管理群組
管理群組 對於組織和控管 Azure 訂用帳戶而言非常重要。 隨著訂用帳戶數目增加,管理群組會為您的 Azure 環境提供重要的結構,並讓您更輕鬆地管理您的訂用帳戶。 使用下列指引來建立有效的管理群組階層,並根據最佳做法來組織您的訂用帳戶。
管理群組設計考慮
Microsoft Entra 租使用者內的管理群組結構支持組織對應。 當您的組織大規模規劃其 Azure 採用時,請考慮您的管理群組結構。
貴組織如何區分特定小組所擁有的或營運的服務?
是否有需要針對商務或營運合規性原因分開的特定功能?
您可以使用管理群組,透過 Azure 原則 來匯總原則和計劃指派。
管理群組樹狀結構最多可支援六個層級的深度。 這個限制不包含租用戶根層級或訂用帳戶層級。
Microsoft Entra 租使用者內的任何主體,無論是使用者或服務主體,都可以建立新的管理群組。 此許可權是因為預設不會啟用管理群組作業的 Azure 角色型存取控制 (RBAC) 授權。 如需詳細資訊,請參閱 如何保護您的資源階層
根據預設,所有新的訂用帳戶都會放在租使用者根管理群組之下。
請參閱 管理群組 ,以更詳細地探索其功能。
管理群組建議
讓管理群組階層保持合理一般,理想情況下不超過三到四個層級。 這項限制可減少管理額外負荷和複雜性。
避免將您的組織結構複製到深度巢狀的管理群組階層中。 針對原則指派與計費目的使用管理群組。 此方法會呼叫在 Azure 登陸區域概念架構中,針對其用途使用管理群組。 此架構針對在相同管理群組層級下需要相同安全性與合規性類型的工作負載提供 Azure 原則。
在您的根層級管理群組下建立管理群組,以代表您要裝載的工作負載類型。 這些群組是以工作負載的安全性、合規性、連線能力及功能需求為基礎。 使用此群組結構時,您可以在管理群組層級套用一組 Azure 原則。 此群組結構適用於所有需要相同安全性、合規性、連線和功能設定的工作負載。
使用資源標籤來查詢並水平流覽管理群組階層。 您可以透過 Azure 原則 強制執行或附加資源標籤。 接著,您可以將資源分組以滿足搜尋需求,而不需要使用複雜的管理群組階層。
建立最上層沙盒管理群組,讓使用者可以立即實驗 Azure。 然後,他們可以試驗生產環境中可能尚未允許的資源。 沙箱可提供與開發、測試、生產環境隔離的環境。
在根管理群組下建立平臺管理群組,以支援一般平台原則和 Azure 角色指派。 此群組結構可確保不同的原則可以套用至您的 Azure 基礎所使用的訂用帳戶。 它也可確保一般資源的計費是集中在一組基本訂用帳戶中。
限制在根管理群組範圍中所做的 Azure 原則 指派數目。 這項限制可使較低層級管理群組所繼承原則的偵錯最小化。
使用原則在管理群組或訂用帳戶範圍強制執行合規性需求,以達成原則導向治理。
請確定只有具特殊許可權的用戶可以在租使用者中操作管理群組。 在管理群組 階層設定 中啟用 Azure RBAC 授權,以精簡用戶許可權。 根據預設,所有使用者都有權在根管理群組下建立自己的管理群組。
為新的訂用帳戶設定預設的專用管理群組。 此群組可確保根管理群組下不會放置任何訂用帳戶。 如果有符合 Microsoft 開發人員網路 (MSDN) 或 Visual Studio 權益和訂用帳戶資格的使用者,此群組就特別重要。 這種類型的管理群組是沙箱管理群組的好候選專案。 如需詳細資訊,請參閱 設定 - 預設管理群組。
請勿為生產、測試和開發環境建立管理群組。 如有必要,請將這些群組分成相同管理群組中的不同訂用帳戶。 若要檢閱本主題的進一步指引,請參閱:
Azure 登陸區域加速器和 ALZ-Bicep 存放庫中的管理群組
已做出下列決策,並包含在管理群組結構的實作中。 這些決策是 ALZ-Bicep 存放庫的 Azure 登陸區域加速器和管理群組模組的一部分。
注意
您可以編輯 managementGroups.bicep,在 Azure 登陸區域 bicep 模組中修改管理群組階層。
| 管理群組 | 描述 |
|---|---|
| 中繼根管理群組 | 此管理群組直接位於租使用者根群組底下。 使用組織所提供的前置詞建立,以便避免使用根群組,讓組織可以將現有的 Azure 訂用帳戶移至階層。 它也會啟用未來的案例。 此管理群組是 Azure 登陸區域加速器所建立之所有其他管理群組的父代。 |
| 平台 | 此管理群組包含所有平臺子管理群組,例如管理、連線和身分識別。 |
| 管理 | 此管理群組包含用於管理、監視和安全性的專用訂用帳戶。 此訂用帳戶會裝載 Azure Log Analytics 工作區,包括相關聯的解決方案,以及 Azure 自動化 帳戶。 |
| 連線性 | 此管理群組包含連線的專用訂用帳戶。 此訂用帳戶會裝載平臺所需的 Azure 網路資源,例如 Azure 虛擬 WAN、Azure 防火牆 和 Azure DNS 私人區域。 |
| 身分識別 | 此管理群組包含身分識別的專用訂用帳戶。 此訂用帳戶是 Windows Server Active Directory 網域服務 (AD DS) 虛擬機 (VM) 或 Microsoft Entra Domain Services 的佔位符。 訂用帳戶也會針對登陸區域內的工作負載啟用 AuthN 或 AuthZ。 系統會指派特定的 Azure 原則,以強化和管理身分識別訂用帳戶中的資源。 |
| 登陸區域 | 所有登陸區域子管理群組的父管理群組。 它會指派與工作負載無關的 Azure 原則,以確保工作負載安全且符合規範。 |
| 線上存取 | 在線登陸區域的專用管理群組。 此群組適用於可能需要直接因特網輸入/輸出連線的工作負載,或可能不需要虛擬網路的工作負載。 |
| 公司 | 公司登陸區域的專用管理群組。 此群組適用於需要透過連線訂用帳戶中樞與公司網路連線或混合式連線的工作負載。 |
| 沙箱 | 僅供組織測試和探索之訂用帳戶的專用管理群組。 這些訂用帳戶將會與公司與在線登陸區域安全地中斷連線。 沙箱也有一組較不嚴格的原則,可啟用 Azure 服務的測試、探索和設定。 |
| 退役 | 即將取消之登陸區域的專用管理群組。 取消登陸區域會在 30-60 天后由 Azure 刪除之前移至此管理群組。 |
注意
對於許多組織,預設 Corp 和管理 Online 群組提供理想的起點。
有些組織需要新增更多,而其他組織則找不到與組織相關的組織。
如果您考慮變更管理群組階層,請參閱我們的 量身打造 Azure 登陸區域架構,以符合需求 指引。
Azure 登陸區域加速器的許可權
需要專用的服務主體名稱 (SPN) 來執行管理群組作業、訂用帳戶管理作業和角色指派。 使用 SPN 可減少較高權限的使用者人數,遵循最低權限方針。
需要根管理群組範圍中的使用者存取 管理員 istrator 角色,才能授與根層級的SPN存取權。 授與 SPN 權限之後,就可以安全地移除使用者存取系統管理員角色。 如此一來,只有 SPN 是「使用者存取系統管理員」角色的一部分。
需要先前在根管理群組範圍提及的SPN參與者角色,以允許租用戶層級作業。 這個權限層級可確保 SPN 可用來部署和管理組織內任何訂用帳戶的資源。
下一步
了解規劃大規模 Azure 採用時,訂用帳戶所扮演的角色。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應