Gerenciar suas assinaturas do Azure em escala com grupos de gerenciamento

Se sua organização tiver muitas assinaturas, talvez seja necessária uma maneira de gerenciar com eficiência o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gerenciamento do Azure fornecem um nível de escopo acima das assinaturas. Você organiza assinaturas em contêineres chamados "grupos de gerenciamento" e aplica as condições de governança aos grupos de gerenciamento. Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as condições aplicadas ao grupo de gerenciamento.

Os grupos de gerenciamento fornecem gerenciamento de nível empresarial em larga escala, independentemente do tipo de assinaturas que você possa ter. Para saber mais sobre grupos de gerenciamento, consulte organizar seus recursos com grupos de gerenciamento do Azure.

Observação

Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Para obter informações gerais sobre o GDPR, confira a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do Portal de Confiança do Serviço.

Importante

Os tokens de usuário e o cache do grupo de gerenciamento do Azure Resource Manager duram 30 minutos antes que a atualização deles seja forçada. Depois da realização de qualquer ação, como mover um grupo de gerenciamento ou uma assinatura, pode levar até 30 minutos para que ela entre em vigor. Para ver as atualizações mais cedo, você precisa atualizar seu token atualizando o navegador, entrando e saindo ou solicitando um novo token.

Importante

Os cmdlets do Az PowerShell relacionados ao AzManagementGroup mencionam que -GroupId é um alias do parâmetro -GroupName para que possamos usar qualquer um deles para fornecer a ID do Grupo de Gerenciamento como um valor de cadeia de caracteres.

Alterar o nome de um grupo de gerenciamento

Você pode alterar o nome do grupo de gerenciamento usando o portal, o PowerShell ou a CLI do Azure.

Alterar o nome no portal

1. Faça logon no Portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. Selecione o grupo de gerenciamento que gostaria de renomear.

4. Selecione os detalhes.

5. Selecione a opção Renomear grupo na parte superior da página.

   

6. Quando o menu for aberto, digite o novo nome que gostaria de exibir.

   

7. Clique em Salvar.

Alterar o nome no PowerShell

Para atualizar o nome de exibição, use Update-AzManagementGroup. Por exemplo, para alterar um nome de exibição dos grupos de gerenciamento de "Contoso IT" para "Contoso Group", execute o seguinte comando:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Alterar o nome na CLI do Azure

Para a CLI do Azure, use o comando de atualização.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Excluir um grupo de gerenciamento

Para a exclusão de um grupo de gerenciamento, os seguintes requisitos deverão ser atendidos:

1. Não existem grupos de gerenciamento filhos ou assinaturas no grupo de gerenciamento. Para mover uma assinatura ou um grupo de gerenciamento para outro, confira Mover grupos de gerenciamento e assinaturas na hierarquia.

2. Você precisa de permissões de gravação no grupo de gerenciamento ("Proprietário", ou "Colaborador" ou "Colaborador do Grupo de Gerenciamento"). Para ver quais permissões você tem, selecione o grupo de gerenciamento e, em seguida, selecione IAM. Para saber mais sobre as funções do Azure, confira o controle de acesso baseado em função do Azure (RBAC do Azure).

Excluir no portal

1. Faça logon no Portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. Selecione o grupo de gerenciamento que gostaria de excluir.

4. Selecione os detalhes.

5. Selecione Excluir

   

   Dica

   Se o ícone estiver desativado, passar o seletor de mouse sobre o ícone mostrará o motivo.

6. Há uma janela que abre confirmando que deseja excluir o grupo de gerenciamento.

   

7. Selecione Sim na barra superior.

Excluir no PowerShell

Use o comando Remove-AzManagementGroup dentro do PowerShell para excluir grupos de gerenciamento.

Remove-AzManagementGroup -GroupId 'Contoso'

Exclusão na CLI do Azure

Com a CLI do Azure, use o comando az account management-group delete.

az account management-group delete --name 'Contoso'

Exibir grupos de gerenciamento

É possível exibir qualquer grupo de gerenciamento no qual você tem uma função do Azure direta ou herdada.

Exibir no portal

1. Faça logon no Portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. A página de hierarquia do grupo de gerenciamento será carregada. É nessa página que você pode explorar todos os grupos de gerenciamento e assinaturas aos quais você tem acesso. Selecionar o nome do grupo leva você a um nível inferior da hierarquia. A navegação funciona da mesma forma que um explorador de arquivos.

4. Para ver os detalhes do grupo de gerenciamento, selecione o link (detalhes) ao lado do título do grupo de gerenciamento. Se esse link não estiver disponível, você não tem permissões para exibir esse grupo de gerenciamento.

   

Exibir no PowerShell

Você pode usar o comando Get-AzManagementGroup para recuperar todos os grupos. Confira os módulos AZ.Resources para obter a lista completa de comandos GET do PowerShell do grupo de gerenciamento.

Get-AzManagementGroup

Para obter informações de um único grupo de gerenciamento, use o parâmetro -GroupId

Get-AzManagementGroup -GroupId 'Contoso'

Para retornar um grupo de gerenciamento específico e todos os níveis da hierarquia abaixo dele, use os parâmetros -Expand e -Recurse.

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Exibir na CLI do Azure

Você pode usar o comando list para recuperar todos os grupos.

az account management-group list

Para obter informações de um único grupo de gerenciamento, use o comando show

az account management-group show --name 'Contoso'

Para retornar um grupo de gerenciamento específico e todos os níveis da hierarquia abaixo dele, use os parâmetros -Expand e -Recurse.

az account management-group show --name 'Contoso' -e -r

Como mover grupos de gerenciamento e assinaturas

Um motivo para criar um grupo de gerenciamento é agrupar assinaturas. Somente grupos de gerenciamento e assinaturas podem ser tornados filhos de outro grupo de gerenciamento. Uma assinatura movida para um grupo de gerenciamento herda todos os acessos e políticas de usuário do grupo de gerenciamento pai

Ao mover um grupo de gerenciamento ou uma assinatura para ser um filho de outro grupo de gerenciamento, três regras precisam ser avaliadas como verdadeiras.

Se você estiver fazendo a ação Mover, você precisará de permissão em cada uma das seguintes camadas:

• Assinatura filho / grupo de gerenciamento
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (somente para Assinaturas)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Grupo de gerenciamento pai de destino
  • Microsoft.management/managementgroups/write
• Grupo de gerenciamento pai atual
  • Microsoft.management/managementgroups/write

Exceção: se o grupo de gerenciamento pai existente ou alvo for o grupo de gerenciamento raiz, os requisitos de permissões não se aplicarão. Como o grupo de gerenciamento raiz é o ponto de aterrissagem padrão para todos os novos grupos de gerenciamento e assinaturas, não é preciso ter permissões para mover um item.

Se a função de proprietário na assinatura for herdada do grupo de gerenciamento atual, seus destinos de movimentação serão limitados. Você só pode mover a assinatura para outro grupo de gerenciamento no qual você tem a função de Proprietário. Não é possível mover a assinatura para um grupo de gerenciamento em que você é apenas um colaborador, pois você perderia a propriedade da assinatura. Se você estiver diretamente atribuído à função de Proprietário da assinatura, poderá movê-la para qualquer grupo de gerenciamento no qual você seja um colaborador.

Para ver quais permissões você tem no portal do Azure, selecione o grupo de gerenciamento e, em seguida, selecione IAM. Para saber mais sobre as funções do Azure, confira o controle de acesso baseado em função do Azure (RBAC do Azure).

Mover assinaturas

Adicionar uma assinatura existente a um grupo de gerenciamento no portal

1. Faça logon no Portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. Selecione o grupo de gerenciamento o qual planeja que seja o pai.

4. Na parte superior da página, selecione Adicionar assinatura.

5. Selecione a assinatura na lista com a ID correta.

   

6. Selecione "Salvar".

Remover uma assinatura de um grupo de gerenciamento no portal

1. Faça logon no Portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. Selecione o grupo de gerenciamento que você está planejando que é o pai atual.

4. Selecione a elipse no final da linha da assinatura na lista que você deseja mover.

   

5. Selecione Mover.

6. No menu aberto, selecione o Grupo de gerenciamento pai.

   

7. Clique em Salvar.

Mover assinaturas no PowerShell

Para mover uma assinatura no PowerShell, use o comando New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Para remover o link entre a assinatura e o grupo de gerenciamento, use o comando Remove-AzManagementGroupSubscription.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Mover assinaturas na CLI do Azure

Para mover uma assinatura na CLI, use o comando add.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Para remover a assinatura do grupo de gerenciamento, use o comando subscription remove.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Mover assinaturas no modelo do ARM

Para mover uma assinatura em um modelo do Azure Resource Manager (modelo do ARM), use o modelo a seguir e implante-o no nível do locatário.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Também é possível usar o arquivo Bicep a seguir.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Mover grupos de gerenciamento

Mover grupos de gerenciamento no portal

1. Faça logon no Portal do Azure.

2. Selecione Todos os serviços>Grupos de gerenciamento.

3. Selecione o grupo de gerenciamento o qual planeja que seja o pai.

4. Na parte superior da página, selecione Adicionar grupo de gerenciamento.

5. No menu que será aberto, selecione se deseja usar um grupo de gerenciamento novo ou existente.

   • A seleção de um novo criará um novo grupo de gerenciamento.
   • A seleção de um existente apresentará uma lista suspensa de todos os grupos de gerenciamento que você pode mover para esse grupo de gerenciamento.

   

6. Clique em Salvar.

Mover grupos de gerenciamento no PowerShell

Use o comando Update-AzManagementGroup no PowerShell para mover um grupo de gerenciamento em um grupo diferente.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Mover grupos de gerenciamento na CLI do Azure

Use o comando update para mover um grupo de gerenciamento com a CLI do Azure.

az account management-group update --name 'Contoso' --parent ContosoIT

Auditar grupos de gerenciamento usando logs de atividades

Os grupos de gerenciamento são compatíveis com o Log de atividades do Azure. Você pode pesquisar todos os eventos que ocorrem para um grupo de gerenciamento no mesmo local central que os outros recursos do Azure. Por exemplo, você pode ver todas as alterações de atribuições de função ou de política feitas em um grupo de gerenciamento específico.

Ao analisar a consulta em grupos de gerenciamento fora do portal do Azure, o escopo de destino dos grupos de gerenciamento é semelhante a "/providers/Microsoft.Management/managementGroups/{yourMgID}" .

Fazer referência a grupos de gerenciamento de outros provedores de recursos

Ao fazer referência a grupos de gerenciamento de ações de outros provedores de recursos, use o caminho a seguir como escopo. Esse caminho é utilizado ao usar PowerShell, CLI do Azure e APIs REST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Um exemplo de como usar esse caminho é ao atribuir uma nova função a um grupo de gerenciamento no PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

O mesmo caminho de escopo é usado ao recuperar uma definição de política em um grupo de gerenciamento.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Próximas etapas

Para saber mais sobre grupos de gerenciamento, consulte:

• Criar grupos de gerenciamento para organizar recursos do Azure
• Como alterar, excluir ou gerenciar seus grupos de gerenciamento
• Analisar grupos de gerenciamento no Módulo de Recursos do Azure PowerShell
• Revisar grupos de gerenciamento na API REST
• Revisar grupos de gerenciamento na CLI do Azure