Så här skyddar du resurshierarkin
Dina resurser, resursgrupper, prenumerationer, hanteringsgrupper och klientorganisationer utgör tillsammans din resurshierarki. Inställningar i rothanteringsgruppen, till exempel anpassade Azure-roller eller Azure Policy principtilldelningar, kan påverka alla resurser i resurshierarkin. Det är viktigt att skydda resurshierarkin från ändringar som kan påverka alla resurser negativt.
Hanteringsgrupper har nu hierarkiinställningar som gör att innehavaradministratören kan styra dessa beteenden. Den här artikeln beskriver var och en av de tillgängliga hierarkiinställningarna och hur du anger dem.
Azure RBAC-behörigheter för hierarkiinställningar
För att konfigurera någon av hierarkiinställningarna krävs följande två resursprovideråtgärder i rothanteringsgruppen:
Microsoft.Management/managementgroups/settings/writeMicrosoft.Management/managementgroups/settings/read
Dessa åtgärder tillåter endast att en användare läser och uppdaterar hierarkiinställningarna. Åtgärderna ger inte någon annan åtkomst till hanteringsgruppshierarkin eller resurserna i hierarkin. Båda dessa åtgärder är tillgängliga i den inbyggda Rollen Administratör för hierarkiinställningar i Azure.
Inställning – Standardhanteringsgrupp
Som standard läggs en ny prenumeration till i en klientorganisation som medlem i rothanteringsgruppen. Om principtilldelningar, rollbaserad åtkomstkontroll i Azure (Azure RBAC) och andra styrningskonstruktioner tilldelas till rothanteringsgruppen, påverkar de omedelbart dessa nya prenumerationer. Därför använder många organisationer inte dessa konstruktioner i rothanteringsgruppen, även om det är den önskade platsen för att tilldela dem. I andra fall önskas en mer restriktiv uppsättning kontroller för nya prenumerationer, men bör inte tilldelas till alla prenumerationer. Den här inställningen stöder båda användningsfallen.
Genom att tillåta att standardhanteringsgruppen för nya prenumerationer definieras kan styrningskonstruktioner för hela organisationen tillämpas i rothanteringsgruppen, och en separat hanteringsgrupp med principtilldelningar eller Azure-rolltilldelningar som passar bättre för en ny prenumeration kan definieras.
Ange standardhanteringsgrupp i portalen
Så här konfigurerar du den här inställningen i Azure Portal:
Använd sökfältet för att söka efter och välja "Hanteringsgrupper".
I rothanteringsgruppen väljer du information bredvid namnet på hanteringsgruppen.
Under Inställningar väljer du Hierarkiinställningar.
Välj knappen Ändra standardhanteringsgrupp .
Anteckning
Om knappen Ändra standardhanteringsgrupp är inaktiverad är den hanteringsgrupp som visas inte rothanteringsgruppen eller så har säkerhetsobjektet inte de behörigheter som krävs för att ändra hierarkiinställningarna.
Välj en hanteringsgrupp i hierarkin och använd knappen Välj .
Ange standardhanteringsgrupp med REST API
För att konfigurera den här inställningen med REST API anropas slutpunkten Hierarkiinställningar . Det gör du genom att använda följande REST API-URI och brödtextformat. Ersätt {rootMgID} med ID:t för rothanteringsgruppen och {defaultGroupID} med ID:t för hanteringsgruppen för att bli standardhanteringsgruppen:
REST API-URI
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01Begärandetext
{ "properties": { "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}" } }
Om du vill ange standardhanteringsgruppen tillbaka till rothanteringsgruppen använder du samma slutpunkt och anger defaultManagementGroup till värdet /providers/Microsoft.Management/managementGroups/{rootMgID}.
Inställning – Kräv auktorisering
Alla användare kan som standard skapa nya hanteringsgrupper i en klientorganisation. Administratörer för en klientorganisation kanske bara vill ge dessa behörigheter till specifika användare för att upprätthålla konsekvens och överensstämmelse i hanteringsgruppshierarkin. Om aktiverad kräver Microsoft.Management/managementGroups/write en användare åtgärden på rothanteringsgruppen för att skapa nya underordnade hanteringsgrupper.
Ange kräv auktorisering i portalen
Så här konfigurerar du den här inställningen i Azure Portal:
Använd sökfältet för att söka efter och välja "Hanteringsgrupper".
I rothanteringsgruppen väljer du information bredvid namnet på hanteringsgruppen.
Under Inställningar väljer du Hierarkiinställningar.
Växla alternativet Kräv behörigheter för att skapa nya hanteringsgrupper. till på.
Anteckning
Om växlingsknappen Kräv behörigheter för att skapa nya hanteringsgrupper är inaktiverad är den hanteringsgrupp som visas inte rothanteringsgruppen eller så har säkerhetsobjektet inte de behörigheter som krävs för att ändra hierarkiinställningarna.
Ange kräv auktorisering med REST API
För att konfigurera den här inställningen med REST API anropas slutpunkten Hierarkiinställningar . Det gör du genom att använda följande REST API-URI och brödtextformat. Det här värdet är ett booleskt värde, så ange antingen sant eller falskt för värdet. Värdet true möjliggör den här metoden för att skydda din hanteringsgruppshierarki:
REST API-URI
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01Begärandetext
{ "properties": { "requireAuthorizationForGroupCreation": true } }
Om du vill inaktivera inställningen igen använder du samma slutpunkt och anger requireAuthorizationForGroupCreation till värdet false.
PowerShell-exempel
PowerShell har inte ett Az-kommando för att ange standardhanteringsgruppen eller standarduppsättningen kräver auktorisering, men som en lösning kan du använda REST-API:et med PowerShell-exemplet nedan:
$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"
$body = '{
"properties": {
"defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
"requireAuthorizationForGroupCreation": true
}
}'
$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"
Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body
Nästa steg
Läs mer om hanteringslösningar här: