管理群組
使用 管理群組 來組織和控管您的 Azure 訂用帳戶。 隨著訂用帳戶數目增加,管理群組會為您的 Azure 環境提供重要的結構,並讓您更輕鬆地管理您的訂用帳戶。 使用下列指引來建立有效的管理群組階層,並根據最佳做法來組織您的訂用帳戶。
管理群組設計考慮
Microsoft Entra 租使用者內的管理群組結構支持組織對應。 當您的組織大規模規劃其 Azure 採用時,請徹底考慮您的管理群組結構。
決定您的組織如何區分特定小組擁有或運作的服務。
根據商務需求、作業需求、法規需求、數據落地、數據安全性或數據主權合規性等原因,判斷您是否需要保留特定功能。
使用管理群組透過 Azure 原則 來匯總原則和計劃指派。
啟用管理群組作業的 Azure 角色型存取控制 (RBAC) 授權,以覆寫預設授權。 根據預設,Microsoft Entra 租使用者中的任何主體,例如用戶主體或服務主體,都可以建立新的管理群組。 如需詳細資訊,請參閱 如何保護您的資源階層。
也請考慮下列因素:
管理群組樹狀結構最多可支援六個層級的深度。 這個限制不包含租用戶根層級或訂用帳戶層級。
根據預設,所有新的訂用帳戶都會置於租使用者根管理群組之下。
如需詳細資訊,請參閱 管理群組。
管理群組建議
讓管理群組階層保持合理一般,理想情況下不超過三到四個層級。 這項限制可減少管理額外負荷和複雜性。
請勿將組織結構複製到深層巢狀管理群組階層中。 針對原則指派與計費目的使用管理群組。 針對此方法,請在 Azure 登陸區域概念架構中使用管理群組來達到其預期目的。 此架構針對在相同管理群組層級下需要相同安全性與合規性類型的工作負載提供 Azure 原則。
在您的根層級管理群組下建立管理群組,以代表您裝載的工作負載類型。 這些群組是以工作負載的安全性、合規性、連線能力及功能需求為基礎。 使用此群組結構時,您可以在管理群組層級套用一組 Azure 原則。 針對需要相同安全性、合規性、連線和功能設定的所有工作負載,使用此群組結構。
使用資源標籤來查詢並水平流覽管理群組階層。 您可以使用 Azure 原則 來強制執行或附加資源標籤。 接著,您可以將資源分組以滿足搜尋需求,而不需要使用複雜的管理群組階層。
建立最上層的沙箱管理群組,讓您可以在將資源移至生產環境之前立即實驗資源。 沙箱可提供與開發、測試、生產環境隔離的環境。
在根管理群組下建立平臺管理群組,以支援一般平台原則和 Azure 角色指派。 此群組結構可確保您可以將各種原則套用至 Azure 基礎中的訂用帳戶。 此方法也會集中一組基礎訂用帳戶中的常見資源計費。
限制根管理群組範圍 Azure 原則 指派的數目。 這項限制可使較低層級管理群組所繼承原則的偵錯最小化。
使用原則在管理群組或訂用帳戶範圍強制執行合規性需求,以達成原則導向治理。
請確定只有具特殊許可權的用戶可以在租使用者中操作管理群組。 在管理群組 階層設定 中啟用 Azure RBAC 授權,以精簡用戶許可權。 根據預設,所有使用者都可以在根管理群組下建立自己的管理群組。
為新的訂用帳戶設定預設的專用管理群組。 此群組可確保根管理群組下沒有任何訂用帳戶。 如果使用者有 Microsoft 開發人員網路 (MSDN) 或 Visual Studio 權益和訂用帳戶,此群組就特別重要。 這種類型的管理群組是沙箱管理群組的好候選專案。 如需詳細資訊,請參閱 設定預設管理群組。
請勿為生產、測試和開發環境建立管理群組。 如有必要,請將這些群組分成相同管理群組中的不同訂用帳戶。 如需詳細資訊,請參閱
建議您針對多區域部署使用標準 Azure 登陸區域管理群組結構。 不要只建立管理群組來建立不同的 Azure 區域模型。 請勿根據區域或多區域使用量來改變或擴充您的管理群組結構。
如果您有以位置為基礎的法規需求,例如數據落地、數據安全性或數據主權,則您應該根據位置建立管理群組結構。 您可以在各種層級實作此結構。 如需詳細資訊,請參閱 修改 Azure 登陸區域架構。
Azure 登陸區域加速器和 ALZ-Bicep 存放庫中的管理群組
下列範例顯示管理群組結構。 此範例中的管理群組位於 AZURE 登陸區域加速器和 ALZ-Bicep 存放庫的管理群組模組中。
注意
您可以編輯 managementGroups.bicep,在 Azure 登陸區域 bicep 模組中修改管理群組階層。
管理群組 | 描述 |
---|---|
中繼根管理群組 | 此管理群組直接位於租使用者根群組之下。 組織會提供具有前置詞的這個管理群組,因此不需要使用根群組。 組織可以將現有的 Azure 訂用帳戶移至階層。 此方法也會設定未來的案例。 此管理群組是 Azure 登陸區域加速器所建立之所有其他管理群組的父代。 |
平台 | 此管理群組包含所有平臺子管理群組,例如管理、連線和身分識別。 |
管理 | 此管理群組包含用於管理、監視和安全性的專用訂用帳戶。 此訂用帳戶會裝載 Azure 監視器記錄工作區,包括相關聯的解決方案和 Azure 自動化 帳戶。 |
連線性 | 此管理群組包含連線的專用訂用帳戶。 此訂用帳戶會裝載平臺所需的 Azure 網路資源,例如 Azure 虛擬 WAN、Azure 防火牆 和 Azure DNS 私人區域。 您可以使用各種資源群組來包含部署在不同區域中的資源,例如虛擬網路、防火牆實例和虛擬網路網關。 某些大型部署可能會有連線資源的訂用帳戶配額限制。 您可以在每個區域中建立其連線資源的專用訂用帳戶。 |
身分識別 | 此管理群組包含身分識別的專用訂用帳戶。 此訂用帳戶是 Active Directory 網域服務 (AD DS) 虛擬機 (VM) 或 Microsoft Entra Domain Services 的佔位元元。 您可以使用各種資源群組來包含部署在不同區域中的資源,例如虛擬網路和 VM。 訂用帳戶也會針對登陸區域內的工作負載啟用 AuthN 或 AuthZ。 指派特定的 Azure 原則,以強化和管理身分識別訂用帳戶中的資源。 某些大型部署可能會有連線資源的訂用帳戶配額限制。 您可以在每個區域中建立其連線資源的專用訂用帳戶。 |
登陸區域 | 包含所有登陸區域子管理群組的父管理群組。 其已指派與工作負載無關的 Azure 原則,以確保工作負載安全且符合規範。 |
線上存取 | 在線登陸區域的專用管理群組。 此群組適用於可能需要直接因特網輸入或輸出連線的工作負載,或可能不需要虛擬網路的工作負載。 |
公司 | 公司登陸區域的專用管理群組。 此群組適用於需要透過連線訂用帳戶中樞與公司網路連線或混合式連線的工作負載。 |
沙箱 | 訂用帳戶的專用管理群組。 組織會使用沙箱進行測試和探索。 這些訂用帳戶會安全地與公司與在線登陸區域隔離。 沙箱也有一組較不嚴格的原則,可啟用 Azure 服務的測試、探索和設定。 |
退役 | 已取消登陸區域的專用管理群組。 您將取消登陸區域移至此管理群組,然後在 30-60 天后刪除它們。 |
Azure 登陸區域加速器的許可權
Azure 登陸區域加速器:
需要專用的服務主體名稱 (SPN) 才能執行管理群組作業、訂用帳戶管理作業和角色指派。 使用SPN來減少具有更高許可權的用戶數目,並遵循最低許可權指導方針。
需要根管理群組範圍中的使用者存取 管理員 istrator 角色,才能授與根層級的SPN存取權。 在SPN具有許可權之後,您可以安全地移除使用者存取 管理員 istrator 角色。 此方法可確保只有 SPN 連線到使用者存取 管理員 istrator 角色。
需要先前在根管理群組範圍提及的SPN參與者角色,以允許租用戶層級作業。 此許可權等級可確保您可以使用SPN,將資源部署和管理到組織內的任何訂用帳戶。
後續步驟
瞭解如何在規劃大規模 Azure 採用時使用訂用帳戶。