組織及管理多個 Azure 訂用帳戶

如果您只有少數訂用帳戶，則獨立管理它們相當容易。但是，如果您有許多訂用帳戶，該怎麼辦？然後，您可以建立管理群組階層，以協助管理訂用帳戶和資源。

注意

我們建議組織考慮資源組織的 Azure 登陸區域指引，作為規劃 Azure 環境內訂用帳戶的第一個步驟，以確保會考慮要調整的環境更廣泛的內容

Azure 管理群組

針對訂用帳戶，Azure 管理群組可協助您有效率地管理：

每個管理群組都包含一或多個訂用帳戶。

Azure 會在單一階層中排列管理群組。您可以在 Microsoft Entra 租使用者中定義此階層，以符合您組織的結構和需求。最上層稱為 根管理群組 。您可以在階層中定義最多六個層級的管理群組。訂用帳戶只會是一個管理群組的直接成員。

Azure 提供四個層級的管理範圍：

如果您在階層中的一個層級套用任何存取或原則，則會向下傳播至較低層級。資源擁有者或訂用帳戶擁有者無法改變繼承的原則。這項限制有助於改善治理。

此繼承模型可讓您排列階層中的訂用帳戶，因此每個訂用帳戶都遵循適當的原則和安全性控制。

Diagram that shows the four scope levels for organizing your Azure resources.
圖 1：組織 Azure 資源的四個範圍層級。

根管理群組上的任何存取或原則指派都會套用至目錄中的所有資源。請仔細考慮您在此範圍中定義的專案。只包含您必須擁有的指派。

當您定義管理群組階層時，請先建立根管理群組。然後將目錄中的所有現有訂用帳戶移至根管理群組。新的訂用帳戶一開始一律會進入根管理群組。稍後，您可以將它們移至另一個管理群組。

當您將訂用帳戶移至現有的管理群組時，會發生什麼事？訂用帳戶會從其上方的管理群組階層繼承原則和角色指派。為您的 Azure 工作負載建立許多訂用帳戶。然後建立其他訂用帳戶，以包含其他訂用帳戶共用的 Azure 服務。

您預期 Azure 環境會成長嗎？然後，立即建立生產和非生產環境的管理群組，並在管理群組層級套用適當的原則和存取控制。當您將新的訂用帳戶新增至每個管理群組時，這些訂用帳戶會繼承適當的控制項。

Diagram that shows an example of a management group hierarchy.
圖 2：管理群組階層的範例。

使用管理群組來分隔不同工作負載的一些基本範例包括：

生產與非生產工作負載： 使用管理群組，更輕鬆地管理生產與非生產訂用帳戶之間的不同角色和原則。例如，開發人員在非生產訂用帳戶中可能有參與者存取權，但只有生產訂用帳戶中的讀者存取權。

內部服務與外部服務： 企業對於內部服務的需求、原則和角色，與外部客戶面向的服務通常有不同的需求、原則和角色。

請檢閱下列資源，以深入瞭解如何組織和管理您的 Azure 資源。