Hantera dina Azure-prenumerationer i stor skala med hanteringsgrupper
Om din organisation har många prenumerationer kan det behövas ett effektivt sätt att hantera åtkomst, principer och efterlevnad för prenumerationerna. Azure-hanteringsgrupper ger en omgångsnivå som omfattar prenumerationer. Du kan ordna prenumerationerna i containrar som kallas hanteringsgrupper och tillämpa styrningsvillkor för hanteringsgrupperna. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas för hanteringsgruppen.
Hanteringsgrupper tillhandahåller hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har. Mer information om hanteringsgrupper finns i Organisera dina resurser med Azure-hanteringsgrupper.
Anteckning
Den här artikeln innehåller steg om hur du tar bort personuppgifter från enheten eller tjänsten och kan användas för att stödja dina skyldigheter enligt GDPR. Allmän information om GDPR finns i avsnittet GDPR i Microsoft Trust Center och GDPR i Service Trust-portalen.
Viktigt
Azure Resource Manager användartoken och hanteringsgruppcachen varar i 30 minuter innan de tvingas uppdatera. När du har gjort någon åtgärd som att flytta en hanteringsgrupp eller prenumeration kan det ta upp till 30 minuter att visa. Om du vill se uppdateringarna tidigare behöver du uppdatera din token genom att uppdatera webbläsaren, logga in och ut eller begära en ny token.
Viktigt
AzManagementGroup-relaterade Az PowerShell-cmdletar nämner att -GroupId är alias för parametern -GroupName så att vi kan använda någon av dem för att ange hanteringsgrupps-ID som ett strängvärde.
Ändra namnet på en hanteringsgrupp
Du kan ändra namnet på hanteringsgruppen med hjälp av portalen, PowerShell eller Azure CLI.
Ändra namnet i portalen
Logga in på Azure Portal.
Välj Alla tjänstehanteringsgrupper>.
Välj den hanteringsgrupp som du vill byta namn på.
Välj information.
Välj alternativet Byt namn på grupp överst på sidan.
När menyn öppnas anger du det nya namn som du vill ska visas.
Välj Spara.
Ändra namnet i PowerShell
Om du vill uppdatera visningsnamnet använder du Update-AzManagementGroup. Om du till exempel vill ändra ett visningsnamn för hanteringsgrupper från "Contoso IT" till "Contoso Group" kör du följande kommando:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Ändra namnet i Azure CLI
Använd uppdateringskommandot för Azure CLI.
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Ta bort en hanteringsgrupp
Följande krav måste uppfyllas för att ta bort en hanteringsgrupp:
Det finns inga underordnade hanteringsgrupper eller prenumerationer under hanteringsgruppen. Information om hur du flyttar en prenumeration eller hanteringsgrupp till en annan hanteringsgrupp finns i Flytta hanteringsgrupper och prenumerationer i hierarkin.
Du behöver skrivbehörighet för hanteringsgruppen ("Ägare", "Deltagare" eller "Hanteringsgruppdeltagare"). Om du vill se vilka behörigheter du har väljer du hanteringsgruppen och sedan IAM. Mer information om Azure-roller finns i Rollbaserad åtkomstkontroll i Azure (Azure RBAC).
Ta bort i portalen
Logga in på Azure Portal.
Välj Alla tjänstehanteringsgrupper>.
Välj den hanteringsgrupp som du vill ta bort.
Välj information.
Välj Ta bort
Tips
Om ikonen är inaktiverad visas orsaken genom att hovra musväljaren över ikonen.
Det finns ett fönster som öppnas som bekräftar att du vill ta bort hanteringsgruppen.
Välj Ja.
Ta bort i PowerShell
Använd kommandot Remove-AzManagementGroup i PowerShell för att ta bort hanteringsgrupper.
Remove-AzManagementGroup -GroupId 'Contoso'
Borttagning i Azure CLI
Med Azure CLI använder du kommandot az account management-group delete.
az account management-group delete --name 'Contoso'
Visa hanteringsgrupper
Du kan visa alla hanteringsgrupper som du har en direkt eller ärvd Azure-roll på.
Visa i portalen
Logga in på Azure Portal.
Välj Alla tjänstehanteringsgrupper>.
Sidan hanteringsgruppshierarki läses in. På den här sidan kan du utforska alla hanteringsgrupper och prenumerationer som du har åtkomst till. Om du väljer gruppnamnet hamnar du på en lägre nivå i hierarkin. Navigeringen fungerar på samma sätt som en utforskare gör.
Om du vill se information om hanteringsgruppen väljer du länken (information) bredvid rubriken för hanteringsgruppen. Om den här länken inte är tillgänglig har du inte behörighet att visa den hanteringsgruppen.
Visa i PowerShell
Du använder kommandot Get-AzManagementGroup för att hämta alla grupper. I Az.Resources-moduler finns en fullständig lista över get PowerShell-kommandon för hanteringsgruppen.
Get-AzManagementGroup
Om du vill ha information om en enskild hanteringsgrupp använder du parametern -GroupId
Get-AzManagementGroup -GroupId 'Contoso'
Om du vill returnera en specifik hanteringsgrupp och alla nivåer i hierarkin under den använder du parametrarna -Expand och -Recurse .
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Visa i Azure CLI
Du använder listkommandot för att hämta alla grupper.
az account management-group list
Om du vill ha information om en enskild hanteringsgrupp använder du kommandot show
az account management-group show --name 'Contoso'
Om du vill returnera en specifik hanteringsgrupp och alla nivåer i hierarkin under den använder du parametrarna -Expand och -Recurse .
az account management-group show --name 'Contoso' -e -r
Flytta hanteringsgrupper och prenumerationer
En anledning till att skapa en hanteringsgrupp är att bunta ihop prenumerationer. Endast hanteringsgrupper och prenumerationer kan göras underordnade till en annan hanteringsgrupp. En prenumeration som flyttas till en hanteringsgrupp ärver all användaråtkomst och alla principer från den överordnade hanteringsgruppen
När du flyttar en hanteringsgrupp eller prenumeration för att vara underordnad en annan hanteringsgrupp måste tre regler utvärderas som sanna.
Om du utför flyttåtgärden behöver du behörighet för vart och ett av följande lager:
- Underordnad prenumeration/hanteringsgrupp
Microsoft.management/managementgroups/writeMicrosoft.management/managementgroups/subscriptions/write(endast för prenumerationer)Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- Överordnad hanteringsgrupp för mål
Microsoft.management/managementgroups/write
- Aktuell överordnad hanteringsgrupp
Microsoft.management/managementgroups/write
Undantag: Om målet eller den befintliga överordnade hanteringsgruppen är rothanteringsgruppen gäller inte behörighetskraven. Eftersom rothanteringsgruppen är standardlandningsplatsen för alla nya hanteringsgrupper och prenumerationer behöver du inte behörighet för att flytta ett objekt.
Om rollen Ägare i prenumerationen ärvs från den aktuella hanteringsgruppen är dina flyttmål begränsade. Du kan bara flytta prenumerationen till en annan hanteringsgrupp där du har rollen Ägare. Du kan inte flytta prenumerationen till en hanteringsgrupp där du bara är deltagare eftersom du skulle förlora ägarskapet för prenumerationen. Om du har tilldelats rollen Ägare direkt för prenumerationen kan du flytta den till valfri hanteringsgrupp där du är deltagare.
Om du vill se vilka behörigheter du har i Azure Portal väljer du hanteringsgruppen och sedan IAM. Mer information om Azure-roller finns i Rollbaserad åtkomstkontroll i Azure (Azure RBAC).
Flytta prenumerationer
Lägga till en befintlig prenumeration i en hanteringsgrupp i portalen
Logga in på Azure Portal.
Välj Alla tjänstehanteringsgrupper>.
Välj den hanteringsgrupp som du planerar att vara överordnad.
Längst upp på sidan väljer du Lägg till prenumeration.
Välj prenumerationen i listan med rätt ID.
Välj "Spara".
Ta bort en prenumeration från en hanteringsgrupp i portalen
Logga in på Azure Portal.
Välj Alla tjänstehanteringsgrupper>.
Välj den hanteringsgrupp som du planerar som är aktuell överordnad.
Välj ellipsen i slutet av raden för prenumerationen i listan som du vill flytta.
Välj Flytta.
På menyn som öppnas väljer du den överordnade hanteringsgruppen.
Välj Spara.
Flytta prenumerationer i PowerShell
Om du vill flytta en prenumeration i PowerShell använder du kommandot New-AzManagementGroupSubscription.
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Om du vill ta bort länken mellan prenumerationen och hanteringsgruppen använder du kommandot Remove-AzManagementGroupSubscription.
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Flytta prenumerationer i Azure CLI
Om du vill flytta en prenumeration i CLI använder du kommandot lägg till.
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Om du vill ta bort prenumerationen från hanteringsgruppen använder du kommandot för att ta bort prenumerationen.
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Flytta prenumerationer i ARM-mall
Om du vill flytta en prenumeration i en Azure Resource Manager-mall (ARM-mall) använder du följande mall och distribuerar den på klientorganisationsnivå.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Eller följande Bicep-fil.
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Flytta hanteringsgrupper
Flytta hanteringsgrupper i portalen
Logga in på Azure Portal.
Välj Alla tjänstehanteringsgrupper>.
Välj den hanteringsgrupp som du planerar att vara överordnad.
Längst upp på sidan väljer du Lägg till hanteringsgrupp.
I menyn som öppnas väljer du om du vill ha en ny eller använder en befintlig hanteringsgrupp.
- Om du väljer nytt skapas en ny hanteringsgrupp.
- Om du väljer en befintlig visas en listruta med alla hanteringsgrupper som du kan flytta till den här hanteringsgruppen.
Välj Spara.
Flytta hanteringsgrupper i PowerShell
Använd kommandot Update-AzManagementGroup i PowerShell för att flytta en hanteringsgrupp under en annan grupp.
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Flytta hanteringsgrupper i Azure CLI
Använd uppdateringskommandot för att flytta en hanteringsgrupp med Azure CLI.
az account management-group update --name 'Contoso' --parent ContosoIT
Granska hanteringsgrupper med hjälp av aktivitetsloggar
Hanteringsgrupper kan användas i Azure-aktivitetsloggar. Du kan köra frågor mot alla händelser som händer med en hanteringsgrupp på samma centrala plats som andra Azure-resurser. Du kan till exempel se alla ändringar för rolltilldelningar eller principtilldelningar som gjorts i en viss hanteringsgrupp.
När du vill fråga hanteringsgrupper utanför Microsoft Azure-portalen är målområdet för hanteringsgrupper: "/providers/Microsoft.Management/managementGroups/{yourMgID}".
Referera till hanteringsgrupper från andra resursprovidrar
När du refererar till hanteringsgrupper från andra resursproviderns åtgärder använder du följande sökväg som omfång. Den här sökvägen används när du använder PowerShell, Azure CLI och REST-API:er.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Ett exempel på hur du använder den här sökvägen är när du tilldelar en ny rolltilldelning till en hanteringsgrupp i PowerShell:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Samma omfångssökväg används när du hämtar en principdefinition i en hanteringsgrupp.
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Nästa steg
Läs mer om hanteringslösningar här: