Grupos de gestão
Os grupos de gerenciamento são essenciais para organizar e controlar suas assinaturas do Azure. À medida que o número de suas assinaturas aumenta, os grupos de gerenciamento fornecem estrutura crítica para seu ambiente do Azure e facilitam o gerenciamento de suas assinaturas. Use as diretrizes a seguir para estabelecer uma hierarquia de grupo de gerenciamento eficaz e organizar suas assinaturas de acordo com as práticas recomendadas.
Considerações de design do grupo de gerenciamento
As estruturas do grupo de gerenciamento dentro de um locatário do Microsoft Entra suportam o mapeamento organizacional. Considere completamente a estrutura do seu grupo de gestão à medida que a sua organização planeia a adoção do Azure em escala.
Como sua organização separará os serviços pertencentes ou operados por equipes específicas?
Existem funções específicas que precisam ser mantidas separadas por motivos de conformidade comercial ou operacional?
Você pode usar grupos de gerenciamento para agregar atribuições de políticas e iniciativas por meio da Política do Azure.
Uma árvore de grupo de gerenciamento pode suportar até seis níveis de profundidade. Este limite não inclui o nível de raiz do inquilino ou o nível de subscrição.
Qualquer entidade de segurança, seja um usuário ou entidade de serviço, dentro de um locatário do Microsoft Entra pode criar novos grupos de gerenciamento. Essa permissão ocorre porque a autorização RBAC (controle de acesso baseado em função) do Azure para operações de grupo de gerenciamento não está habilitada por padrão. Para obter mais informações, consulte Como proteger sua hierarquia de recursos
Todas as novas assinaturas serão colocadas no grupo de gerenciamento raiz do locatário por padrão.
Consulte os grupos de gerenciamento para explorar seus recursos com mais detalhes.
Recomendações do grupo de gestão
Mantenha a hierarquia do grupo de gestão razoavelmente plana, idealmente com não mais do que três a quatro níveis. Essa restrição reduz a sobrecarga e a complexidade do gerenciamento.
Evite duplicar a sua estrutura organizacional numa hierarquia de grupo de gestão profundamente aninhada. Use grupos de gerenciamento para atribuição de políticas versus fins de cobrança. Essa abordagem exige o uso de grupos de gerenciamento para a finalidade pretendida na arquitetura conceitual da zona de aterrissagem do Azure. Essa arquitetura fornece políticas do Azure para cargas de trabalho que exigem o mesmo tipo de segurança e conformidade no mesmo nível de grupo de gerenciamento.
Crie grupos de gerenciamento em seu grupo de gerenciamento de nível raiz para representar os tipos de cargas de trabalho que você hospedará. Esses grupos são baseados nas necessidades de segurança, conformidade, conectividade e recursos das cargas de trabalho. Com essa estrutura de agrupamento, você pode ter um conjunto de políticas do Azure aplicadas no nível do grupo de gerenciamento. Essa estrutura de agrupamento é para todas as cargas de trabalho que exigem as mesmas configurações de segurança, conformidade, conectividade e recursos.
Use marcas de recursos para consultar e navegar horizontalmente pela hierarquia do grupo de gerenciamento. As marcas de recursos podem ser impostas ou acrescentadas por meio da Política do Azure. Em seguida, pode agrupar recursos para as necessidades de pesquisa sem ter de utilizar uma hierarquia de grupo de gestão complexa.
Crie um grupo de gerenciamento de área restrita de nível superior para que os usuários possam experimentar imediatamente o Azure. Eles podem então experimentar recursos que talvez ainda não sejam permitidos em ambientes de produção. O sandbox fornece isolamento dos seus ambientes de produção, teste e desenvolvimento.
Crie um grupo de gerenciamento de plataforma no grupo de gerenciamento raiz para dar suporte à política de plataforma comum e à atribuição de função do Azure. Esta estrutura de agrupamento garante que diferentes políticas podem ser aplicadas às subscrições utilizadas para a base do Azure. Também garante que a faturação de recursos comuns é centralizada num único conjunto de subscrições fundamentais.
Limite o número de atribuições da Política do Azure feitas no escopo do grupo de gerenciamento raiz. Esta limitação minimiza a depuração das políticas herdadas em grupos de gestão de nível inferior.
Use políticas para impor requisitos de conformidade no grupo de gerenciamento ou no escopo da assinatura para obter governança orientada por políticas.
Certifique-se de que apenas usuários privilegiados possam operar grupos de gerenciamento no locatário. Habilite a autorização do RBAC do Azure nas configurações de hierarquia do grupo de gerenciamento para refinar os privilégios do usuário. Por padrão, todos os usuários estão autorizados a criar seus próprios grupos de gerenciamento no grupo de gerenciamento raiz.
Configure um grupo de gerenciamento dedicado padrão para novas assinaturas. Esse grupo garante que nenhuma assinatura seja colocada no grupo de gerenciamento raiz. Esse grupo é especialmente importante se houver usuários qualificados para benefícios e assinaturas do Microsoft Developer Network (MSDN) ou do Visual Studio. Um bom candidato para esse tipo de grupo de gerenciamento é um grupo de gerenciamento de área restrita. Para obter mais informações, consulte Configuração - grupo de gerenciamento padrão.
Não crie grupos de gerenciamento para ambientes de produção, teste e desenvolvimento. Se necessário, separe esses grupos em assinaturas diferentes no mesmo grupo de gerenciamento. Para rever mais orientações sobre este tema, consulte:
Grupos de gerenciamento no acelerador de zona de aterrissagem do Azure e no repositório ALZ-Bicep
As seguintes decisões foram tomadas e incluídas na implementação da estrutura do grupo de gestão. Essas decisões fazem parte do acelerador de zona de pouso do Azure e do módulo de grupos de gerenciamento do repositório ALZ-Bicep.
Nota
A hierarquia do grupo de gerenciamento pode ser modificada no módulo bicep da zona de aterrissagem do Azure editando managementGroups.bicep.
| Grupo de gestão | Description |
|---|---|
| Grupo de Gerenciamento de Raiz Intermediária | Esse grupo de gerenciamento está localizado diretamente sob o grupo raiz do locatário. Criado com um prefixo fornecido pela organização, que propositalmente evita o uso do grupo raiz para que as organizações possam mover assinaturas existentes do Azure para a hierarquia. Também permite cenários futuros. Esse grupo de gerenciamento é pai de todos os outros grupos de gerenciamento criados pelo acelerador de zona de aterrissagem do Azure. |
| Plataforma | Esse grupo de gerenciamento contém todos os grupos de gerenciamento filho da plataforma, como gerenciamento, conectividade e identidade. |
| Gestão | Este grupo de gestão contém uma subscrição dedicada para gestão, monitorização e segurança. Esta assinatura hospedará um espaço de trabalho do Azure Log Analytics, incluindo soluções associadas, e uma conta de Automação do Azure. |
| Conetividade | Este grupo de gestão contém uma subscrição dedicada para conectividade. Esta assinatura hospedará os recursos de rede do Azure necessários para a plataforma, como a WAN Virtual do Azure, o Firewall do Azure e as zonas privadas do DNS do Azure. |
| Identidade | Este grupo de gestão contém uma subscrição dedicada para identidade. Esta subscrição é um marcador de posição para máquinas virtuais (VMs) dos Serviços de Domínio Ative Directory (AD DS) do Windows Server ou para os Serviços de Domínio Microsoft Entra. A assinatura também permite AuthN ou AuthZ para cargas de trabalho dentro das zonas de pouso. Políticas específicas do Azure são atribuídas para proteger e gerenciar os recursos na assinatura de identidade. |
| Zonas de desembarque | O grupo de gerenciamento pai para todos os grupos de gerenciamento filho da zona de destino. Ele terá políticas do Azure agnósticas de carga de trabalho atribuídas para garantir que as cargas de trabalho sejam seguras e compatíveis. |
| Online | O grupo de gestão dedicado às zonas de aterragem online. Esse grupo é para cargas de trabalho que podem exigir conectividade direta de entrada/saída da Internet ou para cargas de trabalho que podem não exigir uma rede virtual. |
| Corp | O grupo de gestão dedicado às zonas de desembarque corporativo. Esse grupo é para cargas de trabalho que exigem conectividade ou conectividade híbrida com a rede corporativa por meio do hub na assinatura de conectividade. |
| Caixas de areia | O grupo de gerenciamento dedicado para assinaturas que serão usadas apenas para teste e exploração por uma organização. Essas assinaturas serão desconectadas com segurança das zonas de destino corporativas e online. As sandboxes também têm um conjunto menos restritivo de políticas atribuídas para permitir o teste, a exploração e a configuração dos serviços do Azure. |
| Descomissionado | O grupo de gestão dedicado às zonas de desembarque que estão a ser canceladas. As zonas de aterrissagem canceladas serão movidas para esse grupo de gerenciamento antes da exclusão pelo Azure após 30 a 60 dias. |
Nota
Para muitas organizações, os grupos padrão Corp e Online de gerenciamento fornecem um ponto de partida ideal.
Algumas organizações precisam adicionar mais, enquanto outras não as considerarão relevantes para sua organização.
Se você estiver pensando em fazer alterações na hierarquia do Grupo de Gerenciamento, consulte nossa Personalizar a arquitetura da zona de aterrissagem do Azure para atender às diretrizes de requisitos .
Permissões para o acelerador de zona de aterrissagem do Azure
Requer um SPN (nome da entidade de serviço) dedicado para executar operações de grupo de gerenciamento, operações de gerenciamento de assinatura e atribuição de função. A utilização de um SPN reduz o número de utilizadores com direitos elevados e segue as diretrizes de privilégio mínimo.
Requer a função de Administrador de Acesso de Usuário no escopo do grupo de gerenciamento raiz para conceder acesso ao SPN no nível raiz. Após o SPN receber permissões, a função de Administrador de Acesso dos Utilizadores pode ser removida com segurança. Desta forma, apenas o SPN faz parte da função de Administrador de Acesso dos Utilizadores.
Requer a função de Colaborador para o SPN mencionado anteriormente no escopo do grupo de gerenciamento raiz, que permite operações no nível do locatário. Este nível de permissão garante que o SPN pode ser utilizado para implementar e gerir recursos para qualquer subscrição na sua organização.
Próximos passos
Saiba mais sobre a função que as subscrições desempenham quando está a planear uma adoção em grande escala do Azure.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários