Vad är hanteringsgrupper i Azure?

Om din organisation har många Azure-prenumerationer kan du behöva ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Hanteringsgrupper tillhandahåller ett styrningsomfång över prenumerationer. Du ordnar prenumerationer i hanteringsgrupper de styrningsvillkor som du tillämpar överlappande efter arv för alla associerade prenumerationer.

Hanteringsgrupper ger dig hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du kan ha. Alla prenumerationer i en enda hanteringsgrupp måste dock ha förtroende för samma Klientorganisation i Azure Active Directory (Azure AD).

Du kan till exempel tillämpa principer för en hanteringsgrupp som begränsar regionerna som är tillgängliga för att skapa virtuella datorer (VM). Den här principen tillämpas på alla kapslade hanteringsgrupper, prenumerationer och resurser och tillåter endast skapande av virtuella datorer i auktoriserade regioner.

Hierarki för hanteringsgrupper och prenumerationer

Du kan skapa en flexibel struktur för hanteringsgrupper och prenumerationer för att organisera dina resurser i en hierarki för enhetlig princip- och åtkomsthantering. Följande diagram visar ett exempel på hur du skapar en hierarki för styrning med hjälp av hanteringsgrupper.

Diagram över en exempelhanteringsgruppshierarki.

Diagram över en rothanteringsgrupp som innehåller både hanteringsgrupper och prenumerationer. Vissa underordnade hanteringsgrupper innehåller hanteringsgrupper, vissa har prenumerationer och vissa har båda. Ett av exemplen i exempelhierarkin är fyra nivåer av hanteringsgrupper där den underordnade nivån är alla prenumerationer.

Du kan skapa en hierarki som till exempel tillämpar en princip som begränsar VM-platser till regionen USA, västra i hanteringsgruppen med namnet "Produktion". Den här policyn ärvs av alla EA-prenumerationer (Enterprise-avtal) under den hanteringsgruppen och gäller för alla virtuella datorer i dessa prenumerationer. Den här säkerhetsprincipen kan inte ändras av resursen eller prenumerationsägaren, vilket leder till bättre styrning.

Anteckning

Hanteringsgrupper stöds för närvarande inte i Cost Management-funktioner för Microsoft-kundavtal-prenumerationer (MCA).

Ett annat scenario där du kan använda hanteringsgrupper är för att ge användaråtkomst till flera prenumerationer. Genom att flytta flera prenumerationer under hanteringsgruppen kan du skapa en Azure-rolltilldelning för hanteringsgruppen, som ärver den åtkomsten till alla prenumerationer. En tilldelning i hanteringsgruppen kan ge användarna åtkomst till allt de behöver i stället för att skripta Azure RBAC över olika prenumerationer.

Viktiga fakta om hanteringsgrupper

  • 10 000 hanteringsgrupper kan användas i en enskild katalog.
  • Ett träd för hanteringsgruppen har stöd för upp till sex nivåer.
    • Den här gränsen omfattar inte rotnivån eller prenumerationsnivån.
  • Varje hanteringsgrupp och prenumeration har endast stöd för ett överordnat element.
  • Varje hanteringsgrupp kan ha många underordnade.
  • Alla prenumerationer och hanteringsgrupper ingår i en hierarki i varje katalog. Läs Viktiga fakta om rothanteringsgruppen.

En rothanteringsgrupp för varje katalog

Varje katalog får en enda hanteringsgrupp på den översta nivån som kallas rothanteringsgruppen . Rothanteringsgruppen är inbyggd i hierarkin så att alla hanteringsgrupper och prenumerationer kan delegeras till den. Med den här rothanteringsgruppen kan globala principer och Azure-rolltilldelningar tillämpas på katalognivå. Den globala administratören för Azure Active Directory måste först utöka sin behörighet till rollen Administratör för användaråtkomst för rotgruppen. När åtkomsten har utökats kan administratören tilldela valfri Azure-roll till andra kataloganvändare eller grupper för att hantera hierarkin. Som administratör kan du utse ditt eget konto till ägare av rothanteringsgruppen.

Viktiga fakta om rothanteringsgruppen

  • Som standard är rothanteringsgruppens visningsnamn Klientorganisationsrotgrupp och fungerar som en hanteringsgrupp. ID:t är samma värde som klientorganisations-ID:t för Azure Active Directory (Azure AD).
  • Om du vill ändra visningsnamnet måste ditt konto tilldelas rollen Ägare eller Deltagare i rothanteringsgruppen. Se Ändra namnet på en hanteringsgrupp för att uppdatera namnet på en hanteringsgrupp.
  • Rothanteringsgruppen kan inte flyttas eller tas bort, till skillnad från andra hanteringsgrupper.
  • Alla prenumerationer och hanteringsgrupper är underordnade rothanteringsgruppen i katalogen.
    • Alla resurser i katalogen är underordnade rothanteringsgruppen för global hantering.
    • Nya prenumerationer tilldelas som standard till rothanteringsgruppen när de skapas.
  • Alla Azure-kunder kan se rothanteringsgruppen, men alla kunder får inte hantera rothanteringsgruppen.
    • Alla som har åtkomst till en prenumeration kan se kontexten för den aktuella prenumerationens placering i hierarkin.
    • Det är inte någon som får åtkomst till rothanteringsgruppen som standard. Globala administratörer för Azure Active Directory är de enda användarna som kan ge sig själva åtkomst. När de har åtkomst till rothanteringsgruppen kan de globala administratörerna tilldela valfri Azure-roll till andra användare för att hantera den.

Viktigt

Tilldelning av användaråtkomst eller principer för rothanteringsgruppen gäller för alla resurser i katalogen. Alla kunder bör därför utvärdera behovet av objekt som definierats för det här området. Användaråtkomst och principtilldelningar bör endast vara ”måsten” i den här omfattningen.

Initial konfiguration av hanteringsgrupper

När användarna börjar använda hanteringsgrupper måste de genomföra en initial konfigurationsprocess. Det första steget är att rothanteringsgruppen skapas i katalogen. När den här gruppen har skapats blir alla befintliga prenumerationer i katalogen underordnade rothanteringsgruppen. Den här processen är till för att kontrollera att det endast finns en hanteringsgrupphierarki i en katalog. Hierarkin i katalogen gör det möjligt för administrativa kunder att använda global åtkomst och principer som andra kunder i katalogen inte kan kringgå. Allt som tilldelas i roten gäller för hela hierarkin, som omfattar alla hanteringsgrupper, prenumerationer, resursgrupper och resurser i den Azure AD klientorganisationen.

Problem med att visa alla prenumerationer

Några kataloger som började använda hanteringsgrupper tidigt i förhandsversionen före den 25 juni 2018 kunde se ett problem där inte alla prenumerationer fanns i hierarkin. Processen för att lägga till prenumerationer i hierarkin implementerades efter det att en roll- eller principtilldelning utfördes på katalogens rothanteringsgrupp.

Så här löser du problemet

Det finns två alternativ som du kan använda för att lösa problemet.

  • Ta bort alla roll- och principtilldelningar från rothanteringsgruppen
    • Genom att ta bort eventuella princip- och rolltilldelningar från rothanteringsgruppen återfyller tjänsten alla prenumerationer i hierarkin nästa nattcykel. Den här principen är till för att kontrollera att det inte har getts någon oavsiktlig åtkomst eller principtilldelning till alla prenumerationer i klientorganisationen.
    • Det bästa sättet att göra den här processen utan att påverka dina tjänster är att tillämpa roll- eller principtilldelningar en nivå under rothanteringsgruppen. Sedan kan du ta bort alla tilldelningarna från rotomfånget.
  • Direktanropa API:t och påbörja återfyllningsprocessen
    • Alla kunder i katalogen kan anropa API:erna TenantBackfillStatusRequest eller StartTenantBackfillRequest. När API:n StartTenantBackfillRequest anropas påbörjas den ursprungliga konfigurationsprocessen och alla prenumerationer flyttas till hierarkin. Processen gör även att alla nya prenumerationer blir underordnade rothanteringsgruppen. Den här processen kan utföras utan att ändra några tilldelningar på rotnivån. Genom att anropa API:et godkänner du att alla principer eller åtkomsttilldelningar på roten kan tillämpas på alla prenumerationer.

Om du har frågor om återfyllningsprocessen kan du kontakta: managementgroups@microsoft.com

Åtkomst till hanteringsgrupp

Azure-hanteringsgrupper stöder rollbaserad åtkomstkontroll i Azure (Azure RBAC) för alla resursåtkomster och rolldefinitioner. Dessa behörigheter ärvs av underordnade resurser som finns i hierarkin. Alla Azure-roller kan tilldelas till en hanteringsgrupp som ärver ned hierarkin till resurserna. Vm-deltagaren för Azure-rollen kan till exempel tilldelas till en hanteringsgrupp. Rollen har ingen åtgärd för hanteringsgruppen, men ärver av alla virtuella datorer under hanteringsgruppen.

Följande diagram visar listan över roller och åtgärder som stöds för hanteringsgrupper.

Azure-rollnamn Skapa Byt namn Flytta** Ta bort Tilldela åtkomst Tilldela princip Läs
Ägare X X X X X X X
Deltagare X X X X X
MG-deltagare* X X X X X
Läsare X
MG-läsare* X
Deltagare för resursprincip X
Administratör för användaråtkomst X X

*: Med rollerna Deltagare i hanteringsgrupp och Hanteringsgruppsläsare kan användarna endast utföra dessa åtgärder i hanteringsgruppens omfång.

**: Rolltilldelningar i rothanteringsgruppen krävs inte för att flytta en prenumeration eller hanteringsgrupp till och från den.

Läs Hantera dina resurser med hanteringsgrupper för mer information om att flytta objekt inom hierarkin.

Definition och tilldelning av anpassade roller i Azure

Stöd för anpassade Azure-roller för hanteringsgrupper finns för närvarande i förhandsversion med vissa begränsningar. Du kan definiera hanteringsgruppers omfattning i rolldefinitionens tilldelningsbara omfattning. Den anpassade Azure-rollen blir sedan tillgänglig för tilldelning för den hanteringsgruppen och alla hanteringsgrupper, prenumerationer, resursgrupper eller resurser under den. Den här anpassade rollen ärvs nedåt i hierarkin precis som en inbyggd roll.

Exempeldefinition

Att definiera och skapa en anpassad roll ändras inte när hanteringsgrupper inkluderas. Använd den fullständiga sökvägen för att definiera hanteringsgruppen /providers/Microsoft.Management/managementgroups/{groupId}.

Använd hanteringsgruppens ID och inte hanteringsgruppens visningsnamn. Det här vanliga felet inträffar eftersom båda är anpassade fält när du skapar en hanteringsgrupp.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problem med att bryta rolldefinitions- och tilldelningshierarkisökvägen

Rolldefinitioner är tilldelningsbara omfång var som helst i hanteringsgruppshierarkin. En rolldefinition kan definieras för en överordnad hanteringsgrupp medan den faktiska rolltilldelningen finns i den underordnade prenumerationen. Eftersom det finns en relation mellan de två objekten får du ett felmeddelande när du försöker skilja tilldelningen från dess definition.

Låt oss till exempel titta på ett litet avsnitt i en hierarki för ett visuellt objekt.

Diagram över en delmängd av exempelhanteringsgruppshierarkin.

Diagrammet fokuserar på rothanteringsgruppen med underordnade I T- och Marknadsföringshanteringsgrupper. I T-hanteringsgruppen har en enda underordnad hanteringsgrupp med namnet Produktion medan hanteringsgruppen Marknadsföring har två underordnade prenumerationer för kostnadsfri utvärderingsversion.

Anta att det finns en anpassad roll som definierats i hanteringsgruppen Marknadsföring. Den anpassade rollen tilldelas sedan för de två kostnadsfria utvärderingsprenumerationerna.

Om vi försöker flytta en av dessa prenumerationer till att vara underordnad produktionshanteringsgruppen skulle den här flytten bryta sökvägen från prenumerationsrolltilldelningen till rolldefinitionen Marknadsföringshanteringsgrupp. I det här scenariot får du ett felmeddelande om att flytten inte är tillåten eftersom den bryter den här relationen.

Det finns några olika alternativ för att åtgärda det här scenariot:

  • Ta bort rolltilldelningen från prenumerationen innan du flyttar prenumerationen till en ny överordnad MG.
  • Lägg till prenumerationen i rolldefinitionens tilldelningsbara omfång.
  • Ändra det tilldelningsbara omfånget i rolldefinitionen. I exemplet ovan kan du uppdatera de tilldelningsbara omfången från Marknadsföring till rothanteringsgruppen så att definitionen kan nås av båda grenarna i hierarkin.
  • Skapa en annan anpassad roll som definieras i den andra grenen. Den här nya rollen kräver att rolltilldelningen också ändras i prenumerationen.

Begränsningar

Det finns begränsningar när du använder anpassade roller i hanteringsgrupper.

  • Du kan bara definiera en hanteringsgrupp i de tilldelningsbara omfången för en ny roll. Den här begränsningen finns för att minska antalet situationer där rolldefinitioner och rolltilldelningar kopplas från. Den här situationen inträffar när en prenumeration eller hanteringsgrupp med en rolltilldelning flyttas till en annan överordnad som inte har rolldefinitionen.
  • Åtgärder för resursproviderns dataplan kan inte definieras i anpassade roller för hanteringsgrupper. Den här begränsningen är på plats eftersom det finns ett svarstidsproblem med att uppdatera dataplanets resursproviders. Det här svarstidsproblemet bearbetas och dessa åtgärder inaktiveras från rolldefinitionen för att minska riskerna.
  • Azure-Resource Manager verifierar inte att hanteringsgruppen finns i rolldefinitionens tilldelningsbara omfång. Om det finns ett stavfel eller ett felaktigt hanteringsgrupps-ID i listan skapas fortfarande rolldefinitionen.
  • Rolltilldelning av en roll med dataActions stöds inte. Skapa rolltilldelningen i prenumerationsomfånget i stället.

Viktigt

Att lägga till AssignableScopes en hanteringsgrupp i är för närvarande en förhandsversion. Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

Flytta hanteringsgrupper och prenumerationer

Om du vill flytta en hanteringsgrupp eller prenumeration till en underordnad till en annan hanteringsgrupp måste tre regler utvärderas som sanna.

Om du utför flyttåtgärden behöver du:

  • Skrivbehörigheter för hanteringsgruppsskrivning och rolltilldelning för den underordnade prenumerationen eller hanteringsgruppen.
    • Inbyggt rollexempel: Ägare
  • Skrivåtkomst för hanteringsgrupp i den överordnade målhanteringsgruppen.
    • Inbyggt rollexempel: Ägare, Deltagare, Hanteringsgruppdeltagare
  • Skrivåtkomst för hanteringsgrupp i den befintliga överordnade hanteringsgruppen.
    • Inbyggt rollexempel: Ägare, Deltagare, Hanteringsgruppdeltagare

Undantag: Om målet eller den befintliga överordnade hanteringsgruppen är rothanteringsgruppen gäller inte behörighetskraven. Eftersom rothanteringsgruppen är standardlandningsplatsen för alla nya hanteringsgrupper och prenumerationer behöver du inte behörighet för att flytta ett objekt.

Om rollen Ägare i prenumerationen ärvs från den aktuella hanteringsgruppen är dina flyttmål begränsade. Du kan bara flytta prenumerationen till en annan hanteringsgrupp där du har rollen Ägare . Du kan inte flytta den till en hanteringsgrupp där du är deltagare eftersom du skulle förlora ägarskapet för prenumerationen. Om du är direkt tilldelad rollen Ägare för prenumerationen (inte ärvd från hanteringsgruppen) kan du flytta den till valfri hanteringsgrupp där du har tilldelats rollen Deltagare .

Viktigt

Azure Resource Manager cachelagrar information om hanteringsgruppens hierarki i upp till 30 minuter. Därför kanske flytt av en hanteringsgrupp inte omedelbart återspeglas i Azure Portal.

Granska hanteringsgrupper med hjälp av aktivitetsloggar

Hanteringsgrupper stöds i Azure-aktivitetsloggen. Du kan söka efter alla händelser i en hanteringsgrupp från samma centrala plats som andra Azure-resurser. Du kan till exempel se alla rolltilldelningar eller principtilldelningsändringar som gjorts i en viss hanteringsgrupp.

Skärmbild av aktivitetsloggar och åtgärder relaterade till den valda hanteringsgruppen.

När du vill fråga efter hanteringsgrupper utanför Azure Portal ser målomfånget för hanteringsgrupper ut som "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Anteckning

Med hjälp av REST-API:et för Azure Resource Manager kan du aktivera diagnostikinställningar i en hanteringsgrupp för att skicka relaterade Azure-aktivitetsloggposter till en Log Analytics-arbetsyta, Azure Storage eller Azure Event Hub. Mer information finns i Diagnostikinställningar för hanteringsgrupp – Skapa eller uppdatera.

Nästa steg

Läs mer om hanteringslösningar här: