Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте группы управления для организации и управления подписками Azure. По мере увеличения числа подписок группы управления обеспечивают важную структуру в среде Azure и упрощают управление подписками. Используйте следующее руководство, чтобы установить эффективную иерархию групп управления и упорядочить подписки в соответствии с рекомендациями.
Рекомендации по проектированию группы управления
Структуры групп управления в клиенте Microsoft Entra поддерживают сопоставление организации. Тщательно учитывайте структуру группы управления, когда организация планирует внедрение Azure в большом масштабе.
Определите, как ваша организация отделяет службы, которыми владеют или управляют конкретные команды.
Определите, есть ли у вас определенные функции, которые необходимо разделить по таким причинам, как бизнес-требования, операционные требования, нормативные требования, расположение данных, безопасность данных или соответствие требованиям к суверенитету данных.
Используйте группы управления для агрегирования назначений политик и инициатив с помощью политики Azure.
Включите авторизацию на основе ролей Azure (RBAC) для операций группы управления, чтобы переопределить авторизацию по умолчанию. По умолчанию любой субъект, например субъект-пользователь или субъект-служба, в клиенте Microsoft Entra может создавать новые группы управления. Дополнительные сведения см. в разделе "Защита иерархии ресурсов".
Также учитывайте следующие факторы:
Дерево групп управления может поддерживать до шести уровней вложенности. Данное ограничение не включает корневой уровень клиента или уровень подписки.
Все новые подписки размещаются в корневой группе управления клиента по умолчанию.
Дополнительные сведения см. в разделе "Группы управления".
Рекомендации группы управления
Оставить иерархию группы управления достаточно плоской, в идеале не более трех до четырех уровней. Это ограничение снижает затраты на управление и сложность.
Не дублируйте структуру организации в глубоко вложенную иерархию групп управления. Используйте группы управления для назначения политик и выставления счетов и RBAC. Для этого подхода используйте группы управления для их предназначения в концептуальной архитектуре зоны приземления Azure. Эта архитектура предоставляет политики Azure для рабочих нагрузок, требующих того же типа безопасности и соответствия требованиям на одном уровне группы управления.
Не присваивайте командам приложений разрешения через RBAC в областях групп управления. Вместо этого назначьте разрешения в пределах отдельной подписки или группы ресурсов, к которым им требуется доступ. Обычно это обрабатывается во время процесса оформления подписки. Это не рекомендуется из-за чрезмерных разрешений и рисков безопасности, а также дополнительного риска от наследования. Вместо этого используйте группы управления для назначения политик и инициатив Azure, которые применяются ко всем подпискам в группе управления, которые требуют одинаковых параметров безопасности, управления и соответствия требованиям.
- Вы можете назначить разрешения через RBAC на границах группы управления для команд платформы, чтобы они имели легкий доступ ко всем подпискам и могли эффективно выполнять ежедневные задачи и устранять неполадки. Однако это необходимо контролировать с помощью управления привилегированными удостоверениями (PIM), чтобы гарантировать, что разрешения предоставляются только при необходимости.
Используйте теги ресурсов для запроса и горизонтального перехода по иерархии групп управления. Политику Azure можно использовать для принудительного применения или добавления тегов ресурсов. Затем можно группировать ресурсы для поиска без использования сложной иерархии групп управления.
Создайте группу управления песочницей, чтобы сразу же поэкспериментировать с ресурсами перед перемещением их в рабочие среды. Песочница обеспечивает изоляцию от сред разработки, тестирования и рабочей среды.
Создайте группу управления платформой в корневой группе управления для поддержки общих политик платформы и назначений ролей Azure. Эта структура группирования гарантирует применение различных политик к подпискам в базе Azure. Этот подход также централизует выставление счетов за общие ресурсы в одном наборе базовых подписок.
Создайте группы управления в целевой группе управления зонами, чтобы представить типы рабочих нагрузок, которые вы размещаете. Эти группы основаны на требованиях к безопасности, соответствию требованиям, подключению и функциям рабочих нагрузок. С помощью этой структуры группирования можно применить набор политик Azure на уровне группы управления. Используйте эту структуру группирования для всех рабочих нагрузок, требующих одинаковых параметров безопасности, соответствия, подключения и компонентов.
- Используйте группы управления для упорядочивания подписок по типу рабочей нагрузки, например в сети, корпоративной или песочнице. Эта организация помогает применять политики и роли RBAC, относящиеся к типу рабочей нагрузки. Дополнительные сведения см. в статье "Настройка архитектуры целевой зоны Azure" в соответствии с требованиями.
Ограничение количества назначений политик Azure в области корневой группы управления. Это ограничение сводит к минимуму отладку унаследованных политик в группах управления нижнего уровня.
Используйте политики для применения требований соответствия требованиям в группе управления или области подписки для обеспечения управления на основе политик.
Убедитесь, что только привилегированные пользователи могут управлять группами управления в клиенте. Включите авторизацию Azure RBAC в параметрах иерархии групп управления, чтобы уточнить привилегии пользователей. По умолчанию все пользователи могут создавать собственные группы управления в корневой группе управления.
Настройте выделенную группу управления по умолчанию для новых подписок. Эта группа гарантирует, что ни одна подписка не будет помещена под корневую группу управления. Эта группа особенно важна, если у пользователей есть сеть разработчиков Майкрософт (MSDN) или преимущества и подписки Visual Studio. Хорошим кандидатом для этой группы управления является группа управления песочницей. Дополнительные сведения см. в разделе "Настройка группы управления по умолчанию".
Не создавайте группы управления для производственных, тестовых и сред разработки. При необходимости разделите эти группы на разные подписки в одной группе управления. Дополнительные сведения можно найти здесь
Мы рекомендуем использовать стандартную структуру группы управления целевой зоной Azure для многорегионных развертываний. Не создавайте группы управления исключительно для моделирования различных регионов Azure. Не изменяйте или не расширяйте структуру группы управления на основе региона или многорегионного использования.
Если у вас есть нормативные требования на основе расположения, такие как расположение данных, безопасность данных или суверенитет данных, необходимо создать структуру группы управления на основе расположения. Эту структуру можно реализовать на различных уровнях. Дополнительные сведения см. в статье "Изменение архитектуры целевой зоны Azure".
Группы управления в архитектуре целевой зоны Azure
Следующая диаграмма отображает иерархию групп управления архитектурой зон приземления Azure.
| Группа управления | Описание |
|---|---|
| Промежуточная корневая группа управления | Эта группа управления находится непосредственно в корневой группе клиента. Организация назначает этой группе управления префикс, чтобы они не использовали корневую группу. Организация может переместить существующие подписки Azure в иерархию. Этот подход также настраивает будущие сценарии. Эта группа управления является родительской для всех других групп управления, созданных акселератором целевой зоны Azure. |
| Платформа | Эта группа управления содержит все дочерние группы управления платформы, такие как управление, подключение и удостоверение. |
| Безопасность | Эта группа управления содержит выделенную подписку для инструментов команды по безопасности/SIEM. В этой подписке размещаются средства Microsoft Sentinel, сборщики системных журналов и другие средства безопасности и SIEM. |
| Управление | Эта группа управления содержит выделенную подписку для управления, мониторинга и безопасности. Эта подписка включает рабочую область журналов Azure Monitor и сопутствующие решения. |
| Подключение | Эта группа управления содержит выделенную подписку для подключения. Эта подписка размещает сетевые ресурсы Azure, такие как Виртуальная глобальная сеть Azure, брандмауэр Azure и частные зоны Azure DNS, необходимые платформе. Вы можете использовать различные группы ресурсов для хранения ресурсов, таких как виртуальные сети, экземпляры брандмауэра и шлюзы виртуальной сети, развернутые в разных регионах. Некоторые крупные развертывания могут иметь ограничения квоты подписки для ресурсов подключения. Вы можете создавать выделенные подписки в каждом регионе для их ресурсов подключения. |
| Идентичность | Эта группа управления содержит выделенную подписку для удостоверения. Эта подписка служит резервированным местом для виртуальных машин служб домена Active Directory (AD DS) или доменных служб Microsoft Entra. Вы можете использовать различные группы ресурсов для хранения ресурсов, таких как виртуальные сети и виртуальные машины, развернутые в разных регионах. Подписка также позволяет использовать аутентификацию (AuthN) или авторизацию (AuthZ) для рабочих нагрузок в зонах приземления. Назначьте конкретные политики Azure для усиления защиты и управления ресурсами в подписке идентификаторов. Некоторые крупные развертывания могут иметь ограничения квоты подписки для ресурсов подключения. Вы можете создавать выделенные подписки в каждом регионе для их ресурсов подключения. |
| Посадочные зоны | Родительская группа управления, содержащая все дочерние группы управления посадочной зоны. Она имеет политики Azure, не зависящие от рабочей нагрузки, чтобы обеспечить безопасность и соответствие рабочих нагрузок. |
| В сети | Выделенная группа управления для онлайн площадок. Эта группа предназначена для рабочих нагрузок, которые могут требовать прямого подключения к Интернету или исходящего подключения или для рабочих нагрузок, которые могут не требовать виртуальной сети. |
| Corp | Специальная группа управления для корпоративных зон посадки. Эта группа предназначена для рабочих нагрузок, требующих подключения или гибридного подключения к корпоративной сети через концентратор в подписке на подключение. |
| Песочницы | Выделенная группа управления для подписок. Организация использует песочницы для тестирования и изучения. Эти подписки безопасно изолированы от корпоративных и сетевых целевых зон. Песочницы также имеют менее строгий набор политик, назначенных для позволения тестирования, изучения и настройки служб Azure. |
| Списан | Выделенная группа управления для отмененных посадочных зон. Вы перемещаете отмененные целевые зоны в эту группу управления, а затем Azure удаляет их через 30-60 дней. |
Замечание
Для многих организаций группы управления по умолчанию Corp и Online управления обеспечивают идеальную отправную точку.
Некоторым организациям необходимо добавить дополнительные группы управления.
Если вы хотите изменить иерархию групп управления, см. статью "Настройка архитектуры целевой зоны Azure" в соответствии с требованиями.
Следующий шаг
Узнайте, как использовать подписки при планировании крупномасштабного внедрения Azure.