Azure yönetim grupları nedir?

Kuruluşunuzda çok sayıda Azure aboneliği varsa, bu abonelikler için erişimi, ilkeleri ve uyumluluğu verimli bir şekilde yönetmek için bir yönteme ihtiyacınız olabilir. Yönetim grupları aboneliklerin üzerinde bir idare kapsamı sağlar. Abonelikleri yönetim grupları halinde düzenlersiniz, ilişkili tüm aboneliklere devralarak art arda uyguladığınız idare koşulları.

Yönetim grupları, sahip olabileceğiniz aboneliklerin türü ne olursa olsun kurumsal düzeyde yönetim sağlar. Ancak, tek bir yönetim grubundaki tüm aboneliklerin aynı Azure Active Directory (Azure AD) kiracıya güvenmesi gerekir.

Örneğin, sanal makine (VM) oluşturma işlemi için kullanılabilir olan bölgeleri sınırlayan bir yönetim grubuna ilkeleri uygulayabilirsiniz. Bu ilke tüm iç içe yönetim gruplarına, aboneliklere ve kaynaklara uygulanır ve yalnızca yetkili bölgelerde VM oluşturmaya izin verir.

Yönetim grupları ve abonelikler hiyerarşisi

Birleşik ilke ve erişim yönetimi için kaynaklarınızı bir hiyerarşi altında düzenlemek amacıyla yönetim grupları ve aboneliklerden oluşan esnek bir yapı inşa edebilirsiniz. Aşağıdaki diyagramda, yönetim grupları kullanılarak idare amaçlı bir hiyerarşi oluşturma örneği gösterilmektedir.

Örnek yönetim grubu hiyerarşisinin diyagramı.

Hem yönetim gruplarını hem de abonelikleri barındıran kök yönetim grubunun diyagramı. Bazı alt yönetim grupları yönetim gruplarını barındırıyor, bazıları abonelikleri barındırıyor ve bazıları her ikisini de barındırıyor. Örnek hiyerarşideki örneklerden biri, alt düzeyi tüm abonelikler olan dört yönetim grubu düzeyidir.

Örneğin, "Üretim" adlı yönetim grubundaki VM konumlarını Batı ABD bölgesiyle sınırlayan bir ilke uygulayan bir hiyerarşi oluşturabilirsiniz. Bu ilke, o yönetim grubunun alt öğeleri olan her iki Kurumsal Anlaşma (EA) aboneliğine devredilir ve o abonelikler altındaki tüm VM’ler için geçerli olur. Bu güvenlik ilkesi kaynak veya abonelik sahibi tarafından değiştirilemez ve bu da idarenin geliştirilmesine olanak tanır.

Not

Yönetim grupları şu anda Microsoft Müşteri Sözleşmesi (MCA) abonelikleri için Maliyet Yönetimi özelliklerinde desteklenmemektedir.

Yönetim gruplarını kullanacağınız başka bir senaryo ise birden fazla aboneliğe kullanıcı erişimi sağlamaktır. Birden çok aboneliği bu yönetim grubu altına taşıyarak, yönetim grubunda bir Azure rol ataması oluşturabilirsiniz ve bu atama tüm aboneliklere bu erişimi devralır. Yönetim grubundaki bir atama, kullanıcıların farklı abonelikler üzerinden Azure RBAC betiği uygulamak yerine ihtiyaç duydukları her şeye erişmesini sağlayabilir.

Yönetim gruplarıyla ilgili önemli olgular

  • Tek bir dizinde 10.000 yönetim grubu desteklenebilir.
  • Bir yönetim grubu en fazla altı derinlik düzeyini destekleyebilir.
    • Bu sınır, Kök düzeyini veya abonelik düzeyini içermez.
  • Her yönetim grubu ve abonelik yalnızca bir üst öğeyi destekler.
  • Her yönetim grubunun birçok alt öğesi olabilir.
  • Tüm abonelikler ve yönetim grupları, her bir dizindeki tek bir hiyerarşi içinde yer alır. Bkz. Kök yönetim grubu hakkında önemli bilgiler.

Her dizin için kök yönetim grubu

Her dizine kök yönetim grubu adlı tek bir üst düzey yönetim grubu verilir. Kök yönetim grubu, tüm yönetim gruplarının ve aboneliklerin buna katlanmış olması için hiyerarşide yerleşik olarak bulunur. Bu kök yönetim grubu, genel ilkelerin ve Azure rol atamalarının dizin düzeyinde uygulanmasını sağlar. Başlangıçta Azure AD Genel Yöneticisinin bu kök grubunun Kullanıcı Erişimi Yönetici rolüne kendisini yükseltmesi gerekir. Yönetici, erişimi yükseltdikten sonra hiyerarşiyi yönetmek için diğer dizin kullanıcılarına veya gruplarına herhangi bir Azure rolü atayabilir. Yönetici olarak, kendi hesabınızı kök yönetim grubunun sahibi olarak atayabilirsiniz.

Kök yönetim grubu hakkında önemli bilgiler

  • Varsayılan olarak, kök yönetim grubunun görünen adı Kiracı kök grubudur ve kendisini bir yönetim grubu olarak çalıştırır. Kimlik, Azure Active Directory (Azure AD) kiracı kimliğiyle aynı değerdir.
  • Görünen adı değiştirmek için hesabınıza kök yönetim grubunda Sahip veya Katkıda Bulunan rolü atanmalıdır. Yönetim grubunun adını güncelleştirmek için bkz. Yönetim grubunun adını değiştirme.
  • Diğer yönetim gruplarının aksine kök yönetim grubu taşınamaz veya silinemez.
  • Tüm abonelikler ve yönetim grupları, dizinin içindeki bir kök yönetim grubu altında birleşir.
    • Dizindeki tüm kaynaklar, genel yönetim için kök yönetim grubu altında birleşir.
    • Yeni abonelikler, oluşturulduğunda kök yönetim grubuna otomatik olarak eklenir.
  • Tüm Azure müşterileri kök yönetim grubunu görebilir ancak tüm müşteriler o kök yönetim grubunu yönetmek için erişime sahip değildir.
    • Bir aboneliğe erişimi olan herkes bu aboneliğin hiyerarşide bulunduğu bağlamı görebilir.
    • Kök yönetim grubuna hiç kimsenin varsayılan erişimi yoktur. Erişim kazanmak için yalnızca Azure AD Genel Yöneticileri kendi rollerini yükseltebilir. Kök yönetim grubuna erişim sahibi olduktan sonra, genel yöneticiler tüm Azure rollerini yönetmek için diğer kullanıcılara atayabilir.

Önemli

Kök yönetim grubundaki kullanıcı erişimi veya ilke atamaları, dizindeki tüm kaynaklar için geçerlidir. Bu nedenle, tüm müşterilerin bu kapsamda tanımlanmış öğelere sahip olma gereksinimini değerlendirmesi gerekir. Kullanıcı erişimi ve ilke atamaları yalnızca bu kapsamda "Sahip Olunması Zorunlu" olmalıdır.

Yönetim gruplarının ilk ayarı

Herhangi bir kullanıcı yönetim gruplarını kullanmaya başladığında gerçekleştirilen bir ilk ayar işlemi vardır. İlk adım, dizinde kök yönetim grubunun oluşturulmasıdır. Bu grup oluşturulduktan sonra dizinde mevcut olan tüm abonelikler, kök yönetim grubunun alt öğesi yapılır. Bu işlemin yapılmasının nedeni, bir dizin içinde yalnızca bir yönetim grubu hiyerarşisi olmasını sağlamaktır. Dizin içinde tek hiyerarşi olması, yönetim müşterilerinin dizindeki diğer müşteriler tarafından atlanamayacak genel erişim ve ilkeler uygulamasına olanak tanır. Kökte atanan her şey hiyerarşinin tamamına uygulanır ve bu, söz konusu Azure AD kiracıdaki tüm yönetim gruplarını, abonelikleri, kaynak gruplarını ve kaynakları içerir.

Tüm abonelikler görüntülenirken oluşan sorun

25 Haziran 2018'e kadar önizlemenin başlarında yönetim gruplarını kullanmaya başlayan birkaç dizin, tüm aboneliklerin hiyerarşi içinde olmadığı bir sorun görebilir. Tüm abonelikleri hiyerarşiye almaya yönelik işlem, dizindeki kök yönetim grubunda bir rol veya ilke ataması yapıldıktan sonra gerçekleştiriliyordu.

Sorunu çözme

Bu sorunu çözmek için kullanabileceğiniz iki seçenek vardır.

  • Kök yönetim grubundan tüm rol ve ilke atamalarını kaldırma
    • Kök yönetim grubundan ilke ve rol atamalarını kaldırarak, hizmet bir sonraki gece döngüsünde tüm abonelikleri hiyerarşiye geri doldurur. Bu işlemde, tüm kiracı aboneliklerine yanlışlıkla erişim verilmediğinden ve ilke ataması yapılmadığından emin olunur.
    • Hizmetlerinizi etkilemeden bu işlemi gerçekleştirmenin en iyi yolu, rol veya ilke atamalarını kök yönetim grubunun bir düzey altına uygulamaktır. Daha sonra tüm atamaları kök kapsamından çıkarabilirsiniz.
  • Geriye dönük doldurma işlemini başlatmak için doğrudan API’yi çağırın
    • Dizindeki herhangi bir müşteri TenantBackfillStatusRequest veya StartTenantBackfillRequest API’lerini çağırabilir. StartTenantBackfillRequest API’si çağrıldığında tüm abonelikleri hiyerarşiye taşımanın ilk kurulum işlemini başlatır. Ayrıca bu işlem, tüm yeni abonelikleri kök yönetim grubunun alt öğesi olmaya zorlama işlemini de başlatır. Bu işlem, kök düzeyde hiçbir atama değiştirilmeden yapılabilir. API'yi çağırarak, kökteki her ilke veya erişim atamasının tüm aboneliklere uygulanmasının sorun olmadığını belirtmiş olursunuz.

Bu geriye dönük doldurma işlemi hakkında sorularınız varsa şu adresten bize ulaşın: managementgroups@microsoft.com

Yönetim grubu erişimi

Azure yönetim grupları, tüm kaynak erişimleri ve rol tanımları için Azure rol tabanlı erişim denetimini (Azure RBAC) destekler. Bu izinler, hiyerarşide mevcut olan alt kaynaklara devredilir. Herhangi bir Azure rolü, hiyerarşiyi kaynaklara devralacak bir yönetim grubuna atanabilir. Örneğin, Azure rolü VM katkıda bulunanı bir yönetim grubuna atanabilir. Bu rolün yönetim grubu üzerinde herhangi bir eylemi yoktur ancak o yönetim grubu altındaki tüm VM’lere devredilir.

Aşağıdaki grafikte rollerin listesi ve yönetim gruplarında desteklenen eylemler gösterilmektedir.

Azure Rol Adı Oluştur Rename Taşı** Sil Erişim Ata İlke Ata Okuma
Sahip X X X X X X X
Katılımcı X X X X X
MG Katılımcısı* X X X X X
Okuyucu X
MG Okuyucusu* X
Kaynak İlkesine Katkıda Bulunan X
Kullanıcı Erişimi Yöneticisi X X

*: Yönetim Grubu Katkıda Bulunanı ve Yönetim Grubu Okuyucusu rolleri, kullanıcıların bu eylemleri yalnızca yönetim grubu kapsamında gerçekleştirmesine olanak sağlar.

**: Bir aboneliği veya yönetim grubunu kök yönetim grubuna taşımak için kök yönetim grubundaki rol atamaları gerekli değildir.

Hiyerarşi içindeki öğeleri taşımayla ilgili ayrıntılar için bkz. Kaynaklarınızı yönetim gruplarıyla yönetme.

Azure özel rol tanımı ve ataması

Yönetim grupları için Azure özel rol desteği şu anda bazı sınırlamalarla önizleme aşamasındadır. Rol Tanımının atanabilir kapsamında yönetim grubu kapsamını tanımlayabilirsiniz. Bu Azure özel rolü daha sonra bu yönetim grubuna ve altındaki herhangi bir yönetim grubuna, aboneliğe, kaynak grubuna veya kaynağa atanabilir. Bu özel rol, herhangi bir yerleşik rol gibi hiyerarşide aşağıya doğru devralınır.

Örnek tanım

Özel rol tanımlama ve oluşturma , yönetim gruplarının eklenmesiyle birlikte değişmez. /providers/Microsoft.Management/managementgroups/{groupId} yönetim grubunu tanımlamak için tam yolu kullanın.

Yönetim grubunun görünen adını değil yönetim grubunun kimliğini kullanın. Her ikisi de bir yönetim grubu oluştururken özel tanımlı alanlar olduğundan bu yaygın hata oluşur.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementgroups/delete",
    "Microsoft.Management/managementgroups/read",
    "Microsoft.Management/managementgroup/write",
    "Microsoft.Management/managementgroup/subscriptions/delete",
    "Microsoft.Management/managementgroup/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Rol tanımı ve atama hiyerarşisi yolunun bozulmasıyla ilgili sorunlar

Rol tanımları, yönetim grubu hiyerarşisinin herhangi bir yerinde atanabilir kapsamdır. Asıl rol ataması alt abonelikte mevcutken bir rol tanımı üst yönetim grubunda tanımlanabilir. İki öğe arasında bir ilişki olduğundan, atamayı tanımından ayırmaya çalışırken hata alırsınız.

Örneğin, bir görsel için hiyerarşinin küçük bir bölümüne bakalım.

Örnek yönetim grubu hiyerarşisinin bir alt kümesinin diyagramı.

Diyagram, alt I T ve Pazarlama yönetim gruplarıyla kök yönetim grubuna odaklanır. I T yönetim grubu Üretim adlı tek bir alt yönetim grubuna sahipken, Pazarlama yönetim grubunun iki Ücretsiz Deneme alt aboneliği vardır.

Pazarlama yönetim grubunda tanımlanan özel bir rol olduğunu varsayalım. Bu özel rol daha sonra iki ücretsiz deneme aboneliğine atanır.

Bu aboneliklerden birini Üretim yönetim grubunun alt öğesi olacak şekilde taşımaya çalışırsak, bu taşıma işlemi abonelik rolü atamasından Pazarlama yönetim grubu rol tanımına giden yolu bozabilir. Bu senaryoda, bu ilişkiyi bozacağı için taşımaya izin verilmediğini belirten bir hata alırsınız.

Bu senaryoya çözüm getirmek için birkaç farklı seçenek vardır:

  • Aboneliği yeni bir üst MG'ye taşımadan önce rol atamasını abonelikten kaldırın.
  • Aboneliği rol tanımının atanabilir kapsamına ekleyin.
  • Rol tanımı içinde atanabilir kapsamı değiştirin. Yukarıdaki örnekte, tanımın hiyerarşinin her iki dalı tarafından ulaşılabilmesi için Pazarlama'dan kök yönetim grubuna atanabilir kapsamları güncelleştirebilirsiniz.
  • Diğer dalda tanımlanan başka bir özel rol oluşturun. Bu yeni rol, rol atamasının abonelikte de değiştirilmesini gerektirir.

Sınırlamalar

Yönetim gruplarında özel roller kullanılırken mevcut olan sınırlamalar vardır.

  • Yeni rolün atanabilir kapsamlarında yalnızca bir yönetim grubu tanımlayabilirsiniz. Bu sınırlama, rol tanımlarının ve rol atamalarının bağlantısının kesildiği durumların sayısını azaltmak için geçerlidir. Rol ataması olan bir abonelik veya yönetim grubu rol tanımına sahip olmayan farklı bir üst öğeye geçtiğinde bu durum ortaya çıkar.
  • Kaynak sağlayıcısı veri düzlemi eylemleri yönetim grubu özel rollerinde tanımlanamaz. Veri düzlemi kaynak sağlayıcılarının güncelleştirilmesiyle ilgili bir gecikme sorunu olduğundan bu kısıtlama uygulanır. Bu gecikme sorunu üzerinde çalışılıyor ve riskleri azaltmak için bu eylemler rol tanımından devre dışı bırakılacak.
  • Azure Resource Manager, yönetim grubunun rol tanımının atanabilir kapsamındaki varlığını doğrulamaz. Listelenen bir yazım hatası veya yanlış bir yönetim grubu kimliği varsa rol tanımı oluşturulmaya devam edilir.
  • DataActions ile bir rolün rol ataması desteklenmez. Bunun yerine abonelik kapsamında rol ataması oluşturun.

Önemli

'a AssignableScopes bir yönetim grubu ekleme işlemi şu anda önizleme aşamasındadır. Bu önizleme sürümü hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Yönetim gruplarını ve abonelikleri taşıma

Bir yönetim grubunu veya aboneliği başka bir yönetim grubunun alt öğesi olacak şekilde taşımak için üç kuralın true olarak değerlendirilmesi gerekir.

Taşıma eylemini yapıyorsanız şunları yapmanız gerekir:

  • Yönetim grubu yazma ve rol ataması yazma izinleri alt abonelik veya yönetim grubu üzerinde.
    • Yerleşik rol örneği: Sahip
  • Yönetim grubu yazma erişimi hedef üst yönetim grubunda.
    • Yerleşik rol örneği: Sahip, Katkıda Bulunan, Yönetim Grubu Katkıda Bulunanı
  • Yönetim grubu mevcut üst yönetim grubunda yazma erişimi.
    • Yerleşik rol örneği: Sahip, Katkıda Bulunan, Yönetim Grubu Katkıda Bulunanı

Özel durum: Hedef veya mevcut üst yönetim grubu kök yönetim grubuysa, izin gereksinimleri geçerli değildir. Kök yönetim grubu tüm yeni yönetim grupları ve abonelikler için varsayılan giriş noktası olduğundan, öğeyi taşımak için bu grup üzerinde izinlere ihtiyacınız yoktur.

Abonelik üzerindeki Sahip rolü geçerli yönetim grubundan devralındıysa, taşıma hedefleriniz sınırlıdır. Aboneliği yalnızca Sahip rolüne sahip olduğunuz başka bir yönetim grubuna taşıyabilirsiniz. Aboneliğin sahipliğini kaybedeceğiniz için bunu Katkıda Bulunan olduğunuz bir yönetim grubuna taşıyamazsınız. Aboneliğin Sahip rolüne doğrudan atandıysanız (yönetim grubundan devralınmamışsa), bunu Katkıda Bulunan rolünün atandığı herhangi bir yönetim grubuna taşıyabilirsiniz.

Önemli

Azure Resource Manager, yönetim grubu hiyerarşi ayrıntılarını 30 dakikaya kadar önbelleğe alır. Sonuç olarak, bir yönetim grubunun taşınması hemen Azure portal yansıtılamayabilir.

Etkinlik günlüklerini kullanarak yönetim gruplarını denetleme

Yönetim grupları Azure Etkinlik günlüğünde desteklenir. Yönetim grubunda gerçekleşen tüm olayları, diğer Azure kaynaklarıyla aynı merkezi konumda arayabilirsiniz. Örneğin, belirli bir yönetim grubunda yapılan tüm rol atamalarını veya ilke ataması değişikliklerini görebilirsiniz.

Seçili yönetim grubuyla ilgili Etkinlik Günlükleri ve işlemlerinin ekran görüntüsü.

Azure portal dışındaki yönetim gruplarını sorgulamak istediğinizde, yönetim gruplarının hedef kapsamı "/providers/Microsoft.Management/managementGroups/{management-group-id}" şeklinde görünür.

Not

Azure Resource Manager REST API'sini kullanarak bir yönetim grubunda tanılama ayarlarını etkinleştirerek ilgili Azure Etkinlik günlüğü girdilerini Log Analytics çalışma alanına, Azure Depolama'ya veya Azure Olay Hub'ına gönderebilirsiniz. Daha fazla bilgi için bkz. Yönetim Grubu Tanılama Ayarları - Oluşturma veya Güncelleştirme.

Sonraki adımlar

Yönetim grupları hakkında daha fazla bilgi almak için bkz.: