell. Aby na przykład zmienić nazwę wyświetlaną grupy zarządzania z firmy Contoso NA Grupę Contoso, uruchom następujące polecenie:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Zmienianie nazwy w interfejsie wiersza polecenia platformy Azure
W przypadku interfejsu wiersza polecenia platformy Azure użyj update polecenia :
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Usuwanie grupy zarządzania
Aby usunąć grupę zarządzania, musisz spełnić następujące wymagania:
W grupie zarządzania nie ma podrzędnych grup zarządzania ani subskrypcji. Aby przenieść subskrypcję lub grupę zarządzania do innej grupy zarządzania, zobacz Przenoszenie grup zarządzania i subskrypcji w dalszej części tego artykułu.
Musisz mieć uprawnienia do zapisu w grupie zarządzania (właściciel, współautor lub współautor grupy zarządzania). Aby zobaczyć, jakie uprawnienia masz, wybierz grupę zarządzania, a następnie wybierz pozycję Zarządzanie dostępem i tożsamościami. Aby dowiedzieć się więcej na temat ról platformy Azure, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?.
Usuwanie grupy zarządzania w portalu
Zaloguj się w witrynie Azure Portal.
Wybierz pozycję Wszystkie usługi. W polu tekstowym Filtruj usługi wprowadź grupy zarządzania i wybierz je z listy.
Wybierz grupę zarządzania, którą chcesz usunąć.
Wybierz szczegóły.
Wybierz Usuń.
Napiwek
Jeśli przycisk Usuń jest niedostępny, zatrzymanie wskaźnika myszy na przycisku spowoduje wyświetlenie przyczyny.
Zostanie otwarte okno dialogowe z prośbą o potwierdzenie usunięcia grupy zarządzania.
Wybierz opcję Tak.
Usuwanie grupy zarządzania w programie Azure PowerShell
Aby usunąć grupę zarządzania, użyj Remove-AzManagementGroup polecenia w programie Azure PowerShell:
Remove-AzManagementGroup -GroupId 'Contoso'
Usuwanie grupy zarządzania w interfejsie wiersza polecenia platformy Azure
Za pomocą interfejsu wiersza polecenia platformy Azure użyj polecenia az account management-group delete:
az account management-group delete --name 'Contoso'
Wyświetlanie grup zarządzania
Możesz wyświetlić dowolną grupę zarządzania, jeśli masz w niej rolę platformy Azure bezpośrednio lub dziedziczysz ją.
Wyświetlanie grup zarządzania w portalu
Zaloguj się w witrynie Azure Portal.
Wybierz pozycję Wszystkie usługi. W polu tekstowym Filtruj usługi wprowadź grupy zarządzania i wybierz je z listy.
Zostanie wyświetlona strona hierarchii grup zarządzania. Na tej stronie możesz zapoznać się ze wszystkimi grupami zarządzania i subskrypcjami, do których masz dostęp. Wybranie nazwy grupy spowoduje przejście do niższego poziomu w hierarchii. Nawigacja działa tak samo jak w eksploratorze plików.
Aby wyświetlić szczegóły grupy zarządzania, wybierz link (szczegóły) obok tytułu grupy zarządzania. Jeśli ten link nie jest dostępny, nie masz uprawnień do wyświetlania tej grupy zarządzania.
Wyświetlanie grup zarządzania w programie Azure PowerShell
Polecenie służy do pobierania Get-AzManagementGroup wszystkich grup. Aby uzyskać pełną listę GET poleceń programu PowerShell dla grup zarządzania, zobacz moduły Az.Resources .
Get-AzManagementGroup
Aby uzyskać informacje o pojedynczej grupie zarządzania, użyj parametru -GroupId :
Get-AzManagementGroup -GroupId 'Contoso'
Aby zwrócić określoną grupę zarządzania i wszystkie poziomy hierarchii w niej, użyj -Expand parametrów i -Recurse :
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Wyświetlanie grup zarządzania w interfejsie wiersza polecenia platformy Azure
Polecenie służy do pobierania list wszystkich grup:
az account management-group list
Aby uzyskać informacje o pojedynczej grupie zarządzania, użyj show polecenia :
az account management-group show --name 'Contoso'
Aby zwrócić określoną grupę zarządzania i wszystkie poziomy hierarchii w niej, użyj -Expand parametrów i -Recurse :
az account management-group show --name 'Contoso' -e -r
Przenoszenie grup zarządzania i subskrypcji
Jednym z powodów tworzenia grupy zarządzania jest łączenie subskrypcji. Tylko grupy zarządzania i subskrypcje mogą stać się elementami podrzędnymi innej grupy zarządzania. Subskrypcja przenosząca się do grupy zarządzania dziedziczy wszystkie zasady i dostęp użytkowników z nadrzędnej grupy zarządzania.
Subskrypcje można przenosić między grupami zarządzania. Subskrypcja może mieć tylko jedną nadrzędną grupę zarządzania.
Po przeniesieniu grupy zarządzania lub subskrypcji jako elementu podrzędnego innej grupy zarządzania należy ocenić trzy reguły jako prawdziwe.
Jeśli wykonujesz akcję przenoszenia, potrzebujesz uprawnień w każdej z następujących warstw:
- Subskrypcja podrzędna lub grupa zarządzania
Microsoft.management/managementgroups/writeMicrosoft.management/managementgroups/subscriptions/write(tylko w przypadku subskrypcji)Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- Docelowa nadrzędna grupa zarządzania
Microsoft.management/managementgroups/write
- Bieżąca nadrzędna grupa zarządzania
Microsoft.management/managementgroups/write
Istnieje wyjątek: jeśli element docelowy lub istniejąca nadrzędna grupa zarządzania jest główną grupą zarządzania, wymagania dotyczące uprawnień nie mają zastosowania. Ponieważ główna grupa zarządzania jest domyślnym miejscem docelowym dla wszystkich nowych grup zarządzania i subskrypcji, nie potrzebujesz uprawnień do przeniesienia elementu.
Jeśli rola Właściciel subskrypcji jest dziedziczona z bieżącej grupy zarządzania, cele przenoszenia są ograniczone. Subskrypcję można przenieść tylko do innej grupy zarządzania, w której masz rolę Właściciel. Nie można przenieść subskrypcji do grupy zarządzania, w której jesteś tylko współautorem, ponieważ utracisz własność subskrypcji. Jeśli masz bezpośrednio przypisaną rolę Właściciel dla subskrypcji, możesz przenieść ją do dowolnej grupy zarządzania, w której masz rolę Współautor.
Aby zobaczyć, jakie uprawnienia masz w witrynie Azure Portal, wybierz grupę zarządzania, a następnie wybierz pozycję Zarządzanie dostępem i tożsamościami. Aby dowiedzieć się więcej na temat ról platformy Azure, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?.
Dodawanie istniejącej subskrypcji do grupy zarządzania w portalu
Zaloguj się w witrynie Azure Portal.
Wybierz pozycję Wszystkie usługi. W polu tekstowym Filtruj usługi wprowadź grupy zarządzania i wybierz je z listy.
Wybierz grupę zarządzania, którą chcesz być nadrzędną.
W górnej części strony wybierz pozycję Dodaj subskrypcję.
W obszarze Dodaj subskrypcję wybierz subskrypcję na liście z poprawnym identyfikatorem.
Wybierz pozycję Zapisz.
Usuwanie subskrypcji z grupy zarządzania w portalu
Zaloguj się w witrynie Azure Portal.
Wybierz pozycję Wszystkie usługi. W polu tekstowym Filtruj usługi wprowadź grupy zarządzania i wybierz je z listy.
Wybierz grupę zarządzania, która jest bieżącym elementem nadrzędnym.
Wybierz wielokropek (
...) na końcu wiersza subskrypcji na liście, którą chcesz przenieść.
Wybierz Przenieś.
W okienku Przenoszenie wybierz wartość New parent management group ID (Nowy nadrzędny identyfikator grupy zarządzania).
Wybierz pozycję Zapisz.
Przenoszenie subskrypcji w programie Azure PowerShell
Aby przenieść subskrypcję w programie PowerShell, użyj New-AzManagementGroupSubscription polecenia :
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Aby usunąć link między subskrypcją a grupą zarządzania, użyj Remove-AzManagementGroupSubscription polecenia :
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Przenoszenie subskrypcji w interfejsie wiersza polecenia platformy Azure
Aby przenieść subskrypcję w interfejsie wiersza polecenia platformy Azure, użyj add polecenia :
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Aby usunąć subskrypcję z grupy zarządzania, użyj subscription remove polecenia :
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Przenoszenie subskrypcji w szablonie usługi ARM
Aby przenieść subskrypcję w szablonie usługi Azure Resource Manager (szablon usługi ARM), użyj następującego szablonu i wdróż ją na poziomie dzierżawy:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Możesz też użyć następującego pliku Bicep:
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Przenoszenie grupy zarządzania w portalu
Zaloguj się w witrynie Azure Portal.
Wybierz pozycję Wszystkie usługi. W polu tekstowym Filtruj usługi wprowadź grupy zarządzania i wybierz je z listy.
Wybierz grupę zarządzania, którą chcesz być nadrzędną.
W górnej części strony wybierz pozycję Utwórz.
W okienku Tworzenie grupy zarządzania wybierz, czy chcesz użyć nowej, czy istniejącej grupy zarządzania:
- Wybranie pozycji Utwórz nową grupę zarządzania powoduje utworzenie nowej grupy zarządzania.
- Wybranie pozycji Użyj istniejącej prezentacji spowoduje wyświetlenie listy rozwijanej wszystkich grup zarządzania, które można przenieść do tej grupy zarządzania.
Wybierz pozycję Zapisz.
Przenoszenie grupy zarządzania w programie Azure PowerShell
Aby przenieść grupę zarządzania w innej grupie, użyj Update-AzManagementGroup polecenia w programie Azure PowerShell:
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Przenoszenie grupy zarządzania w interfejsie wiersza polecenia platformy Azure
Aby przenieść grupę zarządzania w interfejsie wiersza polecenia platformy Azure, użyj update polecenia :
az account management-group update --name 'Contoso' --parent ContosoIT
Inspekcja grup zarządzania przy użyciu dzienników aktywności
Grupy zarządzania są obsługiwane w dziennikach aktywności usługi Azure Monitor. Możesz wykonywać zapytania dotyczące wszystkich zdarzeń, które mają miejsce w grupie zarządzania w tej samej centralnej lokalizacji co inne zasoby platformy Azure. Można na przykład zobaczyć wszystkie przypisania ról lub zmiany przypisania zasad wprowadzone w określonej grupie zarządzania.
Jeśli chcesz wykonać zapytanie dotyczące grup zarządzania poza witryną Azure Portal, zakres docelowy grup zarządzania wygląda następująco: "/providers/Microsoft.Management/managementGroups/{yourMgID}".
Odwołania do grup zarządzania od innych dostawców zasobów
W przypadku odwoływania się do grup zarządzania z akcji innego dostawcy zasobów użyj następującej ścieżki jako zakresu. Ta ścieżka ma zastosowanie w przypadku korzystania z programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsów API REST.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Przykładem użycia tej ścieżki jest przypisanie nowej roli do grupy zarządzania w programie Azure PowerShell:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Użyj tej samej ścieżki zakresu, aby pobrać definicję zasad dla grupy zarządzania:
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Powiązana zawartość
Aby dowiedzieć się więcej na temat grup zarządzania, zobacz: