Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте группы управления для организации и управления подписками Azure. По мере увеличения числа подписок группы управления обеспечивают важную структуру в среде Azure и упрощают управление подписками. Используйте следующее руководство, чтобы установить эффективную иерархию групп управления и упорядочить подписки в соответствии с рекомендациями.
Рекомендации по проектированию группы управления
Структуры групп управления в клиенте Microsoft Entra поддерживают сопоставление организации. Тщательно учитывайте структуру группы управления, когда организация планирует внедрение Azure в большом масштабе.
Определите, как ваша организация отделяет службы, которыми владеют или управляют конкретные команды.
Определите, есть ли у вас определенные функции, которые необходимо разделить по таким причинам, как бизнес-требования, операционные требования, нормативные требования, расположение данных, безопасность данных или соответствие требованиям к суверенитету данных.
Используйте группы управления для агрегирования назначений политик и инициатив с помощью политики Azure.
Включите авторизацию на основе ролей Azure (RBAC) для операций группы управления, чтобы переопределить авторизацию по умолчанию. По умолчанию любой субъект, например субъект-пользователь или субъект-служба, в клиенте Microsoft Entra может создавать новые группы управления. Дополнительные сведения см. в разделе "Защита иерархии ресурсов".
Также учитывайте следующие факторы:
Дерево групп управления может поддерживать до шести уровней вложенности. Данное ограничение не включает корневой уровень клиента или уровень подписки.
Все новые подписки размещаются в корневой группе управления клиента по умолчанию.
Дополнительные сведения см. в разделе "Группы управления".
Рекомендации группы управления
Оставить иерархию группы управления достаточно плоской, в идеале не более трех до четырех уровней. Это ограничение снижает затраты на управление и сложность.
Не дублируйте структуру организации в глубоко вложенную иерархию групп управления. Используйте группы управления для назначения политик и целей выставления счетов. Для этого подхода используйте группы управления для их предназначения в концептуальной архитектуре зоны приземления Azure. Эта архитектура предоставляет политики Azure для рабочих нагрузок, требующих того же типа безопасности и соответствия требованиям на одном уровне группы управления.
Создайте группы управления в группе управления корневого уровня, чтобы представить типы размещенных рабочих нагрузок. Эти группы основаны на требованиях к безопасности, соответствию требованиям, подключению и функциям рабочих нагрузок. С помощью этой структуры группирования можно применить набор политик Azure на уровне группы управления. Используйте эту структуру группирования для всех рабочих нагрузок, требующих одинаковых параметров безопасности, соответствия, подключения и компонентов.
Используйте теги ресурсов для запроса и горизонтального перехода по иерархии групп управления. Политику Azure можно использовать для принудительного применения или добавления тегов ресурсов. Затем можно группировать ресурсы для поиска без использования сложной иерархии групп управления.
Создайте группу управления песочницей верхнего уровня, чтобы сразу же поэкспериментировать с ресурсами, прежде чем перемещать их в рабочие среды. Песочница обеспечивает изоляцию от сред разработки, тестирования и рабочей среды.
Создайте группу управления платформой в корневой группе управления для поддержки общих политик платформы и назначений ролей Azure. Эта структура группирования гарантирует применение различных политик к подпискам в базе Azure. Этот подход также централизует выставление счетов за общие ресурсы в одном наборе базовых подписок.
Ограничение количества назначений политик Azure в области корневой группы управления. Это ограничение сводит к минимуму отладку унаследованных политик в группах управления нижнего уровня.
Используйте политики для применения требований соответствия требованиям в группе управления или области подписки для обеспечения управления на основе политик.
Убедитесь, что только привилегированные пользователи могут управлять группами управления в клиенте. Включите авторизацию Azure RBAC в параметрах иерархии групп управления, чтобы уточнить привилегии пользователей. По умолчанию все пользователи могут создавать собственные группы управления в корневой группе управления.
Настройте выделенную группу управления по умолчанию для новых подписок. Эта группа гарантирует, что ни одна подписка не будет помещена под корневую группу управления. Эта группа особенно важна, если у пользователей есть сеть разработчиков Майкрософт (MSDN) или преимущества и подписки Visual Studio. Хорошим кандидатом для этой группы управления является группа управления песочницей. Дополнительные сведения см. в разделе "Настройка группы управления по умолчанию".
Не создавайте группы управления для производственных, тестовых и сред разработки. При необходимости разделите эти группы на разные подписки в одной группе управления. Дополнительные сведения можно найти здесь
Мы рекомендуем использовать стандартную структуру группы управления целевой зоной Azure для многорегионных развертываний. Не создавайте группы управления исключительно для моделирования различных регионов Azure. Не изменяйте или не расширяйте структуру группы управления на основе региона или многорегионного использования.
Если у вас есть нормативные требования на основе расположения, такие как расположение данных, безопасность данных или суверенитет данных, необходимо создать структуру группы управления на основе расположения. Эту структуру можно реализовать на различных уровнях. Дополнительные сведения см. в статье "Изменение архитектуры целевой зоны Azure".
Группы управления в акселераторе целевой зоны Azure и репозитории ALZ-Bicep
В следующем примере показана структура группы управления. Группы управления в этом примере находятся в акселераторе зоны высадки Azure и модуле управления группами в репозитории ALZ-Bicep.
Замечание
Иерархию групп управления можно изменить в модуле bicep целевой зоны Azure, изменив managementGroups.bicep.
| Группа управления | Описание |
|---|---|
| Промежуточная корневая группа управления | Эта группа управления находится непосредственно в корневой группе клиента. Организация назначает этой группе управления префикс, чтобы они не использовали корневую группу. Организация может переместить существующие подписки Azure в иерархию. Этот подход также настраивает будущие сценарии. Эта группа управления является родительской для всех других групп управления, созданных акселератором целевой зоны Azure. |
| Платформа | Эта группа управления содержит все дочерние группы управления платформы, такие как управление, подключение и удостоверение. |
| Управление | Эта группа управления содержит выделенную подписку для управления, мониторинга и безопасности. Эта подписка включает рабочую область журналов Azure Monitor и сопутствующие решения. |
| Подключение | Эта группа управления содержит выделенную подписку для подключения. Эта подписка размещает сетевые ресурсы Azure, такие как Виртуальная глобальная сеть Azure, брандмауэр Azure и частные зоны Azure DNS, необходимые платформе. Вы можете использовать различные группы ресурсов для хранения ресурсов, таких как виртуальные сети, экземпляры брандмауэра и шлюзы виртуальной сети, развернутые в разных регионах. Некоторые крупные развертывания могут иметь ограничения квоты подписки для ресурсов подключения. Вы можете создавать выделенные подписки в каждом регионе для их ресурсов подключения. |
| Идентичность | Эта группа управления содержит выделенную подписку для удостоверения. Эта подписка служит резервированным местом для виртуальных машин служб домена Active Directory (AD DS) или доменных служб Microsoft Entra. Вы можете использовать различные группы ресурсов для хранения ресурсов, таких как виртуальные сети и виртуальные машины, развернутые в разных регионах. Подписка также позволяет использовать аутентификацию (AuthN) или авторизацию (AuthZ) для рабочих нагрузок в зонах приземления. Назначьте конкретные политики Azure для усиления защиты и управления ресурсами в подписке идентификаторов. Некоторые крупные развертывания могут иметь ограничения квоты подписки для ресурсов подключения. Вы можете создавать выделенные подписки в каждом регионе для своих ресурсов подключения. |
| Посадочные зоны | Родительская группа управления, содержащая все дочерние группы управления посадочной зоны. Она имеет политики Azure, не зависящие от рабочей нагрузки, чтобы обеспечить безопасность и соответствие рабочих нагрузок. |
| В сети | Выделенная группа управления для онлайн площадок. Эта группа предназначена для рабочих нагрузок, которые могут требовать прямого подключения к Интернету или исходящего подключения или для рабочих нагрузок, которые могут не требовать виртуальной сети. |
| Corp | Специальная группа управления для корпоративных зон посадки. Эта группа предназначена для рабочих нагрузок, требующих подключения или гибридного подключения к корпоративной сети через концентратор в подписке на подключение. |
| Песочницы | Выделенная группа управления для подписок. Организация использует песочницы для тестирования и изучения. Эти подписки безопасно изолированы от корпоративных и сетевых целевых зон. Песочницы также имеют менее строгий набор политик, назначенных для позволения тестирования, изучения и настройки служб Azure. |
| Списан | Выделенная группа управления для отмененных посадочных зон. Вы перемещаете отмененные целевые зоны в эту группу управления, а затем Azure удаляет их через 30-60 дней. |
Замечание
Для многих организаций группы управления по умолчанию Corp и Online управления обеспечивают идеальную отправную точку.
Некоторым организациям необходимо добавить дополнительные группы управления.
Если вы хотите изменить иерархию групп управления, см. статью "Настройка архитектуры целевой зоны Azure" в соответствии с требованиями.
Разрешения для ускорителя зоны высадки Azure
Акселератор зоны приземления Azure
Требуется выделенная служебная учетная запись (SPN) для выполнения операций группы администрирования, операций управления подписками и назначений ролей. Используйте SPN для уменьшения числа пользователей с повышенными правами и соблюдения рекомендаций по наименьшим привилегиям.
Требуется роль администратора доступа пользователей в области группы управления верхнего уровня, чтобы предоставить SPN доступ на корневом уровне. После того как SPN получит разрешения, вы можете безопасно удалить роль администратора доступа. Этот подход гарантирует, что только SPN назначено на роль администратора доступа пользователей.
Требуется роль Участника для УИП, упоминаемого ранее на уровне корневой группы управления, что позволяет выполнять операции на уровне арендатора. Этот уровень разрешений обеспечивает возможность использовать SPN для развертывания и управления ресурсами в любой подписке вашей организации.
Следующий шаг
Узнайте, как использовать подписки при планировании крупномасштабного внедрения Azure.