Share via


O que são os grupos de gestão do Azure?

Se sua organização tiver muitas assinaturas do Azure, talvez você precise de uma maneira eficiente de gerenciar o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gerenciamento fornecem um escopo de governança acima das assinaturas. Você organiza assinaturas em grupos de gerenciamento; As condições de governança que você aplica em cascata por herança a todas as assinaturas associadas.

Os grupos de gerenciamento oferecem gerenciamento de nível empresarial em escala, independentemente do tipo de assinatura que você possa ter. No entanto, todas as assinaturas dentro de um único grupo de gerenciamento devem confiar no mesmo locatário do Azure Ative Directory (Azure AD).

Por exemplo, pode aplicar políticas a um grupo de gestão que limita as regiões disponíveis para a criação de máquinas virtuais (VM). Essa política seria aplicada a todos os grupos de gerenciamento aninhados, assinaturas e recursos e permitiria a criação de VMs somente em regiões autorizadas.

Hierarquia de grupos de gestão e de subscrições

Pode criar uma estrutura flexível de grupos de gestão e de subscrições para organizar os seus recursos numa hierarquia para assegurar uma gestão unificada de acesso e política. O seguinte diagrama mostra um exemplo de criação de uma hierarquia de governação com grupos de gestão.

Diagrama de uma hierarquia de grupo de gerenciamento de exemplo.

Diagrama de um grupo de gerenciamento raiz que contém grupos de gerenciamento e assinaturas. Alguns grupos de gerenciamento de filhos possuem grupos de gerenciamento, alguns possuem assinaturas e outros mantêm ambos. Um dos exemplos na hierarquia de exemplo são quatro níveis de grupos de gerenciamento, com o nível filho sendo todas as assinaturas.

Você pode criar uma hierarquia que aplique uma política, por exemplo, que limite os locais da VM para a região Oeste dos EUA no grupo de gerenciamento chamado "Corp". Esta política herdará todas as subscrições do Enterprise Agreement (EA) que são descendentes desse grupo de gestão e aplicar-se-á a todas as VMs sob essas subscrições. Esta política de segurança não pode ser alterada pelo proprietário do recurso ou da subscrição, permitindo uma melhor governação.

Nota

Atualmente, os grupos de gerenciamento não são suportados nos recursos de Gerenciamento de Custos para assinaturas do Contrato de Cliente Microsoft (MCA).

Outro cenário em que utilizaria os grupos de gestão seria para fornecer acesso de utilizador a várias subscrições. Ao mover várias assinaturas nesse grupo de gerenciamento, você pode criar uma atribuição de função do Azure no grupo de gerenciamento, que herdará esse acesso a todas as assinaturas. Uma atribuição no grupo de gerenciamento pode permitir que os usuários tenham acesso a tudo o que precisam, em vez de criar scripts do RBAC do Azure em assinaturas diferentes.

Factos importantes sobre grupos de gestão

  • Um único diretório suporta 10 000 grupos de gestão.
  • Uma árvore de grupo de gestão pode suportar até seis níveis de profundidade.
    • Este limite não inclui o nível da Raiz ou o nível da subscrição.
  • Cada grupo de gestão e subscrição só podem suportar um elemento principal.
  • Cada grupo de gestão pode ter muitos subordinados.
  • Todos os grupos de gestão e subscrições estão contidos numa única hierarquia em cada diretório. Veja Factos importantes sobre o grupo de gestão de Raiz.

Grupo de gestão de raiz para cada diretório

Cada diretório recebe um único grupo de gerenciamento de nível superior chamado grupo de gerenciamento raiz . O grupo de gerenciamento raiz é incorporado à hierarquia para que todos os grupos de gerenciamento e assinaturas sejam dobrados para ele. Esse grupo de gerenciamento raiz permite que políticas globais e atribuições de função do Azure sejam aplicadas no nível de diretório. Inicialmente, o Administrador Global do Azure AD tem de se elevar à função de Administrador de Acesso de Utilizador deste grupo de raiz. Depois de elevar o acesso, o administrador pode atribuir qualquer função do Azure a outros usuários ou grupos de diretório para gerenciar a hierarquia. Como administrador, você pode atribuir sua conta como o proprietário do grupo de gerenciamento raiz.

Fatos importantes sobre o grupo de gerenciamento raiz

  • Por padrão, o nome de exibição do grupo de gerenciamento raiz é Grupo raiz do locatário e opera como um grupo de gerenciamento. A ID é o mesmo valor que a ID de locatário do Azure Ative Directory (Azure AD).
  • Para alterar o nome para exibição, sua conta deve receber a função de Proprietário ou Colaborador no grupo de gerenciamento raiz. Consulte Alterar o nome de um grupo de gerenciamento para atualizar o nome de um grupo de gerenciamento.
  • O grupo de gestão de raiz não pode ser movido nem eliminado, ao contrário de outros grupos de gestão.
  • Todas as assinaturas e grupos de gerenciamento se dobram em um grupo de gerenciamento raiz dentro do diretório.
    • Todos os recursos no diretório ficam associados ao grupo de gestão de raiz para gestão global.
    • Quando são criadas, as novas subscrições são colocadas automaticamente por predefinição no grupo de gestão de raiz.
  • Todos os clientes do Azure podem ver o grupo de gestão de raiz, mas nem todos os clientes têm acesso para gerir esse mesmo grupo de gestão de raiz.
    • Todos os utilizadores com acesso a uma subscrição podem ver o contexto em que essa subscrição se insere na hierarquia.
    • Ninguém recebe acesso predefinido ao grupo de gestão de raiz. Os Administradores Globais do Azure AD são os únicos utilizadores que se podem elevar para obter acesso. Depois de terem acesso ao grupo de gerenciamento raiz, os administradores globais podem atribuir qualquer função do Azure a outros usuários para gerenciá-la.

Importante

Qualquer atribuição de acesso de usuário ou política no grupo de gerenciamento raiz se aplica a todos os recursos dentro do diretório. Por este motivo, todos os clientes devem avaliar a necessidade de ter itens definidos neste âmbito. O acesso de utilizador e as atribuições de política devem ser "Obrigatório" apenas neste âmbito.

Configuração inicial dos grupos de gestão

Quando um utilizador começa a utilizar grupos de gestão, ocorre um processo de configuração inicial. Na primeira etapa, o grupo de gestão de raiz é criado no diretório. Uma vez criado este grupo, todas as subscrições existentes no diretório tornam-se elementos subordinados do grupo de gestão de raiz. Este processo existe para garantir que existe apenas uma hierarquia de grupo de gestão num diretório. A única hierarquia dentro do diretório permite aos clientes administrativos aplicar o acesso global e políticas que os outros clientes não podem ignorar. Qualquer coisa atribuída na raiz se aplicará a toda a hierarquia, que inclui todos os grupos de gerenciamento, assinaturas, grupos de recursos e recursos dentro desse locatário do Azure AD.

Acesso de grupo de gestão

Os grupos de gerenciamento do Azure dão suporte ao controle de acesso baseado em função do Azure (Azure RBAC) para todos os acessos a recursos e definições de função. Estas permissões são herdadas pelos recursos subordinados existentes na hierarquia. Qualquer função do Azure pode ser atribuída a um grupo de gerenciamento que herdará a hierarquia para os recursos. Por exemplo, o colaborador da VM da função do Azure pode ser atribuído a um grupo de gerenciamento. Essa função não tem nenhuma ação no grupo de gerenciamento, mas herdará para todas as VMs desse grupo de gerenciamento.

A tabela seguinte mostra a lista de funções e as ações suportadas nos grupos de gestão.

Nome da função do Azure Criar Mudar o nome Mover** Delete Atribuir Acesso Atribuir Política Lida
Proprietário X X X X X X X
Contribuinte X X X X X
Contribuidor MG* X X X X X
Leitor X
Leitor MG* X
Contribuidor de Política de Recursos X
Administrador de Acesso dos Utilizadores X X

*: As funções Colaborador do Grupo de Gerenciamento e Leitor do Grupo de Gerenciamento permitem que os usuários executem essas ações somente no escopo do grupo de gerenciamento.

**: As atribuições de função no grupo de gerenciamento raiz não são necessárias para mover uma assinatura ou grupo de gerenciamento de e para ele.

Veja Manage your resources with management groups (Gerir os recursos com grupos de gestão) para obter detalhes sobre como mover itens dentro da hierarquia.

Definição e atribuição de função personalizada do Azure

Você pode definir um grupo de gerenciamento como um escopo atribuível em uma definição de função personalizada do Azure. A função personalizada do Azure estará disponível para atribuição nesse grupo de gerenciamento e em qualquer grupo de gerenciamento, assinatura, grupo de recursos ou recurso sob ele. A função personalizada herdará a hierarquia como qualquer função interna. Para obter informações sobre as limitações com funções personalizadas e grupos de gerenciamento, consulte Limitações.

Exemplo de definição

A definição e a criação de uma função personalizada não mudam com a inclusão de grupos de gerenciamento. Use o caminho completo para definir o grupo de gerenciamento /providers/Microsoft.Management/managementgroups/{groupId}.

Use a ID do grupo de gerenciamento e não o nome para exibição do grupo de gerenciamento. Esse erro comum acontece porque ambos são campos personalizados ao criar um grupo de gerenciamento.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problemas com a quebra da definição de função e do caminho da hierarquia de atribuição

As definições de função são escopo atribuível em qualquer lugar dentro da hierarquia do grupo de gerenciamento. Uma definição de função pode ser definida em um grupo de gerenciamento pai enquanto a atribuição de função real existe na assinatura filho. Como há uma relação entre os dois itens, você receberá um erro ao tentar separar a atribuição de sua definição.

Por exemplo, vamos examinar uma pequena seção de uma hierarquia para um visual.

Diagrama de um subconjunto da hierarquia do grupo de gerenciamento de exemplo.

O diagrama se concentra no grupo de gerenciamento raiz com zonas de aterrissagem filho e grupos de gerenciamento de Sandbox. O grupo de gerenciamento de zonas de pouso tem dois grupos de gerenciamento filho chamados Corp e Online, enquanto o grupo de gerenciamento Sandbox tem duas assinaturas filhas.

Digamos que haja uma função personalizada definida no grupo de gerenciamento de Sandbox. Essa função personalizada é então atribuída nas duas assinaturas da Sandbox.

Se tentarmos mover uma dessas assinaturas para ser um filho do grupo de gerenciamento Corp, essa mudança interromperia o caminho da atribuição de função de assinatura para a definição de função do grupo de gerenciamento Sandbox. Nesse cenário, você receberá um erro informando que a mudança não é permitida, pois interromperá essa relação.

Há algumas opções diferentes para corrigir esse cenário:

  • Remova a atribuição de função da assinatura antes de movê-la para um novo MG pai.
  • Adicione a assinatura ao escopo atribuível da definição de função.
  • Altere o escopo atribuível dentro da definição de função. No exemplo acima, você pode atualizar os escopos atribuíveis da Sandbox para o grupo de gerenciamento raiz para que a definição possa ser alcançada por ambas as ramificações da hierarquia.
  • Crie outra função personalizada definida na outra ramificação. Essa nova função também exige que a atribuição de função seja alterada na assinatura.

Limitações

Há limitações que existem ao usar funções personalizadas em grupos de gerenciamento.

  • Você só pode definir um grupo de gerenciamento nos escopos atribuíveis de uma nova função. Essa limitação está em vigor para reduzir o número de situações em que as definições e atribuições de função são desconectadas. Essa situação acontece quando uma assinatura ou grupo de gerenciamento com uma atribuição de função é movido para um pai diferente que não tem a definição de função.
  • As funções personalizadas com DataActions não podem ser atribuídas no âmbito do grupo de gestão. Para obter mais informações, consulte Limites de função personalizados.
  • O Azure Resource Manager não valida a existência do grupo de gestão no âmbito atribuível da definição de função. Se houver um erro de digitação ou um ID de grupo de gerenciamento incorreto listado, a definição de função ainda será criada.

Mover grupos de gestão e subscrições

Para mover um grupo de gerenciamento ou assinatura para ser filho de outro grupo de gerenciamento, três regras precisam ser avaliadas como verdadeiras.

Se você estiver fazendo a ação de movimento, você precisa:

  • Permissões de gravação de grupo de gerenciamento e de gravação de atribuição de função na assinatura filho ou no grupo de gerenciamento.
    • Exemplo de função incorporada: Proprietário
  • Acesso de gravação do grupo de gerenciamento no grupo de gerenciamento pai de destino.
    • Exemplo de função incorporada: Proprietário, Colaborador, Colaborador do Grupo de Gestão
  • Acesso de gravação do grupo de gerenciamento no grupo de gerenciamento pai existente.
    • Exemplo de função incorporada: Proprietário, Colaborador, Colaborador do Grupo de Gestão

Exceção: Se o destino ou o grupo de gerenciamento pai existente for o grupo de gerenciamento raiz, os requisitos de permissões não se aplicam. Como o grupo de gerenciamento raiz é o ponto de destino padrão para todos os novos grupos de gerenciamento e assinaturas, você não precisa de permissões nele para mover um item.

Se a função Proprietário na assinatura for herdada do grupo de gerenciamento atual, suas metas de movimentação serão limitadas. Só pode mover a subscrição para outro grupo de gestão onde tenha a função de Proprietário . Não é possível movê-lo para um grupo de gerenciamento no qual você é um Colaborador porque perderia a propriedade da assinatura. Se você estiver diretamente atribuído à função Proprietário da assinatura (não herdada do grupo de gerenciamento), poderá movê-la para qualquer grupo de gerenciamento ao qual lhe seja atribuída a função de Colaborador.

Importante

O Azure Resource Manager armazena em cache os detalhes da hierarquia do grupo de gerenciamento por até 30 minutos. Como resultado, mover um grupo de gerenciamento pode não ser refletido imediatamente no portal do Azure.

Auditar os grupos de gestão que utilizam registos de atividades

Os grupos de gerenciamento são suportados no log de atividades do Azure. Pode procurar todos os eventos que acontecem a um grupo de gestão na mesma localização central de outros recursos do Azure. Por exemplo, você pode ver todas as atribuições de função ou alterações de atribuição de política feitas em um grupo de gerenciamento específico.

Captura de tela de Logs de atividades e operações relacionadas ao grupo de gerenciamento selecionado.

Ao procurar consultar grupos de gerenciamento fora do portal do Azure, o escopo de destino para grupos de gerenciamento se parece com "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Nota

Usando a API REST do Azure Resource Manager, você pode habilitar as configurações de diagnóstico em um grupo de gerenciamento para enviar entradas relacionadas ao log de atividades do Azure para um espaço de trabalho do Log Analytics, Armazenamento do Azure ou Hub de Eventos do Azure. Para obter mais informações, consulte Configurações de diagnóstico do grupo de gerenciamento - Criar ou atualizar.

Próximos passos

Para saber mais sobre os grupos de gestão, veja: