你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
管理组
管理组 对于组织和管理 Azure 订阅至关重要。 随着订阅数量的增加,管理组为 Azure 环境提供关键结构,并更轻松地管理订阅。 使用以下指南建立有效的管理组层次结构,并根据最佳做法组织订阅。
管理组设计注意事项
Microsoft Entra 租户中的管理组结构支持组织映射。 在组织计划大规模采用 Azure 时,请全面考虑管理组结构。
你的组织如何分离出特定团队拥有或运营的服务?
出于业务或运营合规性原因,是否需要分开特定的功能?
可以使用管理组通过 Azure Policy 聚合策略和计划分配。
管理组树最多支持 6 个深度级别。 此限制不包括租户根级别或订阅级别。
Microsoft Entra 租户中的任何主体(无论是用户或服务主体)都可以创建新的管理组。 此权限是因为默认未启用对管理组操作的 Azure 基于角色的访问控制 (RBAC) 授权。 有关详细信息,请参阅如何保护资源层次结构
默认情况下,所有新订阅都将放置在租户根管理组下。
请参阅管理组,以更详细地了解其功能。
管理组建议
使管理组层次结构保持适度扁平,理想情况下不超过三到四个级别。 此限制可减少管理开销并降低复杂程度。
避免将组织结构复制到深层嵌套的管理组层次结构中。 将管理组用于策略分配和计费。 此方法要求在 Azure 登陆区域概念体系结构中使用管理组来实现其预期目的。 此体系结构为在同一管理组级别下需要相同安全性和合规性的工作负载提供 Azure 策略。
在根级别管理组下创建管理组,以表示要托管的工作负载类型。 这些组基于工作负载的安全性、合规性、连接性和功能需求。 借助此分组结构,可以在管理组级别应用 Azure 策略集。 此分组结构适用于需要相同安全性、合规性、连接性和功能设置的所有工作负载。
使用资源标记在管理组层次结构中查询并横向浏览。 可以通过 Azure Policy 强制使用或追加资源标记。 然后,可以对资源进行分组以满足搜索需求,而无需使用复杂的管理组层次结构。
创建顶层沙盒管理组,以便用户可以立即试用 Azure。 然后,他们可以试用生产环境中可能尚未允许使用的资源。 沙盒可用于与开发、测试和生产环境隔离。
在根管理组下创建平台管理组,以支持常见平台策略和 Azure 角色分配。 此分组结构确保可以将不同策略应用到用于 Azure Foundation 的订阅。 它还确保对公共资源的计费集中在一组基本订阅中。
限制在根管理组作用域进行的 Azure Policy 分配数。 此限制最大程度减少了在低级管理组中对继承的策略进行的调试工作。
使用策略在管理组或订阅作用域内强制实施合规性要求,以实现策略驱动的治理。
确保只有特权用户可以在租户中操作管理组。 在管理组层次结构设置中启用 Azure RBAC 授权,以细化用户特权。 默认情况下,所有用户都有权在根管理组下创建自己的管理组。
为新订阅配置默认的专用管理组。 此组可确保没有订阅置于根管理组下。 如果用户有资格使用 Microsoft Developer Network (MSDN) 或获得 Visual Studio 权益和订阅,则此组尤为重要。 对于这种类型的管理组,沙盒管理组是一个合适的候选项。 有关详细信息,请参阅设置 - 默认管理组。
请勿为生产、测试和开发环境创建管理组。 如有必要,请将这些组分到同一管理组的不同订阅中。 若要查看有关本主题的详细指导,请参阅:
Azure 登陆区域加速器和 ALZ-Bicep 存储库中的管理组
管理组结构实现中已做出并包含以下决策。 这些决策是 ALZ-Bicep 存储库的 Azure 登陆区域加速器和管理组模块的一部分。
注意
可以通过编辑 managementGroups.bicep 在 Azure 登陆区域 bicep 模块中修改管理组层次结构。
| 管理组 | 说明 |
|---|---|
| 中间根管理组 | 此管理组位于租户根组正下方。 它使用组织提供的前缀创建,旨在避免使用根组,以便组织可以将现有 Azure 订阅移动到层次结构中。 它还会将来的方案提供支持。 此管理组是 Azure 登陆区域加速器创建的所有其他管理组的父组。 |
| 平台 | 此管理组包含所有平台子管理组,例如管理、连接和标识。 |
| Management | 此管理组包含用于管理、监视和安全性的专用订阅。 此订阅将托管 Azure Log Analytics 工作区(包括关联的解决方案)和 Azure 自动化帐户。 |
| 连接 | 此管理组包含用于连接的专用订阅。 此订阅将托管平台所需的 Azure 网络资源,例如 Azure 虚拟 WAN、Azure 防火墙和 Azure DNS 专用区域。 |
| 标识 | 此管理组包含用于标识的专用订阅。 此订阅是 Windows Server Active Directory 域服务(AD DS)虚拟机(VM)或 Microsoft Entra 域服务的占位符。 此订阅还为登陆区域中的工作负载启用 AuthN 或 AuthZ。 已分配特定的 Azure 策略,用于强化和管理标识订阅中的资源。 |
| 登陆区域 | 所有登陆区域子管理组的父管理组。 将为其分配与工作负载无关的 Azure 策略,以确保工作负载安全合规。 |
| 联机 | 联机登陆区域的专用管理组。 此组适用于可能需要直接 Internet 入站/出站连接的工作负载,或可能不需要虚拟网络的工作负载。 |
| 企业 | 企业登陆区域的专用管理组。 此组适用于需要通过连接订阅中的中心与企业网络建立连接或混合连接的工作负载。 |
| Sandboxes(沙盒) | 仅用于组织进行测试和探索的订阅的专用管理组。 这些订阅将安全地与公司登陆区域和联机登陆区域断开连接。 沙盒还分配有限制性较小的策略集,支持测试、探索和配置 Azure 服务。 |
| 已停用 | 被取消的登陆区域的专用管理组。 已取消的登陆区域将移动到此管理组,并在 30-60 天后由 Azure 删除。 |
注意
对于许多组织,默认的 Corp 和 Online 管理组提供了理想的起点。
某些组织需要添加更多管理组,而另一些则认为这些管理组与其组织无关。
如果考虑更改管理组层次结构,请参阅自定义 Azure 登陆区域体系结构来满足要求指南。
Azure 登陆区域加速器的权限
需要使用专用服务主体名称 (SPN) 来执行管理组操作、订阅管理操作和角色分配。 使用 SPN 可减少拥有提升的权限的用户数,有助于遵循最小特权准则。
需要在根管理组作用域具有用户访问管理员角色,以在根级别为 SPN 授予访问权限。 为 SPN 授予权限后,可以安全地删除用户访问管理员角色。 这样,只有 SPN 才属于用户访问管理员角色。
需要在根管理组作用域对前面提到的 SPN 具有参与者角色,以支持租户级别的操作。 此权限级别确保可以使用 SPN 将资源部署到组织内的任何订阅中并进行管理。
后续步骤
了解在计划大规模采用 Azure 时订阅所起的作用。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈