Поделиться через


Группы управления

Используйте группы управления для организации и управления подписками Azure. По мере увеличения числа подписок группы управления обеспечивают важную структуру в среде Azure и упрощают управление подписками. Используйте следующее руководство, чтобы установить эффективную иерархию групп управления и упорядочить подписки в соответствии с рекомендациями.

Рекомендации по проектированию группы управления

Структуры групп управления в клиенте Microsoft Entra поддерживают сопоставление организации. Тщательно учитывайте структуру группы управления, когда организация планирует внедрение Azure в большом масштабе.

  • Определите, как ваша организация отделяет службы, принадлежащие определенным командам или работающим.

  • Определите, есть ли у вас определенные функции, которые необходимо разделить по таким причинам, как бизнес-требования, операционные требования, нормативные требования, расположение данных, безопасность данных или соответствие требованиям к суверенитету данных.

  • Используйте группы управления для агрегирования назначений политик и инициатив с помощью Политика Azure.

  • Включите авторизацию на основе ролей Azure (RBAC) для операций группы управления, чтобы переопределить авторизацию по умолчанию. По умолчанию любой субъект, например субъект-пользователь или субъект-служба, в клиенте Microsoft Entra может создавать новые группы управления. Дополнительные сведения см. в разделе "Защита иерархии ресурсов".

Также учитывайте следующие факторы:

  • Дерево групп управления может поддерживать до шести уровней вложенности. Данное ограничение не включает корневой уровень клиента или уровень подписки.

  • Все новые подписки размещаются в корневой группе управления клиента по умолчанию.

Дополнительные сведения см. в разделе "Группы управления".

Рекомендации по группам управления

  • Сохраните иерархию групп управления достаточно плоской, в идеальном случае не более трех-четырех уровней. Это ограничение снизит сложность и затраты на управление.

  • Не дублируйте структуру организации в глубоко вложенную иерархию групп управления. Группы управления следует использовать для назначения политик, а не для выставления счетов. Для этого подхода используйте группы управления для их целевой цели в концептуальной архитектуре целевой зоны Azure. Эта архитектура предоставляет политики Azure для рабочих нагрузок, которым требуется одинаковый тип безопасности и соответствия требованиям на одном уровне группы управления.

  • Создайте группы управления в группе управления корневого уровня, чтобы представить типы размещенных рабочих нагрузок. Эти группы основаны на требованиях рабочих нагрузок к безопасности, соответствию, подключению и функциональности. С такой структурой группирования можно применять набор политик Azure на уровне группы управления. Используйте эту структуру группирования для всех рабочих нагрузок, требующих одинаковых параметров безопасности, соответствия, подключения и компонентов.

  • Используйте теги ресурсов для запроса и горизонтального перехода по иерархии группы управления. Вы можете использовать Политика Azure для принудительного применения или добавления тегов ресурсов. Затем можно сгруппировать ресурсы для нужд поиска, не используя сложную иерархию групп управления.

  • Создайте группу управления песочницей верхнего уровня, чтобы сразу же поэкспериментировать с ресурсами, прежде чем перемещать их в рабочие среды. Песочница обеспечивает изоляцию от сред разработки, тестирования и рабочей среды.

  • Создайте группу управления платформой в корневой группе управления для поддержки общих политик платформы и назначений ролей Azure. Эта структура группирования гарантирует применение различных политик к подпискам в базе Azure. Этот подход также централизованно определяет выставление счетов для общих ресурсов в одном наборе базовых подписок.

  • Ограничение количества назначений Политика Azure в корневой группе управления область. Это ограничение сводит к минимуму отладку унаследованных политик в группах управления нижнего уровня.

  • Используйте политики для принудительного соблюдения требований соответствия в группе управления или области подписки, чтобы обеспечить управление на основе политик.

  • Убедитесь, что только привилегированные пользователи могут управлять группами управления в клиенте. Включите авторизацию Azure RBAC в параметрах иерархии группы управления, чтобы уточнить привилегии пользователя. По умолчанию все пользователи могут создавать собственные группы управления в корневой группе управления.

  • Настройте выделенную группу управления по умолчанию для новых подписок. Эта группа гарантирует отсутствие подписок в корневой группе управления. Эта группа особенно важна, если у пользователей есть сеть разработчиков Майкрософт (MSDN) или преимущества и подписки Visual Studio. Хорошим кандидатом для этого типа группы управления является группа управления – песочница. Дополнительные сведения см. в разделе "Настройка группы управления по умолчанию".

  • Не создавайте группы управления для рабочей среды, сред тестирования и разработки. При необходимости разделите эти группы на разные подписки в одной группе управления. Дополнительные сведения см. в разделе:

  • Мы рекомендуем использовать стандартную структуру группы управления целевой зоной Azure для многорегионных развертываний. Не создавайте группы управления исключительно для моделирования различных регионов Azure. Не изменяйте или не расширяйте структуру группы управления на основе региона или многорегионного использования.

    Если у вас есть нормативные требования на основе расположения, такие как расположение данных, безопасность данных или суверенитет данных, необходимо создать структуру группы управления на основе расположения. Эту структуру можно реализовать на различных уровнях. Дополнительные сведения см. в статье "Изменение архитектуры целевой зоны Azure".

Группы управления в акселераторе целевой зоны Azure и репозитории ALZ-Bicep

В следующем примере показана структура группы управления. Группы управления в этом примере находятся в акселераторе целевой зоны Azure и модуле групп управления репозитория ALZ-Bicep.

Примечание.

Иерархию групп управления можно изменить в модуле bicep целевой зоны Azure, изменив managementGroups.bicep.

Схема, показывющая структуру группы управления акселератором целевой зоны Azure.

Группа управления Description
Промежуточная корневая группа управления Эта группа управления находится непосредственно в корневой группе клиента. Организация предоставляет эту группу управления префиксом, чтобы они не использовали корневую группу. Организация может переместить существующие подписки Azure в иерархию. Этот подход также настраивает будущие сценарии. Эта группа управления является родительской для всех других групп управления, созданных с помощью ускорителя целевой зоны Azure.
Платформа Эта группа управления содержит все дочерние группы управления платформы, такие как управление, подключение и идентификация.
Управление Эта группа управления содержит выделенную подписку для управления, мониторинга и безопасности. Эта подписка размещает рабочую область журналов Azure Monitor, включая связанные решения и учетную запись служба автоматизации Azure.
Подключение Эта группа управления содержит выделенную подписку для подключения. Эта подписка размещает сетевые ресурсы Azure, такие как Azure Виртуальная глобальная сеть, Брандмауэр Azure и частные зоны Azure DNS, необходимые для платформы.

Вы можете использовать различные группы ресурсов для хранения ресурсов, таких как виртуальные сети, экземпляры брандмауэра и шлюзы виртуальной сети, развернутые в разных регионах. Некоторые крупные развертывания могут иметь ограничения квоты подписки для ресурсов подключения. Вы можете создавать выделенные подписки в каждом регионе для своих ресурсов подключения.
Identity Эта группа управления содержит выделенную подписку для удостоверения. Эта подписка является заполнителем для виртуальных машин домен Active Directory служб (AD DS) или доменных служб Microsoft Entra. Вы можете использовать различные группы ресурсов для хранения ресурсов, таких как виртуальные сети и виртуальные машины, развернутые в разных регионах.

Подписка также включает AuthN или AuthZ для рабочих нагрузок в целевых зонах. Назначьте определенные политики Azure для защиты ресурсов в подписке удостоверения и управления ими. Некоторые крупные развертывания могут иметь ограничения квоты подписки для ресурсов подключения. Вы можете создавать выделенные подписки в каждом регионе для своих ресурсов подключения.
Целевые зоны Родительская группа управления, содержащая все дочерние группы целевой зоны управления. Она имеет политики Azure, не зависящие от рабочей нагрузки, чтобы обеспечить безопасность и соответствие рабочих нагрузок.
В сети Выделенная группа управления для целевых зон в сети. Эта группа предназначена для рабочих нагрузок, которые могут требовать прямого подключения к Интернету или исходящего подключения или для рабочих нагрузок, которые могут не требовать виртуальной сети.
Корпорация Выделенная группа управления для корпоративных целевых зон. Эта группа предназначена для рабочих нагрузок, которым требуется подключение или гибридное подключение к корпоративной сети через центр в подписке подключения.
Песочницы Выделенная группа управления для подписок. Организация использует песочницы для тестирования и изучения. Эти подписки безопасно изолированы от корпоративных и сетевых целевых зон. В песочницах также действует менее ограничивающий набор политик, назначенных для тестирования, исследования и настройки служб Azure.
Списан Выделенная группа управления для отмененных целевых зон. Вы перемещаете отмененные целевые зоны в эту группу управления, а затем Azure удаляет их через 30-60 дней.

Примечание.

Для многих организаций группы управления по умолчанию Corp и Online управления обеспечивают идеальную отправную точку. Некоторым организациям необходимо добавить дополнительные группы управления.

Если вы хотите изменить иерархию групп управления, см. статью "Настройка архитектуры целевой зоны Azure" в соответствии с требованиями.

Разрешения для ускорителя целевой зоны Azure

Акселератор целевой зоны Azure:

  • Требуется выделенное имя субъекта-службы (SPN) для выполнения операций группы управления, операций управления подписками и назначений ролей. Используйте имя участника-службы для уменьшения числа пользователей с повышенными правами и выполнения рекомендаций по наименьшим привилегиям.

  • Требуется роль администратора доступа пользователей в области корневой группы управления, чтобы предоставить имени субъекта-службы доступ на корневом уровне. После того как имя участника-службы имеет разрешения, можно безопасно удалить роль Администратор istrator для доступа пользователей. Этот подход гарантирует, что только имя субъекта-службы подключено к роли Администратор istrator пользователя.

  • Требует роль участника для имени субъекта-службы, ранее упоминание в корневой группе управления область, что позволяет выполнять операции на уровне клиента. Этот уровень разрешений гарантирует, что имя субъекта-службы можно использовать для развертывания ресурсов и управления ими в любой подписке в организации.

Следующий шаг

Узнайте, как использовать подписки при планировании крупномасштабного внедрения Azure.