Hanteringsgrupper
Använd hanteringsgrupper för att organisera och styra dina Azure-prenumerationer. I takt med att antalet prenumerationer ökar ger hanteringsgrupper en kritisk struktur för Din Azure-miljö och gör det enklare att hantera dina prenumerationer. Använd följande vägledning för att upprätta en effektiv hanteringsgruppshierarki och organisera dina prenumerationer enligt bästa praxis.
Designöverväganden för hanteringsgrupp
Hanteringsgruppsstrukturer i en Microsoft Entra-klientorganisation stöder organisationsmappning. Tänk noga på din hanteringsgruppsstruktur när din organisation planerar att implementera Azure i stor skala.
Avgör hur din organisation separerar tjänster som specifika team äger eller arbetar med.
Avgör om du har specifika funktioner som du behöver hålla isär av orsaker som affärskrav, driftskrav, regelkrav, datahemvist, datasäkerhet eller datasuveränitetsefterlevnad.
Använd hanteringsgrupper för att aggregera princip- och initiativtilldelningar via Azure Policy.
Aktivera azure-rollbaserad åtkomstkontrollauktorisering (RBAC) för hanteringsgruppsåtgärder för att åsidosätta standardauktoriseringen. Som standard kan alla huvudnamn, t.ex. användarens huvudnamn eller tjänstens huvudnamn, i en Microsoft Entra-klientorganisation skapa nya hanteringsgrupper. Mer information finns i Så här skyddar du resurshierarkin.
Tänk också på följande faktorer:
Ett hanteringsgruppsträd kan ha stöd för upp till sex djupnivåer. Den här gränsen gäller inte på klientorganisationens rotnivå eller prenumerationsnivå.
Alla nya prenumerationer placeras under klientorganisationens rothanteringsgrupp som standard.
Mer information finns i Hanteringsgrupper.
Rekommendationer för hanteringsgrupp
Håll hanteringsgruppens hierarki ganska platt, helst med högst tre till fyra nivåer. Den här begränsningen minskar hanteringskostnaderna och komplexiteten.
Duplicera inte organisationsstrukturen i en djupt kapslad hanteringsgruppshierarki. Använd hanteringsgrupper för principtilldelning jämfört med fakturering. För den här metoden använder du hanteringsgrupper för avsett syfte i den konceptuella arkitekturen i Azure-landningszonen. Den här arkitekturen tillhandahåller Azure-principer för arbetsbelastningar som kräver samma typ av säkerhet och efterlevnad på samma hanteringsgruppsnivå.
Skapa hanteringsgrupper under din hanteringsgrupp på rotnivå för att representera de typer av arbetsbelastningar som du är värd för. Dessa grupper baseras på arbetsbelastningarnas säkerhets-, efterlevnads-, anslutnings- och funktionsbehov. Med den här grupperingsstrukturen kan du använda en uppsättning Azure-principer på hanteringsgruppsnivå. Använd den här grupperingsstrukturen för alla arbetsbelastningar som kräver samma säkerhets-, efterlevnads-, anslutnings- och funktionsinställningar.
Använd resurstaggar för att fråga och navigera vågrätt i hanteringsgruppshierarkin. Du kan använda Azure Policy för att framtvinga eller lägga till resurstaggar. Sedan kan du gruppera resurser för sökbehov utan att behöva använda en komplex hierarki för hanteringsgrupper.
Skapa en sandbox-hanteringsgrupp på den översta nivån så att du omedelbart kan experimentera med resurser innan du flyttar dem till produktionsmiljöer. Sandbox-miljön ger isolering från dina utvecklings-, testnings- och produktionsmiljöer.
Skapa en plattformshanteringsgrupp under rothanteringsgruppen för att stödja vanliga plattformsprinciper och Azure-rolltilldelningar. Den här grupperingsstrukturen säkerställer att du kan tillämpa olika principer på prenumerationerna i Din Azure Foundation. Den här metoden centraliserar även faktureringen för vanliga resurser i en uppsättning grundläggande prenumerationer.
Begränsa antalet Azure Policy-tilldelningar i rothanteringsgruppens omfång. Den här begränsningen minimerar felsökning av ärvda principer i hanteringsgrupper på lägre nivå.
Använd principer för att framtvinga efterlevnadskrav antingen i hanteringsgruppen eller prenumerationsomfånget för att uppnå principdriven styrning.
Se till att endast privilegierade användare kan använda hanteringsgrupper i klientorganisationen. Aktivera Azure RBAC-auktorisering i inställningarna för hanteringsgruppens hierarki för att förfina användarbehörigheter. Som standard kan alla användare skapa sina egna hanteringsgrupper under rothanteringsgruppen.
Konfigurera en dedikerad standardhanteringsgrupp för nya prenumerationer. Den här gruppen ser till att inga prenumerationer hamnar under rothanteringsgruppen. Den här gruppen är särskilt viktig om användarna har Microsoft Developer Network (MSDN) eller Visual Studio-förmåner och -prenumerationer. En bra kandidat för den här typen av hanteringsgrupp är en sandbox-hanteringsgrupp. Mer information finns i Ange en standardhanteringsgrupp.
Skapa inte hanteringsgrupper för produktions-, testnings- och utvecklingsmiljöer. Om det behövs kan du dela upp dessa grupper i olika prenumerationer i samma hanteringsgrupp. Mer information finns i:
Vi rekommenderar att du använder azure-standardstrukturen för hanteringsgrupper för landningszoner för distributioner i flera regioner. Skapa inte hanteringsgrupper enbart för att modellera olika Azure-regioner. Ändra eller expandera inte din hanteringsgruppsstruktur baserat på region- eller multiregionanvändning.
Om du har platsbaserade regelkrav, till exempel datahemvist, datasäkerhet eller datasuveränitet, bör du skapa en hanteringsgruppsstruktur baserat på plats. Du kan implementera den här strukturen på olika nivåer. Mer information finns i Ändra en Azure-landningszonarkitektur.
Hanteringsgrupper i Azure-landningszonens accelerator och ALZ-Bicep-lagringsplats
I följande exempel visas en hanteringsgruppsstruktur. Hanteringsgrupperna i det här exemplet finns i Azure-landningszonacceleratorn och modulen hanteringsgrupper i ALZ-Bicep-lagringsplatsen.
Kommentar
Du kan ändra hanteringsgruppshierarkin i Azure-landningszonens bicep-modul genom att redigera managementGroups.bicep.
| Hanteringsgrupp | beskrivning |
|---|---|
| Mellanliggande rothanteringsgrupp | Den här hanteringsgruppen finns direkt under klientorganisationens rotgrupp. Organisationen ger den här hanteringsgruppen ett prefix så att de inte behöver använda rotgruppen. Organisationen kan flytta befintliga Azure-prenumerationer till hierarkin. Den här metoden konfigurerar även framtida scenarier. Den här hanteringsgruppen är överordnad till alla andra hanteringsgrupper som skapats av Azure-landningszonacceleratorn. |
| Plattform | Den här hanteringsgruppen innehåller alla underordnade plattformshanteringsgrupper, till exempel hantering, anslutning och identitet. |
| Hantering | Den här hanteringsgruppen innehåller en dedikerad prenumeration för hantering, övervakning och säkerhet. Den här prenumerationen är värd för en Azure Monitor Logs-arbetsyta, inklusive associerade lösningar och ett Azure Automation-konto. |
| Anslutning | Den här hanteringsgruppen innehåller en dedikerad prenumeration för anslutning. Den här prenumerationen är värd för azure-nätverksresurser som Azure Virtual WAN, Azure Firewall och privata Azure DNS-zoner som plattformen kräver. Du kan använda olika resursgrupper för att innehålla resurser, till exempel virtuella nätverk, brandväggsinstanser och virtuella nätverksgatewayer som distribueras i olika regioner. Vissa stora distributioner kan ha prenumerationskvotbegränsningar för anslutningsresurser. Du kan skapa dedikerade prenumerationer i varje region för deras anslutningsresurser. |
| Identitet | Den här hanteringsgruppen innehåller en dedikerad prenumeration för identitet. Den här prenumerationen är en platshållare för virtuella Active Directory-domän Services-datorer (AD DS) eller Microsoft Entra Domain Services. Du kan använda olika resursgrupper för att innehålla resurser, till exempel virtuella nätverk och virtuella datorer, som distribueras i olika regioner. Prenumerationen aktiverar även AuthN eller AuthZ för arbetsbelastningar inom landningszonerna. Tilldela specifika Azure-principer för att härda och hantera resurserna i identitetsprenumerationen. Vissa stora distributioner kan ha prenumerationskvotbegränsningar för anslutningsresurser. Du kan skapa dedikerade prenumerationer i varje region för deras anslutningsresurser. |
| Landningszoner | Den överordnade hanteringsgruppen som innehåller alla underordnade hanteringsgrupper i landningszonen. Den har tilldelats arbetsbelastningsagnostiska Azure-principer för att säkerställa att arbetsbelastningarna är säkra och kompatibla. |
| Online | Den dedikerade hanteringsgruppen för landningszoner online. Den här gruppen är avsedd för arbetsbelastningar som kan kräva direkt internet-inkommande eller utgående anslutning eller för arbetsbelastningar som kanske inte kräver ett virtuellt nätverk. |
| Corp | Den dedikerade hanteringsgruppen för företagslandningszoner. Den här gruppen är avsedd för arbetsbelastningar som kräver anslutning eller hybridanslutning med företagsnätverket via hubben i anslutningsprenumerationen. |
| Sandlådor | Den dedikerade hanteringsgruppen för prenumerationer. En organisation använder sandbox-områden för testning och utforskning. Dessa prenumerationer är säkert isolerade från företags- och onlinelandningszonerna. Sandbox-miljön har också en mindre restriktiv uppsättning principer som har tilldelats för att aktivera testning, utforskning och konfiguration av Azure-tjänster. |
| Avvecklas | Den dedikerade hanteringsgruppen för avbrutna landningszoner. Du flyttar avbrutna landningszoner till den här hanteringsgruppen och sedan tar Azure bort dem efter 30–60 dagar. |
Kommentar
För många organisationer är standard Corp - och Online hanteringsgrupperna en idealisk startpunkt.
Vissa organisationer behöver lägga till fler hanteringsgrupper.
Om du vill ändra hanteringsgruppshierarkin kan du läsa Anpassa Arkitekturen för Azure-landningszoner för att uppfylla kraven.
Behörigheter för Azure-landningszonens accelerator
Acceleratorn för Azure-landningszonen:
Kräver ett dedikerat tjänsthuvudnamn (SPN) för att köra hanteringsgruppsåtgärder, prenumerationshanteringsåtgärder och rolltilldelningar. Använd ett SPN för att minska antalet användare som har utökade rättigheter och följa riktlinjerna för lägsta behörighet.
Kräver rollen Administratör för användaråtkomst i rothanteringsgruppens omfång för att ge SPN-åtkomst på rotnivå. När SPN har behörigheter kan du ta bort rollen Administratör för användaråtkomst på ett säkert sätt. Den här metoden säkerställer att endast SPN är anslutet till rollen Administratör för användaråtkomst.
Kräver rollen Deltagare för DET SPN som tidigare nämnts i rothanteringsgruppens omfång, vilket tillåter åtgärder på klientnivå. Den här behörighetsnivån säkerställer att du kan använda SPN för att distribuera och hantera resurser till valfri prenumeration i din organisation.
Gå vidare
Lär dig hur du använder prenumerationer när du planerar en storskalig Azure-implementering.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för