Vad är hanteringsgrupper i Azure?

Artikel
04/21/2023

Om din organisation har många Azure-prenumerationer kan du behöva ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Hanteringsgrupper tillhandahåller ett styrningsomfång ovanför prenumerationer. Du ordnar prenumerationer i hanteringsgrupper. de styrningsvillkor som du tillämpar kaskad efter arv på alla associerade prenumerationer.

Hanteringsgrupper ger dig hantering i företagsklass i stor skala, oavsett vilken typ av prenumerationer du kan ha. Alla prenumerationer i en enda hanteringsgrupp måste dock lita på samma Azure Active Directory-klientorganisation (Azure AD).

Du kan till exempel tillämpa principer för en hanteringsgrupp som begränsar regionerna som är tillgängliga för att skapa virtuella datorer (VM). Den här principen tillämpas på alla kapslade hanteringsgrupper, prenumerationer och resurser och tillåter endast skapande av virtuella datorer i auktoriserade regioner.

Hierarki för hanteringsgrupper och prenumerationer

Du kan skapa en flexibel struktur för hanteringsgrupper och prenumerationer för att organisera dina resurser i en hierarki för enhetlig princip- och åtkomsthantering. Följande diagram visar ett exempel på hur du skapar en hierarki för styrning med hjälp av hanteringsgrupper.

Diagram över en exempelhanteringsgrupphierarki.

Du kan skapa en hierarki som till exempel tillämpar en princip som begränsar virtuella datorplatser till regionen USA, västra i hanteringsgruppen med namnet "Corp". Den här principen ärver alla Enterprise-avtal-prenumerationer (EA) som är underordnade den hanteringsgruppen och gäller för alla virtuella datorer under dessa prenumerationer. Den här säkerhetsprincipen kan inte ändras av resursen eller prenumerationsägaren, vilket ger bättre styrning.

Anteckning

Hanteringsgrupper stöds för närvarande inte i Cost Management-funktioner för Microsoft-kundavtal-prenumerationer (MCA).

Ett annat scenario där du kan använda hanteringsgrupper är för att ge användaråtkomst till flera prenumerationer. Genom att flytta flera prenumerationer under hanteringsgruppen kan du skapa en Azure-rolltilldelning i hanteringsgruppen, som ärver den åtkomsten till alla prenumerationer. En tilldelning i hanteringsgruppen kan göra det möjligt för användare att ha åtkomst till allt de behöver i stället för att skripta Azure RBAC över olika prenumerationer.

Viktiga fakta om hanteringsgrupper

10 000 hanteringsgrupper kan användas i en enskild katalog.
Ett träd för hanteringsgruppen har stöd för upp till sex nivåer.
- Den här gränsen omfattar inte rotnivån eller prenumerationsnivån.
Varje hanteringsgrupp och prenumeration har endast stöd för ett överordnat element.
Varje hanteringsgrupp kan ha många underordnade.
Alla prenumerationer och hanteringsgrupper ingår i en hierarki i varje katalog. Läs Viktiga fakta om rothanteringsgruppen.

En rothanteringsgrupp för varje katalog

Varje katalog får en enda hanteringsgrupp på toppnivå som kallas rothanteringsgruppen . Rothanteringsgruppen är inbyggd i hierarkin för att alla hanteringsgrupper och prenumerationer ska vikas upp till den. Med den här rothanteringsgruppen kan globala principer och Azure-rolltilldelningar tillämpas på katalognivå. Den globala administratören för Azure Active Directory måste först utöka sin behörighet till rollen Administratör för användaråtkomst för rotgruppen. När åtkomsten har utökats kan administratören tilldela valfri Azure-roll till andra kataloganvändare eller grupper för att hantera hierarkin. Som administratör kan du tilldela ditt konto som ägare till rothanteringsgruppen.

Viktiga fakta om rothanteringsgruppen

Som standard är rothanteringsgruppens visningsnamn Klientorganisationsrotgrupp och fungerar som en hanteringsgrupp. ID:t är samma värde som Klient-ID:t för Azure Active Directory (Azure AD).
Om du vill ändra visningsnamnet måste ditt konto tilldelas rollen Ägare eller Deltagare i rothanteringsgruppen. Se Ändra namnet på en hanteringsgrupp för att uppdatera namnet på en hanteringsgrupp.
Rothanteringsgruppen kan inte flyttas eller tas bort, till skillnad från andra hanteringsgrupper.
Alla prenumerationer och hanteringsgrupper viks upp i en rothanteringsgrupp i katalogen.
- Alla resurser i katalogen är underordnade rothanteringsgruppen för global hantering.
- Nya prenumerationer tilldelas som standard till rothanteringsgruppen när de skapas.
Alla Azure-kunder kan se rothanteringsgruppen, men alla kunder får inte hantera rothanteringsgruppen.
- Alla som har åtkomst till en prenumeration kan se kontexten för den aktuella prenumerationens placering i hierarkin.
- Det är inte någon som får åtkomst till rothanteringsgruppen som standard. Globala administratörer för Azure Active Directory är de enda användarna som kan ge sig själva åtkomst. När de har åtkomst till rothanteringsgruppen kan de globala administratörerna tilldela valfri Azure-roll till andra användare för att hantera den.

Viktigt

Tilldelning av användaråtkomst eller princip i rothanteringsgruppen gäller för alla resurser i katalogen. Alla kunder bör därför utvärdera behovet av objekt som definierats för det här området. Användaråtkomst och principtilldelningar bör endast vara ”måsten” i den här omfattningen.

Initial konfiguration av hanteringsgrupper

När användarna börjar använda hanteringsgrupper måste de genomföra en initial konfigurationsprocess. Det första steget är att rothanteringsgruppen skapas i katalogen. När den här gruppen har skapats blir alla befintliga prenumerationer i katalogen underordnade rothanteringsgruppen. Den här processen är till för att kontrollera att det endast finns en hanteringsgrupphierarki i en katalog. Hierarkin i katalogen gör det möjligt för administrativa kunder att använda global åtkomst och principer som andra kunder i katalogen inte kan kringgå. Allt som tilldelas i roten gäller för hela hierarkin, som omfattar alla hanteringsgrupper, prenumerationer, resursgrupper och resurser i den Azure AD klientorganisationen.

Åtkomst till hanteringsgrupp

Azure-hanteringsgrupper stöder rollbaserad åtkomstkontroll i Azure (Azure RBAC) för alla resursåtkomster och rolldefinitioner. Dessa behörigheter ärvs av underordnade resurser som finns i hierarkin. Alla Azure-roller kan tilldelas till en hanteringsgrupp som ärver ned hierarkin till resurserna. Till exempel kan den virtuella Azure-rollens VM-deltagare tilldelas till en hanteringsgrupp. Den här rollen har ingen åtgärd i hanteringsgruppen, men ärver till alla virtuella datorer under den hanteringsgruppen.

Följande diagram visar listan över roller och åtgärder som stöds för hanteringsgrupper.

Azure-rollnamn	Skapa	Byt namn	Flytta**	Ta bort	Tilldela åtkomst	Tilldela princip	Läsa
Ägare	X	X	X	X	X	X	X
Deltagare	X	X	X	X			X
MG-deltagare*	X	X	X	X			X
Läsare							X
MG-läsare*							X
Deltagare för resursprincip						X
Administratör för användaråtkomst					X	X

*: Med rollerna Deltagare i hanteringsgrupp och Hanteringsgruppsläsare kan användarna endast utföra dessa åtgärder i hanteringsgruppens omfång.

**: Rolltilldelningar i rothanteringsgruppen krävs inte för att flytta en prenumeration eller hanteringsgrupp till och från den.

Läs Hantera dina resurser med hanteringsgrupper för mer information om att flytta objekt inom hierarkin.

Definition och tilldelning av anpassade roller i Azure

Du kan definiera en hanteringsgrupp som ett tilldelningsbart omfång i en anpassad Rolldefinition i Azure. Den anpassade Azure-rollen blir sedan tillgänglig för tilldelning för den hanteringsgruppen och alla hanteringsgrupper, prenumerationer, resursgrupper eller resurser under den. Den anpassade rollen ärver ned hierarkin som vilken inbyggd roll som helst. Information om begränsningarna med anpassade roller och hanteringsgrupper finns i Begränsningar.

Exempeldefinition

Att definiera och skapa en anpassad roll ändras inte när hanteringsgrupper inkluderas. Använd den fullständiga sökvägen för att definiera hanteringsgruppen /providers/Microsoft.Management/managementgroups/{groupId}.

Använd hanteringsgruppens ID och inte hanteringsgruppens visningsnamn. Det här vanliga felet inträffar eftersom båda är anpassade fält när du skapar en hanteringsgrupp.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problem med att bryta rolldefinitions- och tilldelningshierarkisökvägen

Rolldefinitioner är tilldelningsbara omfång var som helst i hanteringsgruppshierarkin. En rolldefinition kan definieras för en överordnad hanteringsgrupp medan den faktiska rolltilldelningen finns i den underordnade prenumerationen. Eftersom det finns en relation mellan de två objekten får du ett felmeddelande när du försöker skilja tilldelningen från dess definition.

Låt oss till exempel titta på ett litet avsnitt i en hierarki för ett visuellt objekt.

Diagram över en delmängd av exempelhanteringsgruppshierarkin.

Anta att en anpassad roll har definierats för sandbox-hanteringsgruppen. Den anpassade rollen tilldelas sedan för de två sandbox-prenumerationerna.

Om vi försöker flytta en av dessa prenumerationer till att vara underordnad corp-hanteringsgruppen skulle den här flytten bryta sökvägen från prenumerationsrolltilldelningen till rolldefinitionen för sandbox-hanteringsgruppen. I det här scenariot får du ett felmeddelande om att flytten inte är tillåten eftersom den bryter den här relationen.

Det finns några olika alternativ för att åtgärda det här scenariot:

Ta bort rolltilldelningen från prenumerationen innan du flyttar prenumerationen till en ny överordnad MG.
Lägg till prenumerationen i rolldefinitionens tilldelningsbara omfång.
Ändra det tilldelningsbara omfånget i rolldefinitionen. I exemplet ovan kan du uppdatera de tilldelningsbara omfången från Sandbox till rothanteringsgruppen så att definitionen kan nås av båda grenarna i hierarkin.
Skapa en annan anpassad roll som definieras i den andra grenen. Den här nya rollen kräver att rolltilldelningen också ändras i prenumerationen.

Begränsningar

Det finns begränsningar när du använder anpassade roller i hanteringsgrupper.

Du kan bara definiera en hanteringsgrupp i de tilldelningsbara omfången för en ny roll. Den här begränsningen finns för att minska antalet situationer där rolldefinitioner och rolltilldelningar kopplas från. Den här situationen inträffar när en prenumeration eller hanteringsgrupp med en rolltilldelning flyttas till en annan överordnad som inte har rolldefinitionen.
Åtgärder för resursproviderns dataplan kan inte definieras i anpassade roller för hanteringsgrupper. Den här begränsningen är på plats eftersom det finns ett svarstidsproblem med att uppdatera dataplanets resursproviders. Det här svarstidsproblemet bearbetas och dessa åtgärder inaktiveras från rolldefinitionen för att minska riskerna.
Azure Resource Manager validerar inte att hanteringsgruppen finns i rolldefinitionens tilldelningsbara omfång. Om det finns ett stavfel eller ett felaktigt hanteringsgrupps-ID i listan skapas fortfarande rolldefinitionen.

Flytta hanteringsgrupper och prenumerationer

Om du vill flytta en hanteringsgrupp eller prenumeration till en underordnad till en annan hanteringsgrupp måste tre regler utvärderas som sanna.

Om du utför flyttåtgärden behöver du:

Skrivbehörigheter för hanteringsgruppsskrivning och rolltilldelning för den underordnade prenumerationen eller hanteringsgruppen.
- Inbyggt rollexempel: Ägare
Skrivåtkomst för hanteringsgrupp i den överordnade målhanteringsgruppen.
- Inbyggt rollexempel: Ägare, Deltagare, Hanteringsgruppdeltagare
Skrivåtkomst för hanteringsgrupp i den befintliga överordnade hanteringsgruppen.
- Inbyggt rollexempel: Ägare, Deltagare, Hanteringsgruppdeltagare

Undantag: Om målet eller den befintliga överordnade hanteringsgruppen är rothanteringsgruppen gäller inte behörighetskraven. Eftersom rothanteringsgruppen är standardlandningsplatsen för alla nya hanteringsgrupper och prenumerationer behöver du inte behörighet för att flytta ett objekt.

Om rollen Ägare i prenumerationen ärvs från den aktuella hanteringsgruppen är dina flyttmål begränsade. Du kan bara flytta prenumerationen till en annan hanteringsgrupp där du har rollen Ägare . Du kan inte flytta den till en hanteringsgrupp där du är deltagare eftersom du skulle förlora ägarskapet för prenumerationen. Om du är direkt tilldelad rollen Ägare för prenumerationen (inte ärvd från hanteringsgruppen) kan du flytta den till valfri hanteringsgrupp där du har tilldelats rollen Deltagare .

Viktigt

Azure Resource Manager cachelagrar information om hanteringsgruppens hierarki i upp till 30 minuter. Därför kanske flytt av en hanteringsgrupp inte omedelbart återspeglas i Azure Portal.

Granska hanteringsgrupper med hjälp av aktivitetsloggar

Hanteringsgrupper stöds i Azure-aktivitetsloggen. Du kan söka efter alla händelser i en hanteringsgrupp från samma centrala plats som andra Azure-resurser. Du kan till exempel se alla rolltilldelningar eller principtilldelningsändringar som gjorts i en viss hanteringsgrupp.

Skärmbild av aktivitetsloggar och åtgärder relaterade till den valda hanteringsgruppen.

När du vill fråga efter hanteringsgrupper utanför Azure Portal ser målomfånget för hanteringsgrupper ut som "/providers/Microsoft.Management/managementGroups/{management-group-id}".