Что такое группы управления Azure?

Если у вашей организации много подписок Azure, может потребоваться способ эффективного управления доступом, политиками и соответствием этих подписок. Группы управления предоставляют область управления выше уровня подписок. При организации подписок в группы управления условия управления, которые вы применяете, наследуются ко всем связанным подпискам.

Группы управления предоставляют управление уровня предприятия в масштабе, независимо от того, какие у вас подписки. Однако все подписки в одной группе управления должны доверять одному клиенту Microsoft Entra.

Например, можно применить политику к группе управления, которая ограничивает регионы, доступные для создания виртуальной машины. Эта политика будет применяться ко всем вложенным группам управления, подпискам и ресурсам, чтобы разрешить создание виртуальной машины только в авторизованных регионах.

Иерархия групп управления и подписок

Вы можете создать гибкую структуру групп управления и подписок для упорядочивания своих ресурсов в иерархию для унифицированного управления политикой и доступом. На следующей схеме показано, как создать иерархию управления с использованием групп управления.

Вы можете создать иерархию, которая применяет политику, например, ограничивающую месторасположения ВМ регионом "Западная часть США" в группе управления с именем Corp. Эта политика наследует все подписки по корпоративному соглашению (EA), которые являются потомками этой группы управления, и применяется ко всем ВМ в рамках этих подписок. Владелец ресурса или подписки не может изменить эту политику безопасности, чтобы обеспечить улучшенную систему управления.

Еще один сценарий, в котором можно использовать группы управления, — предоставление пользователю доступа к нескольким подпискам. Переместив несколько подписок в группу управления, можно создать одно назначение ролей Azure в группе управления. Роль наследует доступ ко всем подпискам. Одно назначение в группе управления может позволить пользователям получить доступ ко всему, что им нужно, вместо написания скриптов управления доступом на основе ролей Azure (RBAC) для разных подписок.

Важные факты о группах управления

• Один каталог может поддерживать 10 000 групп управления.

• Дерево групп управления может поддерживать до шести уровней вложенности.

  Данное ограничение не включает корневой уровень или уровень подписки.

• Каждая группа управления и подписка могут поддерживать только одного родителя.

• Каждая группа управления может иметь множество дочерних элементов.

• Все подписки и группы управления находятся в одной иерархии в каждом каталоге. Дополнительные сведения см. в разделе "Важные факты о корневой группе управления" далее в этой статье.

Корневая группа управления для каждого каталога

Каждый каталог имеет одну группу управления верхнего уровня, называемую корневой группой управления. Группа корневого управления встроена в иерархию, чтобы все группы управления и подписки подчинялись ей.

Корневая группа управления позволяет применять глобальные политики и назначения ролей Azure на уровне каталога. Изначально повысьте доступ для управления всеми подписками и группами управления Azure до роли администратора доступа пользователей в этой корневой группе. После повышения доступа администратор клиента может назначить любую роль Azure другим пользователям каталога или группам для управления иерархией. Администратор может назначить свою учетную запись владельцем корневой группы управления.

Важные сведения о корневой группе управления

• По умолчанию отображаемое имя корневой группы управления — корневая группа клиента, и она работает в качестве группы управления. Идентификатор совпадает с идентификатором клиента Microsoft Entra.
• Чтобы изменить отображаемое имя, учетная запись должна иметь роль владельца или участника в корневой группе управления. Дополнительные сведения см. в разделе "Изменение имени группы управления".
• Корневую группу управления нельзя переместить или удалить, в отличие от других групп управления.
• Все подписки и группы управления объединяются в одну корневую группу управления в каталоге.
  • Все ресурсы в каталоге добавляются в корневую группу управления для глобального управления.
  • Новые подписки автоматически по умолчанию создаются в корневой группе управления.
• Все клиенты Azure могут видеть корневую группу управления, но не у всех клиентов есть доступ к управлению этой корневой группой управления.
  • Все, кто имеет доступ к подписке, могут видеть контекст расположения подписки в иерархии.
  • Никто не имеет доступа по умолчанию к корневой группе управления. Глобальные администраторы Microsoft Entra являются единственными пользователями, которые могут повысить уровень доступа. После того как у них есть доступ к корневой группе управления, они могут назначить любую роль Azure другим пользователям для управления группой.

Начальная настройка групп управления

Когда любой пользователь начинает использовать группы управления, происходит начальный процесс установки. Первым шагом является создание корневой группы управления в каталоге. Все существующие в каталоге подписки затем становятся дочерними элементами корневой группы управления.

Это делается для того, чтобы в каталоге существовала только одна иерархия групп управления. Одна иерархия в каталоге позволяет административным клиентам применять глобальный доступ и политики, которые другие клиенты в каталоге не могут обойти.

Все, что назначено корню, применяется ко всей иерархии. То есть он применяется ко всем группам управления, подпискам, группам ресурсов и ресурсам в клиенте Microsoft Entra.

Доступ к группе управления

Группы управления Azure поддерживают Azure RBAC для всех определений доступа к ресурсам и ролей. Дочерние ресурсы, существующие в иерархии, наследуют эти разрешения. Любую роль Azure можно назначить группе управления, которая наследует роли по иерархии вниз к ресурсам.

Например, вы можете назначить роль Azure "VM Contributor" в группе управления. Эта роль не выполняет действий в группе управления, но её права наследуются всеми виртуальными машинами в этой группе управления.

В следующей таблице приводится список ролей и доступных действий в группах управления.

*: эти роли позволяют пользователям выполнять указанные действия только в области группы управления.

**. Назначения ролей в корневой группе управления не требуются для перемещения подписки или группы управления в нее и из нее.

Перемещение подписок и групп управления

Перемещение подписок и групп управления требует применения различных назначений ролей. Чтобы переместить дочернюю подписку или группу администрирования, необходимы следующие разрешения:

• Перемещаемая дочерняя подписка или группа управления
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (только для подписок)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Целевая материнская управляющая группа
  • Microsoft.management/managementgroups/write
• Текущая родительская группа управления
  • Microsoft.management/managementgroups/write

Дополнительные сведения о перемещении элементов в иерархии см. в разделе "Управление ресурсами с помощью групп управления".

Определение и назначение настраиваемой роли Azure

Вы можете определить группу управления как область назначения в определении пользовательской роли Azure. Пользовательская роль Azure доступна для назначения в этой группе управления и любой группе управления, подписке, группе ресурсов или ресурсе под ней. Пользовательская роль наследует иерархию, как и любая встроенная роль.

Сведения об ограничениях с функциями настроек и группами управления см. в разделе Ограничения этой статьи.

Пример определения

Определение и создание настраиваемой роли не изменяется при добавлении групп управления. Используйте полный путь для определения группы управления: /providers/Microsoft.Management/managementgroups/{_groupId_}

Используйте идентификатор группы управления, а не её отображаемое имя. Эта распространенная ошибка возникает, так как оба являются настраиваемыми полями при создании группы управления.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementGroups/delete",
    "Microsoft.Management/managementGroups/read",
    "Microsoft.Management/managementGroups/write",
    "Microsoft.Management/managementGroups/subscriptions/delete",
    "Microsoft.Management/managementGroups/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Проблемы с нарушением пути иерархии для определения и назначения ролей

Определения ролей могут назначаться в любом месте в пределах иерархии групп управления. Определение роли может находиться в родительской группе управления, в то время как фактическое назначение роли существует в дочерней подписке. Поскольку между двумя элементами существует связь, возникает ошибка, если попытаться разделить присваивание от его определения.

Например, рассмотрим следующий пример небольшого раздела иерархии.

Представьте себе, что пользовательская роль определена в группе управления песочницей. Затем эта настраиваемая роль назначается двум подпискам песочницы.

Если вы попытаетесь переместить одну из этих подписок и сделать её дочерним элементом группы управления Corp, это нарушает связь от назначения ролей подписки к определению роли для группы управления тестовой среды. В этом сценарии появляется ошибка, которая сообщает, что перемещение не допускается, так как это нарушает эту связь.

Чтобы исправить эту ситуацию, у вас есть следующие варианты:

• Удалите назначение роли из подписки перед тем, как переместить подписку в новую родительскую группу управления.
• Добавьте подписку в назначаемую область определения роли.
• Измените назначаемую область в определении роли. В этом примере можно обновить назначаемые области из группы управления песочницей до корневой группы управления, чтобы обе ветви иерархии могли получить доступ к определению.
• Создайте другую настраиваемую роль, определяющуюся в другой ветви. Для этой новой роли также требуется изменить роль в подписке.

Ограничения

Существуют ограничения на использование пользовательских ролей в группах управления:

• Вы можете определить только одну группу управления в области назначения новой роли. Это ограничение позволяет сократить количество ситуаций, в которых определения и назначения ролей теряют связь. Такая ситуация возникает, когда подписка или группа управления с назначением ролей перемещается к другому родителю, который не имеет определения роли.
• Настраиваемые роли с DataActions нельзя назначить на уровне группы управления. Дополнительные сведения см. в разделе "Ограничения пользовательских ролей".
• Azure Resource Manager не проверяет существование группы управления, указанной в назначаемой области определения роли. Если есть опечатка или неправильный идентификатор группы управления, определение роли по-прежнему создается.

Перемещение групп управления и подписок

Чтобы переместить группу управления или подписку, чтобы быть дочерним элементом другой группы управления, вам потребуется:

• Разрешения на запись для управления группой и на назначение ролей в дочерней подписке или группе управления.
  • Пример встроенной роли: Владелец
• Разрешения на запись сведений о группе управления в целевой родительской группе управления.
  • Встроенный пример роли: владелец, участник, участник группы управления
• Разрешения на запись сведений о группе управления в нынешней родительской группе управления.
  • Встроенный пример роли: владелец, участник, участник группы управления

Существует исключение: если целевой объект или существующая родительская группа управления является корневой группой управления, требования к разрешениям не применяются. Так как корневая группа управления является целевой точкой по умолчанию для всех новых групп управления и подписок, вам не нужны разрешения на перемещение элемента.

Если роль Владелец подписки наследуется из текущей группы управления, ваши целевые объекты для перемещения будут ограничены. Подписку можно переместить только в другую группу управления, где у вас есть роль владельца. Вы не можете переместить подписку в группу управления, где вы являетесь только участником, так как вы потеряете владение подпиской. Если вы непосредственно назначены на роль владельца подписки, вы можете переместить ее в любую группу управления подписками, где у вас есть роль участника.

Аудит групп управления с помощью журналов действий

Группы управления поддерживаются в журналах активности Azure Monitor. Сведения обо всех событиях, происходящих в группе управления, можно получить в том же централизованном расположении, что и для других ресурсов Azure. Например, вы можете просмотреть сведения обо всех изменениях в назначениях ролей или назначении политик, внесенные в пределах определенной группы управления.

Если вы хотите выполнить запрос по группам управления за пределами портала Azure, целевая область для групп управления выглядит следующим образом"/providers/Microsoft.Management/managementGroups/{management-group-id}".

Связанный контент

Дополнительные сведения о группах управления:

• Создание групп управления для организации ресурсов Azure
• Изменение, удаление или управление группами управления
• Защита иерархии ресурсов