Grupos de gerenciamento
Os grupos de gerenciamento são essenciais para organizar e controlar suas assinaturas do Azure. À medida que o número de suas assinaturas aumenta, os grupos de gerenciamento fornecem estrutura crítica ao seu ambiente do Azure e facilitam o gerenciamento de suas assinaturas. Use as diretrizes a seguir para estabelecer uma hierarquia de grupo de gerenciamento eficaz e organizar suas assinaturas de acordo com as práticas recomendadas.
Considerações de design do grupo de gerenciamento
As estruturas de grupo de gerenciamento em um locatário do Microsoft Entra oferecem suporte ao mapeamento organizacional. Considere a estrutura do grupo de gerenciamento completamente à medida que sua organização planeja sua adoção do Azure em escala.
Como a sua organização separará os serviços pertencentes ou operados por equipes específicas?
Há funções específicas que precisam ser mantidas separadas por motivos de conformidade comercial ou operacional?
Você pode usar os grupos de gerenciamento para agregar atribuições de política e iniciativa por meio do Azure Policy.
Uma árvore de grupos de gerenciamento pode dar suporte a até seis níveis de profundidade. Esse limite não inclui o nível raiz do locatário nem o nível de assinatura.
Qualquer entidade de segurança, seja uma entidade de usuário ou de serviço, dentro de um locatário do Microsoft Entra pode criar novos grupos de gerenciamento. Essa permissão ocorre porque a autorização do RBAC (controle de acesso baseado em função) do Azure para operações do grupo de gerenciamento não é habilitada por padrão. Para obter mais informações, consulte Como proteger sua hierarquia de recursos
Todas as novas assinaturas serão colocadas no grupo de gerenciamento raiz do locatário por padrão.
Consulte grupos de gerenciamento para explorar seus recursos mais detalhadamente.
Recomendações do grupo de gerenciamento
Mantenha a hierarquia do grupo de gerenciamento razoavelmente simples, o ideal é ter no máximo de três a quatro níveis. Essa restrição reduz a sobrecarga e a complexidade do gerenciamento.
Evite duplicar sua estrutura organizacional em uma hierarquia de grupos de gerenciamento profundamente aninhada. Use grupos de gerenciamento para atribuição de política versus fins de cobrança. Essa abordagem exige o uso de grupos de gerenciamento para a finalidade pretendida na arquitetura conceitual da zona de aterrissagem do Azure. Essa arquitetura fornece políticas do Azure para cargas de trabalho que exigem o mesmo tipo de segurança e conformidade no mesmo nível de grupo de gerenciamento.
Crie grupos de gerenciamento em seu grupo de gerenciamento de nível raiz para representar os tipos de cargas de trabalho que você hospedará. Esses grupos se baseiam nas necessidades de segurança, conformidade, conectividade e recursos das cargas de trabalho. Com essa estrutura de agrupamento, você pode ter um conjunto de políticas do Azure aplicadas no nível do grupo de gerenciamento. Essa estrutura de agrupamento é para todas as cargas de trabalho que exigem as mesmas configurações de segurança, conformidade, conectividade e recursos.
Use marcas de recursos para consultar e navegar horizontalmente pela hierarquia do grupo de gerenciamento. As marcas de recursos podem ser impostas ou anexadas por meio Azure Policy. Em seguida, agrupe os recursos para as necessidades de pesquisa sem precisar usar uma hierarquia complexa de grupos de gerenciamento.
Crie um grupo de gerenciamento de área restrita de nível superior para que os usuários possam experimentar o Azure imediatamente. Dessa forma, eles poderão experimentar recursos que talvez ainda não sejam permitidos em ambientes de produção. A área restrita fornece isolamento dos ambientes de desenvolvimento, teste e produção.
Crie um grupo de gerenciamento de plataforma no grupo de gerenciamento raiz para dar suporte à política de plataforma comum e à atribuição de função do Azure. Essa estrutura de agrupamento garante que políticas diferentes possam ser aplicadas às assinaturas usadas para sua base do Azure. Ela também garante que a cobrança de recursos comuns seja centralizada em um conjunto de assinaturas básicas.
Limite o número de atribuições do Azure Policy feitas no escopo do grupo de gerenciamento raiz. Essa limitação minimiza a depuração de políticas herdadas em grupos de gerenciamento de nível inferior.
Use políticas para impor requisitos de conformidade no grupo de gerenciamento ou no escopo da assinatura para alcançar a governança orientada por políticas.
Verifique se apenas usuários privilegiados podem operar grupos de gerenciamento no locatário. Habilite a autorização do Azure RBAC nas configurações de hierarquia para refinar os privilégios do usuário. Por padrão, todos os usuários estão autorizados a criar seus próprios grupos de gerenciamento no grupo de gerenciamento raiz.
Configure um grupo de gerenciamento dedicado padrão para novas assinaturas. Esse grupo garante que nenhuma assinatura seja colocada sob o grupo de gerenciamento raiz. Esse grupo é especialmente importante se houver usuários qualificados para benefícios e assinaturas do MSDN (Microsoft Developer Network) ou do Visual Studio. Um bom candidato para esse tipo de grupo de gerenciamento é um grupo de gerenciamento de área restrita. Para obter mais informações, consulte Configuração – grupo de gerenciamento padrão.
Não crie grupos de gerenciamento para ambientes de produção, teste e desenvolvimento. Se necessário, separe esses grupos em assinaturas diferentes no mesmo grupo de gerenciamento. Para revisar mais diretrizes sobre esse tópico, consulte:
Grupos de gerenciamento no acelerador de zona de aterrissagem do Azure e no repositório ALZ-Bicep
As decisões a seguir foram tomadas e incluídas na implementação da estrutura do grupo de gerenciamento. Essas decisões fazem parte do acelerador de zona de aterrissagem do Azure e do módulo de grupos de gerenciamento do repositório ALZ-Bicep.
Observação
A hierarquia do grupo de gerenciamento pode ser modificada no módulo bicep da zona de aterrissagem do Azure editando managementGroups.bicep.
| Grupo de gerenciamento | Descrição |
|---|---|
| Grupo de gerenciamento de raiz intermediária | Esse grupo de gerenciamento está localizado diretamente sob o grupo raiz do locatário. Criado com um prefixo fornecido pela organização, que evita propositadamente o uso do grupo raiz para que as organizações possam mover as assinaturas do Azure existentes para a hierarquia. Ele também permite cenários futuros. Esse é um grupo de gerenciamento pai para todos os outros grupos de gerenciamento criados pelo acelerador de zona de destino do Azure. |
| Plataforma | Esse grupo de gerenciamento contém todos os grupos de gerenciamento filho da plataforma, como gerenciamento, conectividade e identidade. |
| Gerenciamento | Esse grupo de gerenciamento contém uma assinatura dedicada para gerenciamento, monitoramento e segurança. Esta assinatura hospedará um workspace do Log Analytics, incluindo soluções associadas e uma conta de Automação do Azure. |
| Conectividade | Esse grupo de gerenciamento contém uma assinatura dedicada para conectividade. Essa assinatura hospedará os recursos de rede do Azure necessários para a plataforma, como WAN Virtual do Azure, Firewall do Azure e zonas privadas do DNS do Azure. |
| Identidade | Este grupo de gerenciamento contém uma assinatura dedicada para identidade. Essa assinatura é um espaço reservado para máquinas virtuais (VMs) dos Serviços de Domínio Active Directory (AD DS) do Windows Server ou Serviços de Domínio Microsoft Entra. A assinatura também habilita AuthN ou AuthZ para cargas de trabalho nas zonas de destino. Políticas específicas do Azure são atribuídas para proteger e gerenciar os recursos na assinatura de identidade. |
| Zonas de destino | O grupo de gerenciamento pai para todos os grupos de gerenciamento filho da zona de destino. Ele terá políticas do Azure independentes de carga de trabalho atribuídas para garantir que as cargas de trabalho sejam seguras e em conformidade. |
| Online | O grupo de gerenciamento dedicado para zonas de destino online. Esse grupo é para cargas de trabalho que podem exigir conectividade de entrada/saída direta da Internet ou para cargas de trabalho que podem não exigir uma rede virtual. |
| Corp | O grupo de gerenciamento dedicado para zonas de destino corporativas. Esse grupo é para cargas de trabalho que exigem conectividade ou conectividade híbrida com a rede corporativa por meio do hub na assinatura de conectividade. |
| Sandboxes | O grupo de gerenciamento dedicado para assinaturas que serão usadas apenas para teste e exploração por uma organização. Essas assinaturas serão desconectadas com segurança das zonas de destino corporativas e online. As áreas restritas também têm um conjunto menos restritivo de políticas atribuídas para habilitar o teste, a exploração e a configuração dos serviços do Azure. |
| Descomissionado | O grupo de gerenciamento dedicado para zonas de destino que estão sendo canceladas. As zonas de destino canceladas serão movidas para este grupo de gerenciamento antes da exclusão pelo Azure após 30 a 60 dias. |
Observação
Para muitas organizações, os grupos de gerenciamento Corp e Online padrão fornecem um ponto de partida ideal.
Algumas organizações precisam adicionar mais, enquanto outras acharão que eles não são relevantes para a organização.
Se você estiver considerando fazer alterações na hierarquia do Grupo de Gerenciamento, veja nossas diretrizes Personalizar a arquitetura da zona de destino do Azure para atender aos requisitos.
Permissões para o acelerador de zona de destino do Azure
Exige um SPN (nome da entidade de serviço) dedicado para executar operações de grupo de gerenciamento, operações de gerenciamento de assinatura e atribuição de função. O uso de um SPN reduz o número de usuários com direitos elevados e segue as diretrizes de privilégios mínimos.
Exige a função Administrador de Acesso de Usuário no escopo do grupo de gerenciamento raiz para conceder acesso ao SPN no nível raiz. Depois que o SPN recebe permissões, a função Administrador de Acesso do Usuário pode ser removida com segurança. Dessa forma, somente o SPN faz parte da função Administrador de Acesso do Usuário.
Exige a função Colaborador para o SPN mencionado anteriormente no escopo do grupo de gerenciamento raiz, que permite operações em nível de locatário. Esse nível de permissão garante que o SPN possa ser usado para implantar e gerenciar recursos para qualquer assinatura na sua organização.
Próximas etapas
Saiba mais sobre a função que as assinaturas desempenham ao planejar uma adoção do Azure em grande escala.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de