O que são grupos de gerenciamento do Azure?

Se sua organização tiver muitas assinaturas do Azure, talvez seja necessária uma maneira de gerenciar com eficiência o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gerenciamento fornecem um nível de escopo de governança acima das assinaturas. Você organiza as assinaturas em grupos de gerenciamento; as condições de governança você aplica em cascata herdando a todas as assinaturas associadas.

Os grupos de gerenciamento fornecem gerenciamento de nível empresarial em escala, independentemente do tipo de assinaturas que você possa ter. No entanto, todas as assinaturas em um único grupo de gerenciamento devem confiar no mesmo locatário do Azure AD (Azure Active Directory).

Por exemplo, aplique políticas a um grupo de gerenciamento que limite as regiões disponíveis para a criação de VM (máquina virtual). Essa política seria aplicada a todos os grupos de gerenciamento aninhados, assinaturas e recursos e permitiria a criação de VM somente em regiões autorizadas.

Hierarquia de grupos de gerenciamento e assinaturas

É possível compilar uma estrutura flexível de grupos de gerenciamento e assinaturas para organizar seus recursos em uma hierarquia para políticas unificadas e gerenciamento de acesso. O diagrama a seguir mostra um exemplo de criação de uma hierarquia para governança usando grupos de gerenciamento.

Diagrama de uma hierarquia de grupo de gerenciamento de exemplo.

Diagrama de um grupo de gerenciamento raiz contendo grupos de gerenciamento e assinaturas. Alguns grupos de gerenciamento filho contêm grupos de gerenciamento, uns contêm assinaturas e outros contêm ambos. Exemplo da hierarquia de exemplo: quatro níveis de grupos de gerenciamento, com o nível secundários sendo todas as assinaturas.

Você pode criar uma hierarquia que aplica uma política, por exemplo, que limite os locais de VM à região Oeste dos EUA no grupo de gerenciamento chamado “Corp”. Essa política herdará todas as assinaturas do EA (Enterprise Agreement) descendentes desse grupo de gerenciamento e aplicará a todas as VMs sob essas assinaturas. Essa política de segurança não pode ser alterada pelo recurso ou pelo proprietário da assinatura, permitindo uma governança aprimorada.

Observação

No momento, não há suporte para grupos de gerenciamento nos recursos do Gerenciamento de Custos para assinaturas do MCA (Contrato de Cliente da Microsoft).

Outro cenário em que você usaria grupos de gerenciamento é fornecer acesso de usuário a várias assinaturas. Ao mover várias assinaturas nesse grupo de gerenciamento, você pode criar uma atribuição de função do Azure no grupo de gerenciamento, que herdará esse acesso a todas as assinaturas. Uma atribuição no grupo de gerenciamento pode permitir que os usuários tenham acesso a tudo que for necessário, em vez de criar scripts do Azure RBAC em assinaturas diferentes.

Fatos importantes sobre os grupos de gerenciamento

  • 10.000 grupos de gerenciamento podem ter suporte em um único diretório.
  • Uma árvore do grupo de gerenciamento pode dar suporte a até seis níveis de profundidade.
    • Esse limite não inclui o nível Raiz nem o nível da assinatura.
  • Cada grupo de gerenciamento e assinatura pode dar suporte a apenas um pai.
  • Cada grupo de gerenciamento pode ter vários elementos filhos.
  • Todas as assinaturas e todos os grupos de gerenciamento estão em uma única hierarquia em cada diretório. Confira Fatos importantes sobre o grupo de gerenciamento raiz.

Grupo de gerenciamento raiz para cada diretório

Cada diretório recebe um único grupo de gerenciamento de nível superior chamado grupo de gerenciamento raiz. O grupo de gerenciamento raiz é compilado na hierarquia para que todos os grupos de gerenciamento e assinaturas sejam dobrados nele. Esse grupo de gerenciamento raiz permite que políticas globais e atribuições de função do Azure sejam aplicadas no nível de diretório. O administrador global do Azure AD precisa elevar-se para a função de Administrador de Acesso do Usuário desse grupo raiz inicialmente. Após elevar o acesso, o administrador poderá atribuir qualquer função do Azure a outros usuários ou grupos do diretório para gerenciar a hierarquia. Como administrador, você pode atribuir sua conta como proprietária do grupo de gerenciamento raiz.

Fatos importantes sobre o grupo de gerenciamento raiz

  • Por padrão, o nome de exibição do grupo de gerenciamento raiz é Grupo raiz locatário e se opera como um grupo de gerenciamento. A ID é o mesmo valor que a ID de locatário do AAD (Azure Active Directory).
  • Para alterar o nome de exibição, sua conta deve ser atribuída à função Proprietário ou Colaborador no grupo de gerenciamento raiz. Confira Alterar o nome de um grupo de gerenciamento para atualizar o nome de um grupo de gerenciamento.
  • O grupo de gerenciamento raiz não pode ser movido nem excluído, ao contrário de outros grupos de gerenciamento.
  • Todas as assinaturas e todos os grupos de gerenciamento estão inseridos em um único grupo de gerenciamento raiz dentro do diretório.
    • Todos os recursos do diretório estão inseridos no grupo de gerenciamento raiz para o gerenciamento global.
    • As novas assinaturas usam como padrão automaticamente o grupo de gerenciamento raiz quando criadas.
  • Todos os clientes do Azure podem ver o grupo de gerenciamento raiz, mas nem todos os clientes têm acesso para gerenciá-lo.
    • Qualquer pessoa que tenha acesso a uma assinatura pode ver o contexto no qual essa assinatura está na hierarquia.
    • Ninguém recebeu o acesso padrão ao grupo de gerenciamento raiz. Os administradores globais do Azure AD são os únicos usuários que podem se elevar para obter acesso. Depois de obter acesso ao grupo de gerenciamento raiz, os administradores globais podem atribuir qualquer função do Azure a outros usuários para gerenciá-lo.

Importante

Qualquer atribuição de acesso de usuário ou política no grupo de gerenciamento raiz se aplica a todos os recursos do diretório. Devido a isso, todos os clientes devem avaliar a necessidade de ter os itens definidos nesse escopo. As atribuições de acesso do usuário e de política devem ser "Deve ter" somente nesse escopo.

Configuração inicial dos grupos de gerenciamento

Quando um usuário começa a usar grupos de gerenciamento, ocorre um processo de configuração inicial. A primeira etapa é a criação do grupo de gerenciamento raiz no diretório. Depois que esse grupo é criado, todas as assinaturas existentes no diretório se tornam filho do grupo de gerenciamento raiz. O motivo para esse processo é verificar se há apenas uma hierarquia de grupo de gerenciamento em um diretório. A única hierarquia dentro do diretório permite que os clientes administrativos apliquem políticas e o acesso global que outros clientes no diretório não podem ignorar. Tudo que for atribuído na raiz será aplicado à hierarquia inteira, o que inclui todos os grupos de gerenciamento, as assinaturas, os grupos de recursos e os recursos desse locatário do AAD.

Acesso do grupo de gerenciamento

Os grupos de gerenciamento do Azure dão suporte ao Azure RBAC (Controle de Acesso Baseado em Função do Azure) para todos os acessos de recursos e definições de função. Essas permissões são herdadas de recursos filho existentes na hierarquia. Qualquer função do Azure pode ser atribuída a um grupo de gerenciamento que herdará a hierarquia para os recursos. Por exemplo, o colaborador da VM com a função do Azure pode ser atribuído a um grupo de gerenciamento. Essa função não tem nenhuma ação no grupo de gerenciamento, mas herdará de todas as VMs nesse grupo de gerenciamento.

O gráfico a seguir mostra a lista de funções e as ações compatíveis nos grupos de gerenciamento.

Nome da função do Azure Criar Renomear Mover** Excluir Atribuir acesso Atribuir política Ler
Proprietário X X X X X X X
Colaborador X X X X X
Colaborador de MG* X X X X X
Leitor X
MG leitor* X
Colaborador da política de recurso X
Administrador de Acesso do Usuário X X

*: As funções Colaborador do grupo de gerenciamento e Leitor de grupo de gerenciamento permitem que os usuários executem essas ações somente no escopo do grupo de gerenciamento.

**: Não são necessárias atribuições de função no grupo de gerenciamento raiz para mover uma assinatura ou um grupo de gerenciamento dele e para ele.

Confira Gerenciar seus recursos com grupos de gerenciamento para obter detalhes de como mover itens dentro da hierarquia.

Atribuição e definição de função personalizada do Azure

Você pode definir um grupo de gerenciamento como um escopo atribuível em uma definição de função personalizada do Azure. A função personalizada do Azure estará então disponível para atribuição nesse grupo de gerenciamento e em qualquer grupo de gerenciamento, assinatura, grupo de recursos ou recurso abaixo dele. A função personalizada herdará a hierarquia como qualquer função interna. Para obter informações sobre as limitações com funções personalizadas e grupos de gerenciamento, confira Limitações.

Definição de exemplo

A opção Definir e criar uma função personalizada não será alterada com a inclusão de grupos de gerenciamento. Use o caminho completo para definir o grupo de gerenciamento /providers/Microsoft.Management/managementgroups/{groupId}.

Use a ID do grupo de gerenciamento, e não o nome de exibição do grupo de gerenciamento. Esse erro comum ocorre porque ambos são campos definidos personalizados ao criar um grupo de gerenciamento.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problemas com a interrupção da definição de função e o caminho da hierarquia de atribuição

As definições de função são um escopo atribuível em qualquer lugar dentro da hierarquia do grupo de gerenciamento. Uma definição de função pode ser definida em um grupo de gerenciamento pai enquanto a atribuição de função real existe na assinatura filho. Como há uma relação entre os dois itens, você receberá um erro ao tentar separar a atribuição de sua definição.

Por exemplo, vamos examinar uma pequena seção de uma hierarquia para um visual.

Diagrama de um subconjunto da hierarquia de grupo de gerenciamento de exemplo.

O diagrama se concentra no grupo de gerenciamento raiz com zonas de destino filho e grupos de gerenciamento da Área estrita. O grupo de gerenciamento de zonas de destino tem dois grupos de gerenciamento filho chamados Corp e Online, enquanto o grupo de gerenciamento da Área restrita tem duas assinaturas filho.

Digamos que há uma função personalizada definida no grupo de gerenciamento da Área restrita. Esta função personalizada é então atribuída nas duas assinaturas de Área restrita.

Se tentarmos mover uma dessas assinaturas para ser um filho do grupo de gerenciamento Corp, esta mudança quebrará o caminho da atribuição de função de assinatura para a definição de função do grupo de gerenciamento da Área restrita. Nesse cenário, você receberá um erro informando que a movimentação não é permitida, pois ela interrompe essa relação.

Há algumas opções diferentes para corrigir esse cenário:

  • Remova a atribuição de função da assinatura antes de mover a assinatura para uma nova MG pai.
  • Adicione a assinatura ao escopo atribuível da definição de função.
  • Altere o escopo atribuível dentro da definição de função. No exemplo acima, você pode atualizar os escopos atribuíveis da Área restrita para o grupo de gerenciamento raiz para que ambas as ramificações da hierarquia possam alcançar a definição.
  • Crie outra função personalizada definida na outra ramificação. Essa nova função exige que a atribuição de função seja alterada também na assinatura.

Limitações

Há limitações ao usar funções personalizadas em grupos de gerenciamento.

  • Você só pode definir um grupo de gerenciamento nos escopos atribuíveis de uma nova função. Essa limitação está em vigor para reduzir o número de situações em que as definições de função e as atribuições de função são desconectadas. Essa situação ocorre quando uma assinatura ou um grupo de gerenciamento com uma atribuição de função é movido para um pai diferente que não tem uma definição de função.
  • As ações do plano de dados do provedor de recursos não podem ser definidas nas funções personalizadas do grupo de gerenciamento. Essa restrição está em vigor, pois há um problema de latência com a atualização dos provedores de recursos do plano de dados. Esse problema de latência está sendo resolvido e essas ações serão desabilitadas da definição de função para reduzir os riscos.
  • O Azure Resource Manager não valida a existência do grupo de gerenciamento no escopo atribuível da definição de função. Se houver uma ID de grupo de gerenciamento com erro de digitação ou incorreta listada, a definição de função ainda será criada.

Como mover grupos de gerenciamento e assinaturas

Para mover um grupo de gerenciamento ou assinatura para que seja um filho de outro grupo de gerenciamento, três regras precisam ser avaliadas como true.

Se você estiver executando a ação de mover, precisará de:

  • Permissões de gravação de atribuição de função e gravação de grupo de gerenciamento na no grupo de gerenciamento ou assinatura filho.
    • Exemplo de função interna: Proprietário
  • Acesso de gravação do grupo de gerenciamento no grupo de gerenciamento pai alvo.
    • Exemplo de função interna: Proprietário, Colaborador, Colaborador do Grupo de Gerenciamento
  • Acesso de gravação do grupo de gerenciamento no grupo de gerenciamento pai existente.
    • Exemplo de função interna: Proprietário, Colaborador, Colaborador do Grupo de Gerenciamento

Exceção: se o grupo de gerenciamento pai existente ou alvo for o grupo de gerenciamento raiz, os requisitos de permissões não se aplicarão. Como o grupo de gerenciamento raiz é o ponto de aterrissagem padrão para todos os novos grupos de gerenciamento e assinaturas, não é preciso ter permissões para mover um item.

Se a função Proprietário na assinatura for herdada do grupo de gerenciamento atual, seus destinos de movimentação serão limitados. Você só pode mover a assinatura para outro grupo de gerenciamento no qual você tem a função Proprietário. Você não pode movê-lo para um grupo de gerenciamento em que você é um Colaborador, pois você perderia a propriedade da assinatura. Se função Proprietário da assinatura (não herdada do grupo de gerenciamento) for diretamente atribuída a você, é possível movê-la para qualquer grupo de gerenciamento no qual a função Colaborador seja atribuída a você.

Importante

O Azure Resource Manager armazena em cache os detalhes da hierarquia do grupo de gerenciamento por até 30 minutos. Como resultado, a movimentação de um grupo de gerenciamento pode não ser refletida imediatamente no portal do Azure.

Auditar grupos de gerenciamento usando logs de atividades

Os grupos de gerenciamento são compatíveis com o Log de atividades do Azure. Você pode pesquisar todos os eventos que ocorrem para um grupo de gerenciamento no mesmo local central que os outros recursos do Azure. Por exemplo, você pode ver todas as alterações de atribuições de função ou de política feitas em um grupo de gerenciamento específico.

Captura de tela de Logs de Atividades e operações relacionados ao grupo de gerenciamento selecionado.

Ao analisar a consulta em grupos de gerenciamento fora do portal do Azure, o escopo de destino dos grupos de gerenciamento é semelhante a "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Observação

Usando a API REST do Azure Resource Manager, você pode habilitar as configurações de diagnóstico em um grupo de gerenciamento para enviar as entradas relacionadas do log de Atividades do Azure para um workspace do Log Analytics, Armazenamento do Azure ou Hub de Eventos do Azure. Para obter mais informações, confira Configurações de Diagnóstico do Grupo de Gerenciamento – Criar ou Atualizar.

Próximas etapas

Para saber mais sobre grupos de gerenciamento, consulte: