Yönetim gruplarıyla Azure aboneliklerinizi uygun ölçekte yönetme

  • Makale

Kuruluşunuzda birden fazla abonelik varsa bu abonelikler için verimli bir şekilde erişim, ilke ve uyumluluk yönetimi gerçekleştirmek isteyebilirsiniz. Azure yönetim grupları aboneliklerin üzerinde bir kapsam düzeyi sağlar. Abonelikleri "yönetim grupları" adlı kapsayıcılarla düzenler ve idare koşullarınızı bu yönetim gruplarına uygularsınız. Bir yönetim grubu içindeki aboneliklerin tümü otomatik olarak yönetim grubuna uygulanmış olan koşulları devralır.

Yönetim grupları, sahip olabileceğiniz abonelik türüne bakılmaksızın kurumsal düzeyde yönetimi büyük ölçekte sunar. Yönetim grupları hakkında daha fazla bilgi edinmek için bkz. Kaynaklarınızı Azure yönetim gruplarıyla düzenleme.

Not

Bu makale, kişisel verilerin cihazdan veya hizmetten nasıl silineceği hakkında adımlar sağlar ve GDPR kapsamındaki yükümlülüklerinizi desteklemek için kullanılabilir. GDPR hakkında genel bilgi için Microsoft Güven Merkezi'nin GDPR bölümüne ve Hizmet Güveni portalının GDPR bölümüne bakın.

Önemli

Azure Resource Manager kullanıcı belirteçleri ve yönetim grubu önbelleği, yenilemeye zorlanmadan önce 30 dakika sürer. Yönetim grubunu veya aboneliği taşıma gibi herhangi bir eylem gerçekleştirdikten sonra gösterilmesi 30 dakika kadar sürebilir. Güncelleştirmeleri daha erken görmek için tarayıcıyı yenileyerek, oturum açıp kapatarak veya yeni bir belirteç isteyerek belirtecinizi güncelleştirmeniz gerekir.

Önemli

AzManagementGroup ile ilgili Az PowerShell cmdlet'leri , -GroupId değerinin -GroupName parametresinin diğer adı olduğundan yönetim grubu kimliğini dize değeri olarak sağlamak için kullanabiliriz.

Yönetim grubunun adını değiştirme

Portalı, PowerShell'i veya Azure CLI'yı kullanarak yönetim grubunun adını değiştirebilirsiniz.

Portalda adı değiştirme

  1. Azure portalında oturum açın.

  2. Tüm hizmetler>Yönetim grupları'ı seçin.

  3. Yeniden adlandırmak istediğiniz yönetim grubunu seçin.

  4. Ayrıntıları seçin.

  5. Sayfanın üst kısmındaki Grubu yeniden adlandır seçeneğini belirleyin.

    Yönetim grubu sayfasındaki eylem çubuğunun ve 'Grubu Yeniden Adlandır' düğmesinin ekran görüntüsü.

  6. Menü açıldığında, görüntülenmesini istediğiniz yeni adı girin.

    Grubu Yeniden Adlandır penceresinin ve yönetim grubunu yeniden adlandırma seçeneklerinin ekran görüntüsü.

  7. Kaydet’i seçin.

PowerShell'de adı değiştirme

Görünen adı güncelleştirmek için Update-AzManagementGroup kullanın. Örneğin, bir yönetim gruplarının görünen adını "Contoso BT" yerine "Contoso Grubu" olarak değiştirmek için aşağıdaki komutu çalıştırın:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Azure CLI'da adı değiştirme

Azure CLI için update komutunu kullanın.

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Yönetim grubunu silme

Bir yönetim grubunu silmek için aşağıdaki gereksinimlerin karşılanması gerekir:

  1. Yönetim grubu altında alt yönetim grubu veya abonelik yok. Aboneliği veya yönetim grubunu başka bir yönetim grubuna taşımak için bkz . Hiyerarşideki yönetim gruplarını ve abonelikleri taşıma.

  2. Yönetim grubunda ("Sahip", "Katkıda Bulunan" veya "Yönetim Grubu Katkıda Bulunanı") yazma izinlerine sahip olmanız gerekir. Hangi izinlere sahip olduğunuzu görmek için yönetim grubunu ve ardından IAM'yi seçin. Azure rolleri hakkında daha fazla bilgi edinmek için bkz. Azure rol tabanlı erişim denetimi (Azure RBAC).

Portalda silme

  1. Azure portalında oturum açın.

  2. Tüm hizmetler>Yönetim grupları'ı seçin.

  3. Silmek istediğiniz yönetim grubunu seçin.

  4. Ayrıntıları seçin.

  5. Sil’i seçin

    'Sil' düğmesinin vurgulandığı Yönetim grubu sayfasının ekran görüntüsü.

    İpucu

    Simge devre dışı bırakılırsa, fare seçicinizi simgenin üzerine getirdiğinizde nedeni gösterilir.

  6. Yönetim grubunu silmek istediğinizi onaylayan bir pencere açılır.

    Bir yönetim grubunu silmeye yönelik 'Grubu sil' onay iletişim kutusunun ekran görüntüsü.

  7. Evet’i seçin.

PowerShell'de silme

Yönetim gruplarını silmek için PowerShell içindeki Remove-AzManagementGroup komutunu kullanın.

Remove-AzManagementGroup -GroupId 'Contoso'

Azure CLI ile silme

Azure CLI ile az account management-group delete komutunu kullanın.

az account management-group delete --name 'Contoso'

Yönetim gruplarını görüntüleme

Doğrudan veya devralınan bir Azure rolünüz olan herhangi bir yönetim grubunu görüntüleyebilirsiniz.

Portalda görüntüleme

  1. Azure portalında oturum açın.

  2. Tüm hizmetler>Yönetim grupları'ı seçin.

  3. Yönetim grubu hiyerarşi sayfası yüklenir. Bu sayfa, erişiminiz olan tüm yönetim gruplarını ve abonelikleri keşfedebileceğiniz yerdir. Grup adını seçtiğinizde hiyerarşide daha düşük bir düzeye çıkarsınız. Gezinti, dosya gezginiyle aynı şekilde çalışır.

  4. Yönetim grubunun ayrıntılarını görmek için yönetim grubunun başlığının yanındaki (ayrıntılar) bağlantısını seçin. Bu bağlantı kullanılamıyorsa, bu yönetim grubunu görüntüleme izniniz yoktur.

    Alt yönetim gruplarını ve abonelikleri gösteren Yönetim grupları sayfasının ekran görüntüsü.

PowerShell'de görüntüleme

Tüm grupları almak için Get-AzManagementGroup komutunu kullanırsınız. Get PowerShell komutlarının yönetim grubunun tam listesi için bkz. Az.Resources modülleri.

Get-AzManagementGroup

Tek bir yönetim grubunun bilgileri için -GroupId parametresini kullanın

Get-AzManagementGroup -GroupId 'Contoso'

Belirli bir yönetim grubunu ve altındaki hiyerarşinin tüm düzeylerini döndürmek için -Expand ve -Recurse parametrelerini kullanın.

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Azure CLI'da görüntüleme

Tüm grupları almak için list komutunu kullanırsınız.

az account management-group list

Tek bir yönetim grubunun bilgileri için show komutunu kullanın

az account management-group show --name 'Contoso'

Belirli bir yönetim grubunu ve altındaki hiyerarşinin tüm düzeylerini döndürmek için -Expand ve -Recurse parametrelerini kullanın.

az account management-group show --name 'Contoso' -e -r

Yönetim gruplarını ve abonelikleri taşıma

Yönetim grubu oluşturmanın bir nedeni, abonelikleri birlikte paketlemektir. Yalnızca yönetim grupları ve abonelikler başka bir yönetim grubunun alt öğeleri yapılabilir. Bir yönetim grubuna taşınan abonelik, üst yönetim grubundan tüm kullanıcı erişimini ve ilkelerini devralır

Bir yönetim grubunu veya aboneliği başka bir yönetim grubunun alt öğesi olacak şekilde taşırken, üç kuralın true olarak değerlendirilmesi gerekir.

Taşıma eylemini yapıyorsanız, aşağıdaki katmanların her birinde izin almanız gerekir:

  • Alt abonelik / yönetim grubu
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (yalnızca Abonelikler için)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Hedef üst yönetim grubu
    • Microsoft.management/managementgroups/write
  • Geçerli üst yönetim grubu
    • Microsoft.management/managementgroups/write

Özel durum: Hedef veya mevcut üst yönetim grubu Kök yönetim grubuysa, izin gereksinimleri geçerli değildir. Kök yönetim grubu tüm yeni yönetim grupları ve abonelikler için varsayılan giriş noktası olduğundan, öğeyi taşımak için bu grup üzerinde izinlere ihtiyacınız yoktur.

Abonelik üzerindeki Sahip rolü geçerli yönetim grubundan devralındıysa, taşıma hedefleriniz sınırlıdır. Aboneliği yalnızca Sahip rolüne sahip olduğunuz başka bir yönetim grubuna taşıyabilirsiniz. Aboneliğin sahipliğini kaybedeceğiniz için aboneliği yalnızca katkıda bulunan olduğunuz bir yönetim grubuna taşıyamazsınız. Aboneliğin Sahip rolüne doğrudan atandıysanız, bunu katkıda bulunan olduğunuz herhangi bir yönetim grubuna taşıyabilirsiniz.

Azure portal hangi izinlere sahip olduğunuzu görmek için yönetim grubunu ve ardından IAM'yi seçin. Azure rolleri hakkında daha fazla bilgi edinmek için bkz. Azure rol tabanlı erişim denetimi (Azure RBAC).

Abonelikleri taşıma

Mevcut aboneliği portalda bir yönetim grubuna ekleme

  1. Azure portalında oturum açın.

  2. Tüm hizmetler>Yönetim grupları'ı seçin.

  3. Üst grup olarak planladığınız yönetim grubunu seçin.

  4. Sayfanın üst kısmında Abonelik ekle'yi seçin.

  5. Listeden doğru kimlikle aboneliği seçin.

    Yönetim grubuna eklemek üzere mevcut bir aboneliği seçmeye yönelik 'Abonelik ekle' seçeneklerinin ekran görüntüsü.

  6. "Kaydet"i seçin.

Portalda bir yönetim grubundan aboneliği kaldırma

  1. Azure portalında oturum açın.

  2. Tüm hizmetler>Yönetim grupları'ı seçin.

  3. Geçerli üst öğe olan planladığınız yönetim grubunu seçin.

  4. Taşımak istediğiniz listeden aboneliğin satırının sonundaki üç noktayı seçin.

    Bir aboneliğin 'Taşı' seçeneğini belirlemeye yönelik alternatif menüsünün ekran görüntüsü.

  5. Taşı'yı seçin.

  6. Açılan menüde Üst yönetim grubunu seçin.

    'Taşı' penceresinin ve aboneliği farklı bir yönetim grubuna taşıma seçeneklerinin ekran görüntüsü.

  7. Kaydet’i seçin.

PowerShell'de abonelikleri taşıma

PowerShell'de aboneliği taşımak için New-AzManagementGroupSubscription komutunu kullanırsınız.

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Abonelik ve yönetim grubu arasındaki bağlantıyı kaldırmak için Remove-AzManagementGroupSubscription komutunu kullanın.

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Azure CLI'da abonelikleri taşıma

CLI'da aboneliği taşımak için add komutunu kullanırsınız.

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Aboneliği yönetim grubundan kaldırmak için aboneliği kaldırma komutunu kullanın.

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

ARM şablonunda abonelikleri taşıma

Azure Resource Manager şablonundaki (ARM şablonu) aboneliği taşımak için aşağıdaki şablonu kullanın ve kiracı düzeyinde dağıtın.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Veya aşağıdaki Bicep dosyası.

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Yönetim gruplarını taşıma

Yönetim gruplarını portalda taşıma

  1. Azure portalında oturum açın.

  2. Tüm hizmetler>Yönetim grupları'ı seçin.

  3. Üst grup olarak planladığınız yönetim grubunu seçin.

  4. Sayfanın üst kısmında Yönetim grubu ekle'yi seçin.

  5. Açılan menüde yeni bir yönetim grubu mu yoksa var olan bir yönetim grubu mu istediğinizi seçin.

    • Yeni seçildiğinde yeni bir yönetim grubu oluşturulur.
    • Mevcut bir öğeyi seçtiğinizde, bu yönetim grubuna taşıyabileceğiniz tüm yönetim gruplarının bir açılan listesi gösterilir.

    Yeni bir yönetim grubu oluşturmak için 'Yönetim grubu ekle' seçeneklerinin ekran görüntüsü.

  6. Kaydet’i seçin.

PowerShell'de yönetim gruplarını taşıma

Bir yönetim grubunu farklı bir grubun altına taşımak için PowerShell'de Update-AzManagementGroup komutunu kullanın.

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Azure CLI'da yönetim gruplarını taşıma

Azure CLI ile bir yönetim grubunu taşımak için update komutunu kullanın.

az account management-group update --name 'Contoso' --parent ContosoIT

Etkinlik günlüklerini kullanarak yönetim gruplarını denetleme

Yönetim grupları Azure Etkinlik Günlüğü'nde desteklenir. Diğer Azure kaynaklarıyla aynı merkezi konumdaki bir yönetim grubuna gerçekleşen tüm olayları sorgulayabilirsiniz. Örneğin, belirli bir yönetim grubunda yapılan tüm Rol Atamalarını veya İlke Ataması değişikliklerini görebilirsiniz.

Seçili yönetim grubuyla ilgili Etkinlik Günlükleri ve işlemlerinin ekran görüntüsü.

Azure portalının dışında Yönetim Gruplarını sorgulamak istediğinizde, yönetim gruplarının hedef kapsamı "/providers/Microsoft.Management/managementGroups/{yourMgID}" gibi görünür.

Diğer Kaynak Sağlayıcılarından yönetim gruplarına başvurma

Diğer Kaynak Sağlayıcısı eylemlerinden yönetim gruplarına başvururken kapsam olarak aşağıdaki yolu kullanın. Bu yol PowerShell, Azure CLI ve REST API'leri kullanılırken kullanılır.

/providers/Microsoft.Management/managementGroups/{yourMgID}

PowerShell'de bir yönetim grubuna yeni bir rol ataması atarken bu yolu kullanmaya örnek olarak gösteriliyor:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Bir yönetim grubunda ilke tanımı alınırken aynı kapsam yolu kullanılır.

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Sonraki adımlar

Yönetim grupları hakkında daha fazla bilgi almak için bkz.: