Zarządzanie subskrypcjami platformy Azure na dużą skalę przy użyciu grup zarządzania

Jeśli Twoja organizacja ma wiele subskrypcji, możesz potrzebować sposobu na wydajne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania platformy Azure zapewniają poziom zakresu powyżej subskrypcji. Subskrypcje są organizowane w kontenerach nazywanych „grupami zarządzania”, do których należy zastosować swoje warunki nadzoru. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki zastosowane do tej grupy zarządzania.

Grupy zarządzania umożliwiają zarządzanie klasy korporacyjnej na dużą skalę niezależnie od typu subskrypcji. Aby dowiedzieć się więcej na temat grup zarządzania, zobacz Organizowanie zasobów za pomocą grup zarządzania platformy Azure.

Uwaga

Ten artykuł zawiera kroki dotyczące usuwania danych osobowych z urządzenia lub usługi i może służyć do obsługi zobowiązań wynikających z RODO. Aby uzyskać ogólne informacje na temat RODO, zobacz sekcję RODO w Centrum zaufania firmy Microsoft i w sekcji RODO w portalu zaufania usług.

Ważne

Usługa Azure Resource Manager tokeny użytkownika i pamięć podręczna grupy zarządzania trwa 30 minut, zanim zostaną one zmuszone do odświeżenia. Po wykonaniu dowolnej akcji, takiej jak przeniesienie grupy zarządzania lub subskrypcji, może upłynąć do 30 minut. Aby zobaczyć aktualizacje wcześniej, musisz zaktualizować token, odświeżając przeglądarkę, logując się i wychodząc lub żądając nowego tokenu.

Ważne

Polecenia cmdlet azManagementGroup powiązane z modułem Az programu PowerShell wspominają, że parametr -GroupId jest aliasem parametru -GroupName , dzięki czemu możemy użyć go do podania identyfikatora grupy zarządzania jako wartości ciągu.

Zmienianie nazwy grupy zarządzania

Nazwę grupy zarządzania można zmienić przy użyciu portalu, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Zmienianie nazwy w portalu

  1. Zaloguj się do witryny Azure Portal.

  2. Wybierz pozycję Wszystkie usługi>Grupy zarządzania.

  3. Wybierz grupę zarządzania, której nazwę chcesz zmienić.

  4. Wybierz szczegóły.

  5. Wybierz opcję Zmień nazwę grupy w górnej części strony.

    Zrzut ekranu przedstawiający pasek akcji i przycisk

  6. Po otwarciu menu wprowadź nową nazwę, którą chcesz wyświetlić.

    Zrzut ekranu przedstawiający okno Zmień nazwę grupy i opcje zmiany nazwy grupy zarządzania.

  7. Wybierz pozycję Zapisz.

Zmienianie nazwy w programie PowerShell

Aby zaktualizować nazwę wyświetlaną, użyj polecenia Update-AzManagementGroup. Aby na przykład zmienić nazwę wyświetlaną grup zarządzania z "Contoso IT" na "Contoso Group", uruchom następujące polecenie:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Zmienianie nazwy w interfejsie wiersza polecenia platformy Azure

W przypadku interfejsu wiersza polecenia platformy Azure użyj polecenia update.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Usuwanie grupy zarządzania

Aby usunąć grupę zarządzania, należy spełnić następujące wymagania:

  1. W grupie zarządzania nie ma podrzędnych grup zarządzania ani subskrypcji. Aby przenieść subskrypcję lub grupę zarządzania do innej grupy zarządzania, zobacz Przenoszenie grup zarządzania i subskrypcji w hierarchii.

  2. Musisz mieć uprawnienia do zapisu w grupie zarządzania ("Właściciel", "Współautor" lub "Współautor grupy zarządzania"). Aby zobaczyć, jakie uprawnienia masz, wybierz grupę zarządzania, a następnie wybierz pozycję Zarządzanie dostępem i tożsamościami. Aby dowiedzieć się więcej na temat ról platformy Azure, zobacz Kontrola dostępu oparta na rolach (RBAC) platformy Azure.

Usuwanie w portalu

  1. Zaloguj się do witryny Azure Portal.

  2. Wybierz pozycję Wszystkie usługi>Grupy zarządzania.

  3. Wybierz grupę zarządzania, którą chcesz usunąć.

  4. Wybierz szczegóły.

  5. Wybierz pozycję Usuń

    Zrzut ekranu przedstawiający stronę Grupa zarządzania z wyróżnionym przyciskiem

    Porada

    Jeśli ikona jest wyłączona, umieszczenie kursora myszy na ikonie spowoduje wyświetlenie przyczyny.

  6. Zostanie otwarte okno z potwierdzeniem usunięcia grupy zarządzania.

    Zrzut ekranu przedstawiający okno dialogowe potwierdzenia

  7. Wybierz pozycję Tak.

Usuwanie w programie PowerShell

Użyj polecenia Remove-AzManagementGroup w programie PowerShell, aby usunąć grupy zarządzania.

Remove-AzManagementGroup -GroupId 'Contoso'

Usuwanie w interfejsie wiersza polecenia platformy Azure

Za pomocą interfejsu wiersza polecenia platformy Azure użyj polecenia az account management-group delete.

az account management-group delete --name 'Contoso'

Wyświetlanie grup zarządzania

Możesz wyświetlić dowolną grupę zarządzania, w której istnieje bezpośrednia lub dziedziczona rola platformy Azure.

Wyświetlanie w portalu

  1. Zaloguj się do witryny Azure Portal.

  2. Wybierz pozycję Wszystkie usługi>Grupy zarządzania.

  3. Strona hierarchii grup zarządzania zostanie załadowana. Na tej stronie możesz eksplorować wszystkie grupy zarządzania i subskrypcje, do których masz dostęp. Wybranie nazwy grupy spowoduje przejście do niższego poziomu w hierarchii. Nawigacja działa tak samo jak w eksploratorze plików.

  4. Aby wyświetlić szczegóły grupy zarządzania, wybierz link (szczegóły) obok tytułu grupy zarządzania. Jeśli ten link nie jest dostępny, nie masz uprawnień do wyświetlania tej grupy zarządzania.

    Zrzut ekranu przedstawiający stronę Grupy zarządzania z podrzędnymi grupami zarządzania i subskrypcjami.

Widok w programie PowerShell

Aby pobrać wszystkie grupy, użyj polecenia Get-AzManagementGroup. Aby uzyskać pełną listę poleceń get programu PowerShell, zobacz Moduły Az.Resources .

Get-AzManagementGroup

Aby uzyskać informacje o jednej grupie zarządzania, użyj parametru -GroupId

Get-AzManagementGroup -GroupId 'Contoso'

Aby zwrócić określoną grupę zarządzania i wszystkie poziomy hierarchii w niej, użyj parametrów -Rozwiń i -Recurse .

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Wyświetlanie w interfejsie wiersza polecenia platformy Azure

Użyj polecenia listy, aby pobrać wszystkie grupy.

az account management-group list

Aby uzyskać informacje o jednej grupie zarządzania, użyj polecenia show

az account management-group show --name 'Contoso'

Aby zwrócić określoną grupę zarządzania i wszystkie poziomy hierarchii w niej, użyj parametrów -Rozwiń i -Recurse .

az account management-group show --name 'Contoso' -e -r

Przenoszenie grup zarządzania i subskrypcji

Jednym z powodów utworzenia grupy zarządzania jest łączenie subskrypcji. Tylko grupy zarządzania i subskrypcje mogą być podrzędne innej grupy zarządzania. Subskrypcja, która przechodzi do grupy zarządzania dziedziczy cały dostęp użytkowników i zasady z nadrzędnej grupy zarządzania

Podczas przenoszenia grupy zarządzania lub subskrypcji jako elementu podrzędnego innej grupy zarządzania należy ocenić trzy reguły jako prawdziwe.

Jeśli wykonujesz akcję przenoszenia, potrzebujesz uprawnień w każdej z następujących warstw:

  • Subskrypcja podrzędna/grupa zarządzania
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (tylko w przypadku subskrypcji)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Docelowa nadrzędna grupa zarządzania
    • Microsoft.management/managementgroups/write
  • Bieżąca nadrzędna grupa zarządzania
    • Microsoft.management/managementgroups/write

Wyjątek: Jeśli element docelowy lub istniejąca nadrzędna grupa zarządzania to główna grupa zarządzania, wymagania dotyczące uprawnień nie mają zastosowania. Ponieważ główna grupa zarządzania jest domyślnym miejscem docelowym dla wszystkich nowych grup zarządzania i subskrypcji, nie potrzebujesz uprawnień do przeniesienia elementu.

Jeśli rola Właściciel subskrypcji jest dziedziczona z bieżącej grupy zarządzania, cele przenoszenia są ograniczone. Subskrypcję można przenieść tylko do innej grupy zarządzania, w której masz rolę Właściciel. Nie można przenieść subskrypcji do grupy zarządzania, w której jesteś tylko współautorem, ponieważ utracisz własność subskrypcji. Jeśli jesteś bezpośrednio przypisany do roli Właściciel dla subskrypcji, możesz przenieść ją do dowolnej grupy zarządzania, w której jesteś współautorem.

Aby zobaczyć, jakie uprawnienia masz w Azure Portal, wybierz grupę zarządzania, a następnie wybierz pozycję Zarządzanie dostępem i tożsamościami. Aby dowiedzieć się więcej na temat ról platformy Azure, zobacz Kontrola dostępu oparta na rolach (RBAC) platformy Azure.

Przenoszenie subskrypcji

Dodawanie istniejącej subskrypcji do grupy zarządzania w portalu

  1. Zaloguj się do witryny Azure Portal.

  2. Wybierz pozycję Wszystkie usługi>Grupy zarządzania.

  3. Wybierz grupę zarządzania, którą planujesz być nadrzędną.

  4. W górnej części strony wybierz pozycję Dodaj subskrypcję.

  5. Wybierz subskrypcję z listy z poprawnym identyfikatorem.

    Zrzut ekranu przedstawiający opcje

  6. Wybierz pozycję "Zapisz".

Usuwanie subskrypcji z grupy zarządzania w portalu

  1. Zaloguj się do witryny Azure Portal.

  2. Wybierz pozycję Wszystkie usługi>Grupy zarządzania.

  3. Wybierz grupę zarządzania, która jest bieżącym elementem nadrzędnym.

  4. Wybierz wielokropek na końcu wiersza subskrypcji na liście, którą chcesz przenieść.

    Zrzut ekranu przedstawiający alternatywne menu subskrypcji w celu wybrania opcji

  5. Wybierz pozycję Przenieś.

  6. W wyświetlonym menu wybierz nadrzędną grupę zarządzania.

    Zrzut ekranu przedstawiający okno

  7. Wybierz pozycję Zapisz.

Przenoszenie subskrypcji w programie PowerShell

Aby przenieść subskrypcję w programie PowerShell, użyj polecenia New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Aby usunąć łącze między subskrypcją a grupą zarządzania, użyj polecenia Remove-AzManagementGroupSubscription.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Przenoszenie subskrypcji w interfejsie wiersza polecenia platformy Azure

Aby przenieść subskrypcję w interfejsie wiersza polecenia, użyj polecenia add.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Aby usunąć subskrypcję z grupy zarządzania, użyj polecenia usuwania subskrypcji.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Przenoszenie subskrypcji w szablonie usługi ARM

Aby przenieść subskrypcję w szablonie usługi Azure Resource Manager (ARM), użyj następującego szablonu i wdróż go na poziomie dzierżawy.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Lub następujący plik Bicep.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Przenoszenie grup zarządzania

Przenoszenie grup zarządzania w portalu

  1. Zaloguj się do witryny Azure Portal.

  2. Wybierz pozycję Wszystkie usługi>Grupy zarządzania.

  3. Wybierz grupę zarządzania, którą planujesz być nadrzędną.

  4. W górnej części strony wybierz pozycję Dodaj grupę zarządzania.

  5. W wyświetlonym menu wybierz, czy chcesz utworzyć nową grupę zarządzania, czy użyć istniejącej grupy zarządzania.

    • Wybranie nowej grupy zarządzania spowoduje utworzenie nowej grupy zarządzania.
    • Wybranie istniejącego elementu spowoduje wyświetlenie listy rozwijanej wszystkich grup zarządzania, które można przenieść do tej grupy zarządzania.

    Zrzut ekranu przedstawiający opcje

  6. Wybierz pozycję Zapisz.

Przenoszenie grup zarządzania w programie PowerShell

Użyj polecenia Update-AzManagementGroup w programie PowerShell, aby przenieść grupę zarządzania w innej grupie.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Przenoszenie grup zarządzania w interfejsie wiersza polecenia platformy Azure

Użyj polecenia update, aby przenieść grupę zarządzania za pomocą interfejsu wiersza polecenia platformy Azure.

az account management-group update --name 'Contoso' --parent ContosoIT

Inspekcja grup zarządzania przy użyciu dzienników aktywności

Grupy zarządzania są obsługiwane w dzienniku aktywności platformy Azure. Możesz wykonywać zapytania dotyczące wszystkich zdarzeń, które zdarzają się grupie zarządzania w tej samej centralnej lokalizacji co inne zasoby platformy Azure. Na przykład widoczne są wszystkie przypisania ról i zmiany przypisań zasad w określonej grupie zarządzania.

Zrzut ekranu przedstawiający dzienniki aktywności i operacje związane z wybraną grupą zarządzania.

Jeśli chcesz wykonać zapytanie dotyczące grup zarządzania spoza witryny Azure Portal, zakres docelowy grup zarządzania wygląda tak: „/providers/Microsoft.Management/managementGroups/{identyfikator_grupy_zarządzania}”.

Odwoływanie się do grup zarządzania od innych dostawców zasobów

W przypadku odwoływania się do grup zarządzania z akcji innego dostawcy zasobów użyj następującej ścieżki jako zakresu. Ta ścieżka jest używana podczas korzystania z programu PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsów API REST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Przykładem użycia tej ścieżki jest przypisanie nowej roli do grupy zarządzania w programie PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Ta sama ścieżka zakresu jest używana podczas pobierania definicji zasad w grupie zarządzania.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Następne kroki

Aby dowiedzieć się więcej na temat grup zarządzania, zobacz: