Gerenciar suas assinaturas do Azure em escala com grupos de gerenciamento

Se a organização tiver muitas assinaturas, talvez você precise de uma forma de gerenciar o acesso, as políticas e a conformidade com eficiência para essas assinaturas. Os grupos de gerenciamento do Azure fornecem um nível de escopo acima das assinaturas. Você organiza as assinaturas em contêineres chamados grupos de gerenciamento e aplica suas condições de governança a esses grupos. Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as condições aplicadas ao grupo de gerenciamento.

Os grupos de gerenciamento oferecem gerenciamento de nível empresarial em grande escala, independentemente do tipo de assinatura que você tenha. Para saber mais sobre grupos de gerenciamento, consulte organizar seus recursos com grupos de gerenciamento do Azure.

Observação

Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Para obter informações gerais sobre o GDPR, confira a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do Portal de Confiança do Serviço.

Importante

Os tokens de usuário do Azure Resource Manager e o cache do grupo de gerenciamento duram 30 minutos antes de serem forçados a atualizar. Qualquer ação, como mover um grupo de gerenciamento ou assinatura, pode levar até 30 minutos para aparecer. Para ver as atualizações mais cedo, você precisa atualizar seu token atualizando o navegador, entrando e saindo ou solicitando um novo token.

Para as ações do Azure PowerShell neste artigo, lembre-se de que os cmdlets relacionados ao AzManagementGroup mencionam que -GroupId é um alias do parâmetro -GroupName. Você pode usar qualquer um deles para fornecer a ID do grupo de gerenciamento como um valor de cadeia de caracteres.

Alterar o nome de um grupo de gerenciamento

Você pode alterar o nome do grupo de gerenciamento usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Alterar o nome no portal

1. Entre no portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. Selecione o grupo de gerenciamento que você deseja renomear.

4. Selecione os detalhes.

5. Selecione a opção Renomear grupo na parte superior do painel.

   

6. No painel Renomear Grupo, insira o novo nome que você deseja exibir.

   

7. Selecione Salvar.

Alterar o nome no Azure PowerShell

Para atualizar o nome de exibição, use Update-AzManagementGroup no Azure PowerShell. Por exemplo, para alterar o nome de exibição de um grupo de gerenciamento de TI da Contoso para Grupo da Contoso, execute o seguinte comando:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Alterar o nome na CLI do Azure

Para a CLI do Azure, use o comando update:

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Excluir um grupo de gerenciamento

Para excluir um grupo de gerenciamento, você deve atender aos seguintes requisitos:

• Não existem grupos de gerenciamento filhos ou assinaturas no grupo de gerenciamento. Para mover uma assinatura ou grupo de gerenciamento para outro grupo de gerenciamento, consulte Mover grupos de gerenciamento e assinaturas mais adiante neste artigo.

• Você precisa de permissões de gravação no grupo de gerenciamento (Proprietário, Colaborador ou Colaborador do Grupo de Gerenciamento). Para ver quais permissões você tem, selecione o grupo de gerenciamento e, em seguida, selecione IAM. Para saber mais sobre as funções do Azure, confira O que é o RBAC (controle de acesso baseado em função) do Azure? .

Excluir um grupo de gerenciamento no portal

1. Entre no portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. Selecione o grupo de gerenciamento que você deseja excluir.

4. Selecione os detalhes.

5. Selecione Excluir.

   

   Dica

   Se o botão Excluir não estiver disponível, passar o mouse sobre o botão mostrará o motivo.

6. Uma caixa de diálogo é aberta e solicita que você confirme que deseja excluir o grupo de gerenciamento.

   

7. Selecione Sim.

Excluir um grupo de gerenciamento no Azure PowerShell

Para excluir um grupo de gerenciamento, use o comando Remove-AzManagementGroup no Azure PowerShell:

Remove-AzManagementGroup -GroupId 'Contoso'

Excluir um grupo de gerenciamento na CLI do Azure

Com a CLI do Azure, use o comando az account management-group delete:

az account management-group delete --name 'Contoso'

Exibir grupos de gerenciamento

Você pode exibir qualquer grupo de gerenciamento se tiver uma função direta ou herdada do Azure nele.

Exibir grupos de gerenciamento no portal

1. Entre no portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. A página da hierarquia do grupo de gerenciamento é exibida. Nesta página, você pode explorar todos os grupos de gerenciamento e assinaturas aos quais você tem acesso. Selecionar o nome do grupo leva você a um nível inferior da hierarquia. A navegação funciona da mesma forma que um explorador de arquivos.

4. Para ver os detalhes do grupo de gerenciamento, selecione o link (detalhes) ao lado do título do grupo de gerenciamento. Se esse link não estiver disponível, você não tem permissões para exibir esse grupo de gerenciamento.

   

Exibir grupos de gerenciamento no Azure PowerShell

Use o comando Get-AzManagementGroup para recuperar todos os grupos. Para obter a lista completa de comandos GET do PowerShell para grupos de gerenciamento, consulte os módulos Az.Resources.

Get-AzManagementGroup

Para obter informações de um único grupo de gerenciamento, use o parâmetro -GroupId:

Get-AzManagementGroup -GroupId 'Contoso'

Para retornar um grupo de gerenciamento específico e todos os níveis da hierarquia abaixo dele, use os parâmetros -Expand e -Recurse:

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Exibir grupos de gerenciamento na CLI do Azure

Use o comando list para recuperar todos os grupos:

az account management-group list

Para obter informações de um único grupo de gerenciamento, use o comando show:

az account management-group show --name 'Contoso'

Para retornar um grupo de gerenciamento específico e todos os níveis da hierarquia abaixo dele, use os parâmetros -Expand e -Recurse:

az account management-group show --name 'Contoso' -e -r

Mover grupos de gerenciamento e assinaturas

Um motivo para criar um grupo de gerenciamento é agrupar assinaturas. Somente grupos de gerenciamento e assinaturas podem se tornar filhos de outro grupo de gerenciamento. Uma assinatura movida para um grupo de gerenciamento herda todos os acessos de usuário e políticas do grupo de gerenciamento pai.

Você pode mover assinaturas entre grupos de gerenciamento. Uma assinatura pode ter apenas um grupo de gerenciamento pai.

Quando você move um grupo de gerenciamento ou assinatura para ser filho de outro grupo de gerenciamento, três regras precisam ser avaliadas como verdadeiras.

Se você estiver fazendo a ação Mover, você precisará de permissão em cada uma das seguintes camadas:

• Assinatura filho ou grupo de gerenciamento
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (apenas para assinaturas)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Grupo de gerenciamento pai de destino
  • Microsoft.management/managementgroups/write
• Grupo de gerenciamento pai atual
  • Microsoft.management/managementgroups/write

Há uma exceção: se o destino ou o grupo de gerenciamento pai existente for o grupo de gerenciamento raiz, os requisitos de permissão não se aplicarão. Como o grupo de gerenciamento raiz é o local de destino padrão para todos os novos grupos de gerenciamento e assinaturas, você não precisa de permissões nele para mover um item.

Se a função Proprietário na assinatura for herdada do grupo de gerenciamento atual, seus destinos de movimentação serão limitados. Você pode mover a assinatura apenas para outro grupo de gerenciamento em que tenha a função Proprietário. Você não pode mover a assinatura para um grupo de gerenciamento em que você é apenas um Colaborador porque perderia a propriedade da assinatura. Se você estiver diretamente atribuído à função Proprietário da assinatura, poderá movê-la para qualquer grupo de gerenciamento em que tenha a função Colaborador.

Para ver quais permissões você tem no portal do Azure, selecione o grupo de gerenciamento e, em seguida, selecione IAM. Para saber mais sobre as funções do Azure, confira O que é o RBAC (controle de acesso baseado em função) do Azure? .

Adicionar uma assinatura existente a um grupo de gerenciamento no portal

1. Entre no portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. Selecione o grupo de gerenciamento que você deseja que seja o pai.

4. Na parte superior da página, selecione Adicionar assinatura.

5. Selecione a assinatura na lista com a ID correta.

   

6. Selecione Salvar.

Remover uma assinatura de um grupo de gerenciamento no portal

1. Entre no portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. Selecione o grupo de gerenciamento que é o pai atual.

4. Selecione as reticências (...) no final da linha da assinatura na lista que você deseja mover.

   

5. Selecione Mover.

6. No painel Mover, selecione o valor para Nova ID do grupo de gerenciamento pai.

   

7. Selecione Salvar.

Mover uma assinatura no Azure PowerShell

Para mover uma assinatura no PowerShell, use o comando New-AzManagementGroupSubscription:

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Para remover o link entre a assinatura e o grupo de gerenciamento, use o comando Remove-AzManagementGroupSubscription:

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Mover uma assinatura na CLI do Azure

Para mover uma assinatura na CLI do Azure, use o comando add:

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Para remover a assinatura do grupo de gerenciamento, use o comando subscription remove:

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Mover uma assinatura em um modelo do ARM

Para mover uma assinatura em um modelo do ARM (modelo do Azure Resource Manager), use o modelo a seguir e implante-o no nível do locatário:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Ou use o seguinte arquivo Bicep:

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Mover um grupo de gerenciamento no portal

1. Entre no portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. Selecione o grupo de gerenciamento que você deseja que seja o pai.

4. Na parte superior da página, selecione Adicionar grupo de gerenciamento.

5. No painel Adicionar grupo de gerenciamento, escolha se deseja usar um grupo de gerenciamento novo ou existente:

   • Selecionar Criar novo cria um novo grupo de gerenciamento.
   • Selecionar Usar existente apresenta uma lista suspensa de todos os grupos de gerenciamento que você pode mover para esse grupo de gerenciamento.

   

6. Selecione Salvar.

Mover um grupo de gerenciamento no Azure PowerShell

Para mover um grupo de gerenciamento para um grupo diferente, use o comando Update-AzManagementGroup no Azure PowerShell:

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Mover um grupo de gerenciamento na CLI do Azure

Para mover um grupo de gerenciamento na CLI do Azure, use o comando update:

az account management-group update --name 'Contoso' --parent ContosoIT

Auditar grupos de gerenciamento usando logs de atividades

Há suporte para grupos de gerenciamento em logs de atividades do Azure Monitor. Você pode pesquisar todos os eventos que ocorrem para um grupo de gerenciamento no mesmo local central que os outros recursos do Azure. Por exemplo, você pode ver todas as alterações de atribuições de função ou de política feitas em um grupo de gerenciamento específico.

Quando você deseja consultar grupos de gerenciamento fora do portal do Azure, o escopo de destino para grupos de gerenciamento é semelhante a "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Grupos de gerenciamento de referência de outros provedores de recursos

Quando você estiver referenciando grupos de gerenciamento de ações de outro provedor de recursos, use o caminho a seguir como o escopo. Esse caminho se aplica quando você está usando o Azure PowerShell, a CLI do Azure e as APIs REST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Um exemplo de como usar esse caminho é quando você está atribuindo uma nova função a um grupo de gerenciamento no Azure PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Use o mesmo caminho de escopo para recuperar uma definição de política para um grupo de gerenciamento:

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Conteúdo relacionado

Para saber mais sobre grupos de gerenciamento, consulte:

• Criar grupos de gerenciamento para organizar recursos do Azure
• Examine os grupos de gerenciamento no módulo Az.Resources do Azure PowerShell
• Examine os grupos de gerenciamento na API REST
• Examine os grupos de gerenciamento na CLI do Azure