Hantera dina Azure-prenumerationer i stor skala med hanteringsgrupper
Om din organisation har många prenumerationer kanske du behöver ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Azure-hanteringsgrupper ger en omgångsnivå som omfattar prenumerationer. Du organiserar prenumerationer i containrar som kallas hanteringsgrupper och tillämpar dina styrningsvillkor på hanteringsgrupperna. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas för hanteringsgruppen.
Hanteringsgrupper ger dig hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har. Mer information om hanteringsgrupper finns i Organisera dina resurser med Azure-hanteringsgrupper.
Kommentar
Den här artikeln innehåller steg om hur du tar bort personuppgifter från enheten eller tjänsten och kan användas för att stödja dina skyldigheter enligt GDPR. För allmän information om GDPR, se GDPR-avsnittet för Microsoft Trust Center och GDPR-avsnitt av Service Trust Portal.
Viktigt!
Azure Resource Manager-användartoken och hanteringsgruppcache varar i 30 minuter innan de tvingas uppdatera. Alla åtgärder som att flytta en hanteringsgrupp eller prenumeration kan ta upp till 30 minuter att visas. Om du vill se uppdateringarna tidigare måste du uppdatera din token genom att uppdatera webbläsaren, logga in och ut eller begära en ny token.
För Azure PowerShell-åtgärderna i den här artikeln bör du tänka på att AzManagementGroup-relaterade cmdletar nämner att det -GroupId är ett alias för parametern -GroupName .
Du kan använda någon av dem för att ange hanteringsgruppens ID som ett strängvärde.
Ändra namnet på en hanteringsgrupp
Du kan ändra namnet på hanteringsgruppen med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI.
Ändra namnet i portalen
Logga in på Azure-portalen.
Välj Alla tjänstehanteringsgrupper>.
Välj den hanteringsgrupp som du vill byta namn på.
Välj information.
Välj alternativet Byt namn på grupp överst i fönstret.
I fönstret Byt namn på grupp anger du det nya namn som du vill visa.
Välj Spara.
Ändra namnet i Azure PowerShell
Om du vill uppdatera visningsnamnet använder du Update-AzManagementGroup i Azure PowerShell. Om du till exempel vill ändra en hanteringsgrupps visningsnamn från Contoso IT till Contoso Group kör du följande kommando:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Ändra namnet i Azure CLI
Använd kommandot för Azure CLI update :
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Ta bort en hanteringsgrupp
Om du vill ta bort en hanteringsgrupp måste du uppfylla följande krav:
Det finns inga underordnade hanteringsgrupper eller prenumerationer under hanteringsgruppen. Information om hur du flyttar en prenumeration eller hanteringsgrupp till en annan hanteringsgrupp finns i Flytta hanteringsgrupper och prenumerationer senare i den här artikeln.
Du behöver skrivbehörighet för hanteringsgruppen (ägare, deltagare eller hanteringsgruppdeltagare). Om du vill se vilka behörigheter du har väljer du hanteringsgruppen och sedan IAM. Mer information om Azure-roller finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.
Ta bort en hanteringsgrupp i portalen
Logga in på Azure-portalen.
Välj Alla tjänstehanteringsgrupper>.
Välj den hanteringsgrupp som du vill ta bort.
Välj information.
Välj Ta bort.
Dricks
Om knappen Ta bort inte är tillgänglig visas orsaken när du hovrar över knappen.
En dialogruta öppnas och du uppmanas att bekräfta att du vill ta bort hanteringsgruppen.
Välj Ja.
Ta bort en hanteringsgrupp i Azure PowerShell
Om du vill ta bort en hanteringsgrupp använder du Remove-AzManagementGroup kommandot i Azure PowerShell:
Remove-AzManagementGroup -GroupId 'Contoso'
Ta bort en hanteringsgrupp i Azure CLI
Med Azure CLI använder du kommandot az account management-group delete:
az account management-group delete --name 'Contoso'
Visa hanteringsgrupper
Du kan visa vilken hanteringsgrupp som helst om du har en direkt eller ärvd Azure-roll på den.
Visa hanteringsgrupper i portalen
Logga in på Azure-portalen.
Välj Alla tjänstehanteringsgrupper>.
Sidan för hanteringsgruppshierarkin visas. På den här sidan kan du utforska alla hanteringsgrupper och prenumerationer som du har åtkomst till. Om du väljer gruppnamnet kommer du till en lägre nivå i hierarkin. Navigeringen fungerar på samma sätt som en utforskare gör.
Om du vill se information om hanteringsgruppen väljer du länken (information) bredvid rubriken för hanteringsgruppen. Om den här länken inte är tillgänglig har du inte behörighet att visa den hanteringsgruppen.
Visa hanteringsgrupper i Azure PowerShell
Du använder Get-AzManagementGroup kommandot för att hämta alla grupper. Den fullständiga listan över GET PowerShell-kommandon för hanteringsgrupper finns i Az.Resources-modulerna .
Get-AzManagementGroup
Använd parametern -GroupId för en enskild hanteringsgrupps information:
Get-AzManagementGroup -GroupId 'Contoso'
Om du vill returnera en specifik hanteringsgrupp och alla nivåer i hierarkin under den använder du parametrarna -Expand och -Recurse :
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Visa hanteringsgrupper i Azure CLI
Du använder list kommandot för att hämta alla grupper:
az account management-group list
Använd kommandot för en enskild hanteringsgrupps information show :
az account management-group show --name 'Contoso'
Om du vill returnera en specifik hanteringsgrupp och alla nivåer i hierarkin under den använder du parametrarna -Expand och -Recurse :
az account management-group show --name 'Contoso' -e -r
Flytta hanteringsgrupper och prenumerationer
En anledning till att skapa en hanteringsgrupp är att paketering av prenumerationer tillsammans. Endast hanteringsgrupper och prenumerationer kan bli underordnade till en annan hanteringsgrupp. En prenumeration som flyttas till en hanteringsgrupp ärver all användaråtkomst och alla principer från den överordnade hanteringsgruppen.
Du kan flytta prenumerationer mellan hanteringsgrupper. En prenumeration kan bara ha en överordnad hanteringsgrupp.
När du flyttar en hanteringsgrupp eller prenumeration till en underordnad till en annan hanteringsgrupp måste tre regler utvärderas som sanna.
Om du utför flyttåtgärden behöver du behörighet i vart och ett av följande lager:
- Underordnad prenumeration eller hanteringsgrupp
Microsoft.management/managementgroups/writeMicrosoft.management/managementgroups/subscriptions/write(endast för prenumerationer)Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- Överordnad hanteringsgrupp för mål
Microsoft.management/managementgroups/write
- Aktuell överordnad hanteringsgrupp
Microsoft.management/managementgroups/write
Det finns ett undantag: om målet eller den befintliga överordnade hanteringsgruppen är rothanteringsgruppen gäller inte behörighetskraven. Eftersom rothanteringsgruppen är standardlandningsplatsen för alla nya hanteringsgrupper och prenumerationer behöver du inte behörighet för att flytta ett objekt.
Om rollen Ägare i prenumerationen ärvs från den aktuella hanteringsgruppen är dina flyttmål begränsade. Du kan bara flytta prenumerationen till en annan hanteringsgrupp där du har rollen Ägare. Du kan inte flytta prenumerationen till en hanteringsgrupp där du bara är deltagare eftersom du skulle förlora ägarskapet för prenumerationen. Om du är direkt tilldelad rollen Ägare för prenumerationen kan du flytta den till valfri hanteringsgrupp där du har rollen Deltagare.
Om du vill se vilka behörigheter du har i Azure-portalen väljer du hanteringsgruppen och sedan IAM. Mer information om Azure-roller finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.
Lägga till en befintlig prenumeration i en hanteringsgrupp i portalen
Logga in på Azure-portalen.
Välj Alla tjänstehanteringsgrupper>.
Välj den hanteringsgrupp som du vill vara överordnad.
Längst upp på sidan väljer du Lägg till prenumeration.
Välj prenumerationen i listan med rätt ID.
Välj Spara.
Ta bort en prenumeration från en hanteringsgrupp i portalen
Logga in på Azure-portalen.
Välj Alla tjänstehanteringsgrupper>.
Välj den hanteringsgrupp som är aktuell överordnad.
Välj ellipsen (
...) i slutet av raden för prenumerationen i listan som du vill flytta.
Välj Flytta.
I fönstret Flytta väljer du värdet för Nytt överordnat hanteringsgrupps-ID.
Välj Spara.
Flytta en prenumeration i Azure PowerShell
Om du vill flytta en prenumeration i PowerShell använder New-AzManagementGroupSubscription du kommandot:
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Om du vill ta bort länken mellan prenumerationen och hanteringsgruppen använder du Remove-AzManagementGroupSubscription kommandot:
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Flytta en prenumeration i Azure CLI
Om du vill flytta en prenumeration i Azure CLI använder add du kommandot:
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Om du vill ta bort prenumerationen från hanteringsgruppen använder du subscription remove kommandot:
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Flytta en prenumeration i en ARM-mall
Om du vill flytta en prenumeration i en Azure Resource Manager-mall (ARM-mall) använder du följande mall och distribuerar den på klientorganisationsnivå:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Eller använd följande Bicep-fil:
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Flytta en hanteringsgrupp i portalen
Logga in på Azure-portalen.
Välj Alla tjänstehanteringsgrupper>.
Välj den hanteringsgrupp som du vill vara överordnad.
Längst upp på sidan väljer du Lägg till hanteringsgrupp.
I fönstret Lägg till hanteringsgrupp väljer du om du vill använda en ny eller befintlig hanteringsgrupp:
- Om du väljer Skapa ny skapas en ny hanteringsgrupp.
- Om du väljer Använd befintlig visas en listruta med alla hanteringsgrupper som du kan flytta till den här hanteringsgruppen.
Välj Spara.
Flytta en hanteringsgrupp i Azure PowerShell
Om du vill flytta en hanteringsgrupp under en annan grupp använder du Update-AzManagementGroup kommandot i Azure PowerShell:
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Flytta en hanteringsgrupp i Azure CLI
Om du vill flytta en hanteringsgrupp i Azure CLI använder du update kommandot:
az account management-group update --name 'Contoso' --parent ContosoIT
Granska hanteringsgrupper med hjälp av aktivitetsloggar
Hanteringsgrupper stöds i Azure Monitor-aktivitetsloggar. Du kan köra frågor mot alla händelser som händer med en hanteringsgrupp på samma centrala plats som andra Azure-resurser. Du kan till exempel se alla rolltilldelningar eller principtilldelningsändringar som gjorts i en viss hanteringsgrupp.
När du vill fråga efter hanteringsgrupper utanför Azure-portalen ser målomfånget för hanteringsgrupper ut som "/providers/Microsoft.Management/managementGroups/{yourMgID}".
Referenshanteringsgrupper från andra resursprovidrar
När du refererar till hanteringsgrupper från en annan resursproviders åtgärder använder du följande sökväg som omfång. Den här sökvägen gäller när du använder Azure PowerShell, Azure CLI och REST API:er.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Ett exempel på hur du använder den här sökvägen är när du tilldelar en ny roll till en hanteringsgrupp i Azure PowerShell:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Du använder samma omfångssökväg för att hämta en principdefinition för en hanteringsgrupp:
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Relaterat innehåll
Läs mer om hanteringslösningar här: