Hantera dina Azure-prenumerationer i stor skala med hanteringsgrupper

Om din organisation har många prenumerationer kan det behövas ett effektivt sätt att hantera åtkomst, principer och efterlevnad för prenumerationerna. Azure-hanteringsgrupper ger en omgångsnivå som omfattar prenumerationer. Du kan ordna prenumerationerna i containrar som kallas hanteringsgrupper och tillämpa styrningsvillkor för hanteringsgrupperna. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas för hanteringsgruppen.

Hanteringsgrupper tillhandahåller hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har. Mer information om hanteringsgrupper finns i Organisera dina resurser med Azure-hanteringsgrupper.

Anteckning

Den här artikeln innehåller steg om hur du tar bort personuppgifter från enheten eller tjänsten och kan användas för att stödja dina skyldigheter enligt GDPR. Allmän information om GDPR finns i GDPR-avsnittet i Microsoft Trust Center och GDPR-avsnittet i Service Trust Portal.

Viktigt

Azure Resource Manager-användartoken och hanteringsgruppcachen varar i 30 minuter innan de tvingas uppdatera. När du har gjort en åtgärd som att flytta en hanteringsgrupp eller prenumeration kan det ta upp till 30 minuter att visa den. Om du vill se uppdateringarna tidigare behöver du uppdatera din token genom att uppdatera webbläsaren, logga in och ut eller begära en ny token.

Viktigt

AzManagementGroup-relaterade Az PowerShell-cmdletar nämner att -GroupId är aliaset för parametern -GroupName så att vi kan använda något av dem för att ange hanteringsgrupps-ID som ett strängvärde.

Ändra namnet på en hanteringsgrupp

Du kan ändra namnet på hanteringsgruppen med hjälp av portalen, PowerShell eller Azure CLI.

Ändra namnet i portalen

  1. Logga in på Azure Portal.

  2. Välj Alla tjänsthanteringsgrupper>.

  3. Välj den hanteringsgrupp som du vill byta namn på.

  4. Välj information.

  5. Välj alternativet Byt namn på grupp överst på sidan.

    Skärmbild av åtgärdsfältet och knappen Byt namn på grupp på hanteringsgruppssidan.

  6. När menyn öppnas anger du det nya namn som du vill ska visas.

    Skärmbild av fönstret Byt namn på grupp och alternativ för att byta namn på en hanteringsgrupp.

  7. Välj Spara.

Ändra namnet i PowerShell

Om du vill uppdatera visningsnamnet använder du Update-AzManagementGroup. Om du till exempel vill ändra visningsnamnet för hanteringsgrupper från "Contoso IT" till "Contoso Group" kör du följande kommando:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Ändra namnet i Azure CLI

Använd uppdateringskommandot för Azure CLI.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Ta bort en hanteringsgrupp

Följande krav måste uppfyllas för att ta bort en hanteringsgrupp:

  1. Det finns inga underordnade hanteringsgrupper eller prenumerationer under hanteringsgruppen. Information om hur du flyttar en prenumeration eller hanteringsgrupp till en annan hanteringsgrupp finns i Flytta hanteringsgrupper och prenumerationer i hierarkin.

  2. Du behöver skrivbehörighet för hanteringsgruppen ("Ägare", "Deltagare" eller "Hanteringsgruppdeltagare"). Om du vill se vilka behörigheter du har väljer du hanteringsgruppen och sedan IAM. Mer information om Azure-roller finns i Rollbaserad åtkomstkontroll i Azure (Azure RBAC).

Ta bort i portalen

  1. Logga in på Azure Portal.

  2. Välj Alla tjänsthanteringsgrupper>.

  3. Välj den hanteringsgrupp som du vill ta bort.

  4. Välj information.

  5. Välj Ta bort

    Skärmbild av sidan Hanteringsgrupp med knappen Ta bort markerad.

    Tips

    Om ikonen är inaktiverad visas orsaken genom att hovra musväljaren över ikonen.

  6. Ett fönster öppnas som bekräftar att du vill ta bort hanteringsgruppen.

    Skärmbild av bekräftelsedialogrutan Ta bort grupp för att ta bort en hanteringsgrupp.

  7. Välj Ja.

Ta bort i PowerShell

Använd kommandot Remove-AzManagementGroup i PowerShell för att ta bort hanteringsgrupper.

Remove-AzManagementGroup -GroupId 'Contoso'

Borttagning i Azure CLI

Med Azure CLI använder du kommandot az account management-group delete.

az account management-group delete --name 'Contoso'

Visa hanteringsgrupper

Du kan visa alla hanteringsgrupper som du har en direkt eller ärvd Azure-roll på.

Visa i portalen

  1. Logga in på Azure Portal.

  2. Välj Alla tjänsthanteringsgrupper>.

  3. Sidan för hanteringsgruppshierarkin läses in. På den här sidan kan du utforska alla hanteringsgrupper och prenumerationer som du har åtkomst till. Om du väljer gruppnamnet hamnar du på en lägre nivå i hierarkin. Navigeringen fungerar på samma sätt som en utforskare gör.

  4. Om du vill se information om hanteringsgruppen väljer du länken (information) bredvid rubriken för hanteringsgruppen. Om den här länken inte är tillgänglig har du inte behörighet att visa den hanteringsgruppen.

    Skärmbild av sidan Hanteringsgrupper som visar underordnade hanteringsgrupper och prenumerationer.

Visa i PowerShell

Du använder kommandot Get-AzManagementGroup för att hämta alla grupper. I Az.Resources-moduler finns en fullständig lista över get PowerShell-kommandon för hanteringsgruppen.

Get-AzManagementGroup

Om du vill ha information om en enskild hanteringsgrupp använder du parametern -GroupId

Get-AzManagementGroup -GroupId 'Contoso'

Om du vill returnera en specifik hanteringsgrupp och alla nivåer i hierarkin under den använder du parametrarna -Expand och -Recurse .

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Visa i Azure CLI

Du använder listkommandot för att hämta alla grupper.

az account management-group list

Om du vill ha information om en enskild hanteringsgrupp använder du kommandot show

az account management-group show --name 'Contoso'

Om du vill returnera en specifik hanteringsgrupp och alla nivåer i hierarkin under den använder du parametrarna -Expand och -Recurse .

az account management-group show --name 'Contoso' -e -r

Flytta hanteringsgrupper och prenumerationer

En anledning till att skapa en hanteringsgrupp är att paketering av prenumerationer tillsammans. Endast hanteringsgrupper och prenumerationer kan göras underordnade till en annan hanteringsgrupp. En prenumeration som flyttas till en hanteringsgrupp ärver all användaråtkomst och alla principer från den överordnade hanteringsgruppen

När du flyttar en hanteringsgrupp eller prenumeration till en underordnad till en annan hanteringsgrupp måste tre regler utvärderas som sanna.

Om du utför flyttåtgärden behöver du behörighet i vart och ett av följande lager:

  • Underordnad prenumeration/hanteringsgrupp
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (endast för prenumerationer)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Överordnad hanteringsgrupp för mål
    • Microsoft.management/managementgroups/write
  • Aktuell överordnad hanteringsgrupp
    • Microsoft.management/managementgroups/write

Undantag: Om målet eller den befintliga överordnade hanteringsgruppen är rothanteringsgruppen gäller inte behörighetskraven. Eftersom rothanteringsgruppen är standardlandningsplatsen för alla nya hanteringsgrupper och prenumerationer behöver du inte behörighet för att flytta ett objekt.

Om rollen Ägare i prenumerationen ärvs från den aktuella hanteringsgruppen är dina flyttmål begränsade. Du kan bara flytta prenumerationen till en annan hanteringsgrupp där du har rollen Ägare. Du kan inte flytta prenumerationen till en hanteringsgrupp där du bara är deltagare eftersom du skulle förlora ägarskapet för prenumerationen. Om du är direkt tilldelad rollen Ägare för prenumerationen kan du flytta den till valfri hanteringsgrupp där du är deltagare.

Om du vill se vilka behörigheter du har i Azure Portal väljer du hanteringsgruppen och sedan IAM. Mer information om Azure-roller finns i Rollbaserad åtkomstkontroll i Azure (Azure RBAC).

Flytta prenumerationer

Lägga till en befintlig prenumeration i en hanteringsgrupp i portalen

  1. Logga in på Azure Portal.

  2. Välj Alla tjänsthanteringsgrupper>.

  3. Välj den hanteringsgrupp som du planerar att vara överordnad.

  4. Längst upp på sidan väljer du Lägg till prenumeration.

  5. Välj prenumerationen i listan med rätt ID.

    Skärmbild av alternativen

  6. Välj "Spara".

Ta bort en prenumeration från en hanteringsgrupp i portalen

  1. Logga in på Azure Portal.

  2. Välj Alla tjänsthanteringsgrupper>.

  3. Välj den hanteringsgrupp som du planerar som är den aktuella överordnade gruppen.

  4. Välj ellipsen i slutet av raden för prenumerationen i listan som du vill flytta.

    Skärmbild av den alternativa menyn för en prenumeration för att välja alternativet Flytta.

  5. Välj Flytta.

  6. På menyn som öppnas väljer du den överordnade hanteringsgruppen.

    Skärmbild av fönstret Flytta och alternativ för att flytta en prenumeration till en annan hanteringsgrupp.

  7. Välj Spara.

Flytta prenumerationer i PowerShell

Om du vill flytta en prenumeration i PowerShell använder du kommandot New-AzManagementGroupSubscription.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Om du vill ta bort länken mellan prenumerationen och hanteringsgruppen använder du kommandot Remove-AzManagementGroupSubscription.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Flytta prenumerationer i Azure CLI

Om du vill flytta en prenumeration i CLI använder du kommandot lägg till.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Om du vill ta bort prenumerationen från hanteringsgruppen använder du kommandot för att ta bort prenumerationen.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Flytta prenumerationer i ARM-mall

Om du vill flytta en prenumeration i en Azure Resource Manager-mall (ARM-mall) använder du följande mall och distribuerar den på klientorganisationsnivå.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Eller följande Bicep-fil.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Flytta hanteringsgrupper

Flytta hanteringsgrupper i portalen

  1. Logga in på Azure Portal.

  2. Välj Alla tjänsthanteringsgrupper>.

  3. Välj den hanteringsgrupp som du planerar att vara överordnad.

  4. Längst upp på sidan väljer du Lägg till hanteringsgrupp.

  5. I menyn som öppnas väljer du om du vill ha en ny eller använda en befintlig hanteringsgrupp.

    • Om du väljer ny skapas en ny hanteringsgrupp.
    • Om du väljer en befintlig visas en listruta med alla hanteringsgrupper som du kan flytta till den här hanteringsgruppen.

    Skärmbild av alternativen

  6. Välj Spara.

Flytta hanteringsgrupper i PowerShell

Använd kommandot Update-AzManagementGroup i PowerShell för att flytta en hanteringsgrupp under en annan grupp.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Flytta hanteringsgrupper i Azure CLI

Använd uppdateringskommandot för att flytta en hanteringsgrupp med Azure CLI.

az account management-group update --name 'Contoso' --parent ContosoIT

Granska hanteringsgrupper med hjälp av aktivitetsloggar

Hanteringsgrupper kan användas i Azure-aktivitetsloggar. Du kan köra frågor mot alla händelser som inträffar till en hanteringsgrupp på samma centrala plats som andra Azure-resurser. Du kan till exempel se alla ändringar för rolltilldelningar eller principtilldelningar som gjorts i en viss hanteringsgrupp.

Skärmbild av aktivitetsloggar och åtgärder relaterade till den valda hanteringsgruppen.

När du vill fråga hanteringsgrupper utanför Microsoft Azure-portalen är målområdet för hanteringsgrupper: "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Referera till hanteringsgrupper från andra resursprovidrar

När du refererar till hanteringsgrupper från andra resursproviders åtgärder använder du följande sökväg som omfång. Den här sökvägen används när du använder PowerShell, Azure CLI och REST API:er.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Ett exempel på hur du använder den här sökvägen är när du tilldelar en ny rolltilldelning till en hanteringsgrupp i PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Samma omfångssökväg används när du hämtar en principdefinition i en hanteringsgrupp.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Nästa steg

Läs mer om hanteringslösningar här: