O que são os grupos de gestão do Azure?
Se a sua organização tiver muitas subscrições do Azure, poderá precisar de uma forma de gerir eficientemente o acesso, as políticas e a conformidade dessas subscrições. Os grupos de gestão fornecem um âmbito de governação acima das subscrições. Organiza subscrições em grupos de gestão; as condições de governação que aplicar em cascata por herança a todas as subscrições associadas.
Os grupos de gestão dão-lhe gestão de nível empresarial em escala, independentemente do tipo de subscrições que possa ter. No entanto, todas as subscrições num único grupo de gestão têm de confiar no mesmo inquilino do Azure Active Directory (Azure AD).
Por exemplo, pode aplicar políticas a um grupo de gestão que limita as regiões disponíveis para a criação de máquinas virtuais (VM). Esta política seria aplicada a todos os grupos de gestão, subscrições e recursos aninhados e permitiria a criação de VMs apenas em regiões autorizadas.
Hierarquia de grupos de gestão e de subscrições
Pode criar uma estrutura flexível de grupos de gestão e de subscrições para organizar os seus recursos numa hierarquia para assegurar uma gestão unificada de acesso e política. O seguinte diagrama mostra um exemplo de criação de uma hierarquia de governação com grupos de gestão.
Diagrama de um grupo de gestão de raiz que contém grupos de gestão e subscrições. Alguns grupos de gestão subordinados contêm grupos de gestão, alguns detêm subscrições e outros têm ambos. Um dos exemplos na hierarquia de exemplo são quatro níveis de grupos de gestão, sendo o nível subordinado todas as subscrições.
Pode criar uma hierarquia que aplica uma política, por exemplo, que limita as localizações da VM à região E.U.A. Oeste no grupo de gestão denominado "Corp". Esta política herdará todas as subscrições Contrato Enterprise (EA) que são descendentes desse grupo de gestão e será aplicada a todas as VMs nessas subscrições. Esta política de segurança não pode ser alterada pelo proprietário do recurso ou da subscrição, permitindo uma governação melhorada.
Nota
Atualmente, os grupos de gestão não são suportados nas funcionalidades do Cost Management para subscrições Contrato de Cliente Microsoft (MCA).
Outro cenário em que utilizaria os grupos de gestão seria para fornecer acesso de utilizador a várias subscrições. Ao mover várias subscrições para esse grupo de gestão, pode criar uma atribuição de função do Azure no grupo de gestão, que herdará esse acesso a todas as subscrições. Uma atribuição no grupo de gestão pode permitir que os utilizadores tenham acesso a tudo o que precisam em vez de criarem scripts de RBAC do Azure em subscrições diferentes.
Factos importantes sobre grupos de gestão
- Um único diretório suporta 10 000 grupos de gestão.
- Uma árvore de grupo de gestão pode suportar até seis níveis de profundidade.
- Este limite não inclui o nível da Raiz ou o nível da subscrição.
- Cada grupo de gestão e subscrição só podem suportar um elemento principal.
- Cada grupo de gestão pode ter muitos subordinados.
- Todos os grupos de gestão e subscrições estão contidos numa única hierarquia em cada diretório. Veja Factos importantes sobre o grupo de gestão de Raiz.
Grupo de gestão de raiz para cada diretório
É atribuído a cada diretório um único grupo de gestão de nível superior denominado grupo de gestão de raiz . O grupo de gestão de raiz está incorporado na hierarquia para que todos os grupos de gestão e subscrições se dobrem na mesma. Este grupo de gestão de raiz permite que as políticas globais e as atribuições de funções do Azure sejam aplicadas ao nível do diretório. Inicialmente, o Administrador Global do Azure AD tem de se elevar à função de Administrador de Acesso de Utilizador deste grupo de raiz. Depois de elevar o acesso, o administrador pode atribuir qualquer função do Azure a outros utilizadores ou grupos de diretórios para gerir a hierarquia. Como administrador, pode atribuir a sua conta como proprietário do grupo de gestão de raiz.
Factos importantes sobre o grupo de gestão de raiz
- Por predefinição, o nome a apresentar do grupo de gestão de raiz é Grupo de raiz do inquilino e funciona como um grupo de gestão. O ID é o mesmo valor que o ID de inquilino do Azure Active Directory (Azure AD).
- Para alterar o nome a apresentar, tem de ser atribuída a função Proprietário ou Contribuidor à sua conta no grupo de gestão de raiz. Consulte Alterar o nome de um grupo de gestão para atualizar o nome de um grupo de gestão.
- O grupo de gestão de raiz não pode ser movido nem eliminado, ao contrário de outros grupos de gestão.
- Todas as subscrições e grupos de gestão dobram-se num grupo de gestão de raiz no diretório.
- Todos os recursos no diretório ficam associados ao grupo de gestão de raiz para gestão global.
- Quando são criadas, as novas subscrições são colocadas automaticamente por predefinição no grupo de gestão de raiz.
- Todos os clientes do Azure podem ver o grupo de gestão de raiz, mas nem todos os clientes têm acesso para gerir esse mesmo grupo de gestão de raiz.
- Todos os utilizadores com acesso a uma subscrição podem ver o contexto em que essa subscrição se insere na hierarquia.
- Ninguém recebe acesso predefinido ao grupo de gestão de raiz. Os Administradores Globais do Azure AD são os únicos utilizadores que se podem elevar para obter acesso. Assim que tiverem acesso ao grupo de gestão de raiz, os administradores globais podem atribuir qualquer função do Azure a outros utilizadores para o gerirem.
Importante
Qualquer atribuição de acesso de utilizador ou política no grupo de gestão de raiz aplica-se a todos os recursos no diretório. Por este motivo, todos os clientes devem avaliar a necessidade de ter itens definidos neste âmbito. O acesso de utilizador e as atribuições de política devem ser "Obrigatório" apenas neste âmbito.
Configuração inicial dos grupos de gestão
Quando um utilizador começa a utilizar grupos de gestão, ocorre um processo de configuração inicial. Na primeira etapa, o grupo de gestão de raiz é criado no diretório. Uma vez criado este grupo, todas as subscrições existentes no diretório tornam-se elementos subordinados do grupo de gestão de raiz. Este processo existe para garantir que existe apenas uma hierarquia de grupo de gestão num diretório. A única hierarquia dentro do diretório permite aos clientes administrativos aplicar o acesso global e políticas que os outros clientes não podem ignorar. Tudo o que for atribuído na raiz será aplicado a toda a hierarquia, que inclui todos os grupos de gestão, subscrições, grupos de recursos e recursos dentro desse inquilino Azure AD.
Acesso de grupo de gestão
Os grupos de gestão do Azure suportam o controlo de acesso baseado em funções do Azure (RBAC do Azure) para todos os acessos a recursos e definições de funções. Estas permissões são herdadas pelos recursos subordinados existentes na hierarquia. Qualquer função do Azure pode ser atribuída a um grupo de gestão que herdará a hierarquia para os recursos. Por exemplo, o contribuidor da VM de função do Azure pode ser atribuído a um grupo de gestão. Esta função não tem nenhuma ação no grupo de gestão, mas herdará a todas as VMs nesse grupo de gestão.
A tabela seguinte mostra a lista de funções e as ações suportadas nos grupos de gestão.
| Nome da Função do Azure | Criar | Mudar o Nome | Mover** | Eliminar | Atribuir Acesso | Atribuir Política | Leitura |
|---|---|---|---|---|---|---|---|
| Proprietário | X | X | X | X | X | X | X |
| Contribuinte | X | X | X | X | X | ||
| Contribuidor MG* | X | X | X | X | X | ||
| Leitor | X | ||||||
| Leitor MG* | X | ||||||
| Contribuidor de Política de Recursos | X | ||||||
| Administrador de Acesso dos Utilizadores | X | X |
*: As funções Contribuidor do Grupo de Gestão e Leitor de Grupo de Gestão permitem que os utilizadores executem essas ações apenas no âmbito do grupo de gestão.
**: As atribuições de funções no grupo de gestão de raiz não são necessárias para mover uma subscrição ou grupo de gestão de e para o mesmo.
Veja Manage your resources with management groups (Gerir os recursos com grupos de gestão) para obter detalhes sobre como mover itens dentro da hierarquia.
Definição e atribuição de funções personalizadas do Azure
Pode definir um grupo de gestão como um âmbito atribuível numa definição de função personalizada do Azure. A função personalizada do Azure estará, em seguida, disponível para atribuição nesse grupo de gestão e em qualquer grupo de gestão, subscrição, grupo de recursos ou recurso no mesmo. A função personalizada herdará a hierarquia como qualquer função incorporada. Para obter informações sobre as limitações com funções personalizadas e grupos de gestão, veja Limitações.
Definição de exemplo
Definir e criar uma função personalizada não muda com a inclusão de grupos de gestão. Utilize o caminho completo para definir o grupo de gestão /providers/Microsoft.Management/managementgroups/{groupId}.
Utilize o ID do grupo de gestão e não o nome a apresentar do grupo de gestão. Este erro comum ocorre porque ambos são campos definidos por medida ao criar um grupo de gestão.
...
{
"Name": "MG Test Custom Role",
"Id": "id",
"IsCustom": true,
"Description": "This role provides members understand custom roles.",
"Actions": [
"Microsoft.Management/managementgroups/delete",
"Microsoft.Management/managementgroups/read",
"Microsoft.Management/managementgroup/write",
"Microsoft.Management/managementgroup/subscriptions/delete",
"Microsoft.Management/managementgroup/subscriptions/write",
"Microsoft.resources/subscriptions/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.PolicyInsights/*",
"Microsoft.Authorization/roleAssignments/*",
"Microsoft.Authorization/roledefinitions/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/providers/microsoft.management/managementGroups/ContosoCorporate"
]
}
...
Problemas ao interromper a definição de função e o caminho da hierarquia de atribuição
As definições de função são um âmbito atribuível em qualquer parte da hierarquia do grupo de gestão. Uma definição de função pode ser definida num grupo de gestão principal enquanto a atribuição de função real existe na subscrição subordinada. Uma vez que existe uma relação entre os dois itens, receberá um erro ao tentar separar a atribuição da respetiva definição.
Por exemplo, vamos ver uma pequena secção de uma hierarquia para obter um elemento visual.
O diagrama foca-se no grupo de gestão de raiz com zonas de destino subordinadas e grupos de gestão do Sandbox. O grupo de gestão zonas de destino tem dois grupos de gestão subordinados denominados Corp e Online, enquanto o grupo de gestão sandbox tem duas subscrições subordinadas.
Imaginemos que existe uma função personalizada definida no grupo de gestão do Sandbox. Essa função personalizada é então atribuída nas duas subscrições do Sandbox.
Se tentarmos mover uma dessas subscrições para ser um subordinado do grupo de gestão Corp, esta mudança quebrará o caminho da atribuição da função de subscrição para a definição da função de grupo de gestão do Sandbox. Neste cenário, receberá um erro a indicar que a movimentação não é permitida, uma vez que irá interromper esta relação.
Existem algumas opções diferentes para corrigir este cenário:
- Remova a atribuição de função da subscrição antes de mover a subscrição para um novo MG principal.
- Adicione a subscrição ao âmbito atribuível da definição de função.
- Altere o âmbito atribuível na definição de função. No exemplo acima, pode atualizar os âmbitos atribuíveis do Sandbox para o grupo de gestão de raiz para que a definição possa ser alcançada por ambos os ramos da hierarquia.
- Crie outra função personalizada definida no outro ramo. Esta nova função requer que a atribuição de função também seja alterada na subscrição.
Limitações
Existem limitações ao utilizar funções personalizadas em grupos de gestão.
- Só pode definir um grupo de gestão nos âmbitos atribuíveis de uma nova função. Esta limitação está em vigor para reduzir o número de situações em que as definições de função e as atribuições de funções estão desligadas. Esta situação ocorre quando uma subscrição ou grupo de gestão com uma atribuição de função muda para um elemento principal diferente que não tem a definição de função.
- As ações do plano de dados do fornecedor de recursos não podem ser definidas em funções personalizadas do grupo de gestão. Esta restrição está em vigor porque existe um problema de latência com a atualização dos fornecedores de recursos do plano de dados. Este problema de latência está a ser trabalhado e estas ações serão desativadas da definição de função para reduzir quaisquer riscos.
- O Azure Resource Manager não valida a existência do grupo de gestão no âmbito atribuível da definição de função. Se existir um erro de digitação ou um ID de grupo de gestão incorreto listado, a definição de função ainda é criada.
Mover grupos de gestão e subscrições
Para mover um grupo de gestão ou subscrição para ser um subordinado de outro grupo de gestão, três regras têm de ser avaliadas como verdadeiras.
Se estiver a fazer a ação de movimentação, precisa de:
- Permissões de escrita de atribuição de funções e escrita de grupos de gestão no grupo de gestão ou subscrição subordinado.
- Exemplo de função incorporada: Proprietário
- Acesso de escrita do grupo de gestão no grupo de gestão principal de destino.
- Exemplo de função incorporada: Proprietário, Contribuidor, Contribuidor do Grupo de Gestão
- Acesso de escrita do grupo de gestão no grupo de gestão principal existente.
- Exemplo de função incorporada: Proprietário, Contribuidor, Contribuidor do Grupo de Gestão
Exceção: se o destino ou o grupo de gestão principal existente for o grupo de gestão de raiz, os requisitos de permissões não se aplicam. Uma vez que o grupo de gestão de raiz é o ponto de destino predefinido para todos os novos grupos de gestão e subscrições, não precisa de permissões para mover um item.
Se a função Proprietário na subscrição for herdada do grupo de gestão atual, os destinos de movimentação serão limitados. Só pode mover a subscrição para outro grupo de gestão onde tenha a função Proprietário . Não pode movê-lo para um grupo de gestão onde é Contribuidor porque perderia a propriedade da subscrição. Se estiver diretamente atribuído à função Proprietário da subscrição (não herdada do grupo de gestão), pode movê-la para qualquer grupo de gestão onde lhe seja atribuída a função Contribuidor .
Importante
O Azure Resource Manager coloca em cache os detalhes da hierarquia do grupo de gestão durante um máximo de 30 minutos. Como resultado, mover um grupo de gestão pode não ser refletido imediatamente no portal do Azure.
Auditar os grupos de gestão que utilizam registos de atividades
Os grupos de gestão são suportados no Registo de Atividades do Azure. Pode procurar todos os eventos que acontecem a um grupo de gestão na mesma localização central de outros recursos do Azure. Por exemplo, pode ver todas as atribuições de funções ou alterações de atribuição de política efetuadas a um determinado grupo de gestão.
Ao procurar consultar grupos de gestão fora do portal do Azure, o âmbito de destino para grupos de gestão é semelhante a "/providers/Microsoft.Management/managementGroups/{management-group-id}".
Nota
Com a API REST do Azure Resource Manager, pode ativar as definições de diagnóstico num grupo de gestão para enviar entradas de registo de Atividades do Azure relacionadas para uma área de trabalho do Log Analytics, o Armazenamento do Azure ou o Hub de Eventos do Azure. Para obter mais informações, veja Definições de Diagnóstico do Grupo de Gestão – Criar ou Atualizar.
Passos seguintes
Para saber mais sobre os grupos de gestão, veja: