Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I gruppi di servizi di Azure offrono un modo flessibile per organizzare e gestire le risorse tra sottoscrizioni e gruppi di risorse, in parallelo a qualsiasi gerarchia di risorse di Azure esistente. Sono ideali per scenari che richiedono raggruppamenti oltre i confini, permessi minimi e aggregazioni di dati attraverso le risorse. Queste funzionalità consentono ai team di creare raccolte di risorse personalizzate allineate alle esigenze operative, organizzative o basate su persona. Questo articolo offre una panoramica dei gruppi di servizi, degli scenari per cui usarli e dei fatti importanti.
Importante
I gruppi di servizi di Azure sono attualmente in anteprima. Per altre informazioni sulla partecipazione all'anteprima, vedere Anteprima dei gruppi di servizi di Azure. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
Funzionalità chiave
- Più gerarchie: i gruppi di servizi consentono scenari in cui le risorse possono essere raggruppate in visualizzazioni diverse per più scopi.
- Appartenenza flessibile: i gruppi di servizi consentono di raggruppare le risorse di sottoscrizioni diverse, offrendo una visualizzazione unificata e funzionalità di gestione. Consentono anche il raggruppamento di sottoscrizioni, gruppi di risorse e risorse. Le stesse risorse possono essere connesse a molti gruppi di servizi diversi, consentendo la creazione e l'uso di diversi utenti e scenari.
- Gestione con privilegi limitati: i gruppi di servizi sono progettati per operare con autorizzazioni minime, assicurandosi che gli utenti possano gestire le risorse senza dover disporre di diritti di accesso eccessivi.
Scenari di esempio
I clienti possono creare molte visualizzazioni diverse che supportano la modalità di organizzazione delle risorse.
Aggregazione delle metriche
- Le organizzazioni con più applicazioni e ambienti possono usare gruppi di servizi per aggregare le metriche in ambienti diversi. Le risorse membro o i contenitori di risorse possono trovarsi in diversi ambienti all'interno di diversi gruppi di gestione o sottoscrizioni, possono essere collegati a un singolo gruppo di servizi che offre una visualizzazione unificata delle metriche.
- Poiché i gruppi di servizi non ereditano le autorizzazioni per i membri, i clienti possono applicare privilegi minimi per assegnare autorizzazioni ai gruppi di servizi che consentono la visualizzazione delle metriche. Questa funzionalità offre una soluzione in cui due utenti possono essere assegnati all'accesso allo stesso gruppo di servizi, ma solo uno è autorizzato a visualizzare determinate risorse.
Creazione dell'inventario
- I clienti possono connettere le risorse ai gruppi di servizi per ottenere una visualizzazione consolidata di tutte le risorse di un particolare tipo o funzione nell'intero ambiente.
- Cambiare gli utenti tipo
- Con i gruppi di servizi, le organizzazioni hanno la possibilità di gestire più gerarchie sulle stesse risorse per persone diverse e le proprie visualizzazioni individuali. I clienti possono usare le stesse risorse per essere membri di un gruppo di servizi del carico di lavoro, di un gruppo di servizi di reparto e di un gruppo di servizi con tutte le risorse di produzione.
Come funziona
I gruppi di servizi di Azure sono una gerarchia a livello di tenant parallelo che consente il raggruppamento delle risorse. La separazione tra gruppi di gestione, sottoscrizioni e gruppi di risorse consente di connettere i gruppi di servizi più volte a risorse e contenitori di risorse diversi senza influire sulle strutture esistenti.
Informazioni sui gruppi di servizi
- Viene creato un gruppo di servizi all'interno del provider di risorse Microsoft.Management.
- I gruppi di servizi consentono l'annidamento automatico per creare fino a 10 "livelli" di profondità di raggruppamento. L'annidamento può essere gestito tramite la proprietà 'padre' all'interno della risorsa del gruppo di servizi.
- Le assegnazioni di ruolo nel gruppo di servizi possono essere ereditate solo nei gruppi di servizi figlio. Non esiste alcuna ereditarietà tramite le appartenenze alle risorse o ai contenitori di risorse.
- Esiste un limite di 2000 membri del gruppo di servizi provenienti dalla stessa sottoscrizione. Ciò significa che all'interno di una sottoscrizione, di risorse o di gruppi di risorse possono essere presenti solo 2.000 appartenenze ai gruppi di servizi.
- Nella finestra Anteprima è previsto un limite di 10.000 gruppi di servizi in un singolo tenant.
- I gruppi di servizi e gli ID membro del gruppo di servizi supportano fino a 250 caratteri. Possono essere caratteri alfanumerici e speciali: - _ ( ). ~
- I gruppi di servizi richiedono un ID univoco globale. Due tenant di Microsoft Entra non possono avere un gruppo di servizi con ID identici.
- L'appartenenza ai gruppi di servizi viene gestita da "Microsoft.Relationship/ServiceGroupMember" per il membro desiderato (una risorsa, un gruppo di risorse o un abbonamento), indirizzando il gruppo di servizi desiderato.
Raggruppamenti di Azure Resource Manager
Azure offre un'ampia gamma di contenitori di risorse che consentono ai clienti di gestire le risorse su vasta scala. I gruppi di servizi sono solo i più recenti in una famiglia di contenitori di Azure Resource Manager (ARM) usati per organizzare l'ambiente.
Questa tabella mostra un riepilogo delle differenze tra i gruppi.
Confronto tra scenari
| Sceneggiatura | Gruppo di risorse | Abbonamento | Gruppo di gestione | Gruppo di servizi | Etichette |
|---|---|---|---|---|---|
| Richiedere l'ereditarietà dall'assegnazione nell'ambito a ogni risorsa membro/discendente | Supportato* | Sostenuto | Sostenuto | Non supportato | Non supportato |
| Consolidamento delle risorse per la riduzione delle assegnazioni di ruolo/assegnazioni di criteri | Sostenuto | Sostenuto | Sostenuto | Non supportato | Non supportato |
| Raggruppamento di risorse condivise attraverso i confini degli ambiti. Ad esempio: Risorse di rete globali in una sottoscrizione o in un gruppo di risorse condiviso tra più applicazioni con sottoscrizioni/gruppi di risorse personali. | Non supportato | Non supportato | Non supportato | Sostenuto | Sostenuto |
| Creare raggruppamenti separati che consentono aggregazioni separate di metriche | Non supportato | Sostenuto | Sostenuto | Sostenuto | Sostenuto** |
| Applicare restrizioni a livello aziendale o configurazioni organizzative in molte risorse | Supportato* | Supportato* | Supportato* | Non supportato | Sostenuto*** |
*: quando un criterio viene applicato a un ambito, l'imposizione è per tutti i membri all'interno dell'ambito. Ad esempio, in un gruppo di risorse si applica solo alle risorse sottostanti.
**: i tag possono essere applicati tra ambiti e vengono aggiunti alle risorse singolarmente. Criteri di Azure include criteri predefiniti che consentono di gestire i tag.
: i tag di Azure possono essere usati come criteri all'interno di Criteri di Azure per applicare criteri a determinate risorse. I tag di Azure sono soggetti a limitazioni.
Fatti importanti sui gruppi di servizi
- Un singolo tenant può supportare 10.000 gruppi di servizi.
- L'albero dei gruppi di servizi può supportare fino a 10 livelli di profondità. Questo limite non include il livello radice.
- Ogni gruppo di servizi può avere molti elementi figlio.
- Un singolo nome/ID del gruppo di servizi può contenere fino a 250 caratteri.
- Non sono previsti limiti per il numero di membri dei gruppi di servizi, ma esiste un limite di 2.000 relazioni (incluso ServiceGroupMember) all'interno di una sottoscrizione
Gruppo di servizi root
I gruppi di servizi, analogamente ai gruppi di gestione, includono un gruppo di servizi radice, che è l'elemento padre principale di tutti i gruppi di servizi in tale tenant. L'ID del gruppo di servizi radice è uguale all'ID tenant.
I gruppi di servizi creano il gruppo di servizi radice nella prima richiesta ricevuta all'interno del tenant e gli utenti non possono creare o aggiornare il gruppo di servizi radice. "/providers/microsoft.management/servicegroups/[tenantId]"
L'accesso alla radice deve essere concesso a un utente con autorizzazioni "microsoft.authorization/roleassignments/write" a livello di tenant. Ad esempio, l'amministratore globale del tenant può elevare i propri privilegi di accesso nel tenant per ottenere queste autorizzazioni. Informazioni dettagliate sull'elevazione dei privilegi di accesso dell'amministratore globale
Controlli degli accessi in base al ruolo
Sono disponibili tre definizioni di ruoli predefiniti per supportare i gruppi di servizi nell'anteprima.
Annotazioni
I controlli degli accessi in base al ruolo personalizzati non sono supportati nell'anteprima.
Amministratore del gruppo di servizi
Questo ruolo gestisce tutti gli aspetti dei gruppi di servizi e delle relazioni ed è il ruolo predefinito assegnato agli utenti quando creano un gruppo di servizi. Il ruolo limita le funzionalità di assegnazione di ruolo a "Amministratore gruppo di servizi", "Collaboratore gruppo di servizi" e "Lettore gruppo di servizi" ad altri utenti.
ID: '/providers/Microsoft.Authorization/roleDefinitions/4e50c84c-c78e-4e37-b47e-e60ffea0a775"
{
"assignableScopes": [
"/providers/Microsoft.Management/serviceGroups"
],
"createdBy": null,
"createdOn": "2024-10-15T18:15:20.488676+00:00",
"description": "Role Definition for administrator of a Service Group",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4e50c84c-c78e-4e37-b47e-e60ffea0a775",
"name": "4e50c84c-c78e-4e37-b47e-e60ffea0a775",
"permissions": [
{
"actions": [
"*"
],
"condition": null,
"conditionVersion": null,
"dataActions": [],
"notActions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{4e50c84cc78e4e37b47ee60ffea0a775,32e6a4ec60954e37b54b12aa350ba81f,de754d53652d4c75a67f1e48d8b49c97})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{4e50c84cc78e4e37b47ee60ffea0a775,32e6a4ec60954e37b54b12aa350ba81f,de754d53652d4c75a67f1e48d8b49c97}))",
"conditionVersion": "2.0",
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Service Group Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions",
"updatedBy": null,
"updatedOn": "2025-03-25T18:40:31.229386+00:00"
}
Collaboratore al gruppo di servizi
Il ruolo di Collaboratore del Gruppo di Servizi è assegnato agli utenti quando devono creare o gestire il ciclo di vita di un Gruppo di Servizi. Questo ruolo consente tutte le azioni ad eccezione delle funzionalità di assegnazione di ruolo.
{
"assignableScopes": [
"/providers/Microsoft.Management/serviceGroups"
],
"createdBy": null,
"createdOn": "2024-10-15T18:15:20.488676+00:00",
"description": "Role Definition for contributor of a Service Group",
"id": "/providers/Microsoft.Authorization/roleDefinitions/32e6a4ec-6095-4e37-b54b-12aa350ba81f",
"name": "32e6a4ec-6095-4e37-b54b-12aa350ba81f",
"permissions": [
{
"actions": [
"*"
],
"condition": null,
"conditionVersion": null,
"dataActions": [],
"notActions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notDataActions": []
}
],
"roleName": "Service Group Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions",
"updatedBy": null,
"updatedOn": "2024-10-15T18:15:20.488676+00:00"
}
Lettore del gruppo di servizi
Questo ruolo predefinito deve essere usato per leggere i gruppi di servizi e può anche essere assegnato ad altre risorse per visualizzare le relazioni connesse.
{
"assignableScopes": [
"/"
],
"createdBy": null,
"createdOn": "2024-10-15T18:15:20.487675+00:00",
"description": "Role Definition for reader of a Service Group",
"id": "/providers/Microsoft.Authorization/roleDefinitions/de754d53-652d-4c75-a67f-1e48d8b49c97",
"name": "de754d53-652d-4c75-a67f-1e48d8b49c97",
"permissions": [
{
"actions": [
"Microsoft.Management/serviceGroups/read",
"Microsoft.Authorization/*/read"
],
"condition": null,
"conditionVersion": null,
"dataActions": [],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Service Group Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions",
"updatedBy": null,
"updatedOn": "2024-10-15T18:15:20.487675+00:00"
}