مشاركة عبر

إدارة اشتراكات Azure على نطاق واسع باستخدام مجموعات الإدارة

  • مقالة

إذا كانت مؤسستك تمتلك العديد من الاشتراكات، فقد تحتاج إلى طريقة لإدارة الوصول والنُهج والامتثال لهذه الاشتراكات بكفاءة. توفرمجموعات إدارة Azure مستوى من النطاق أعلى الاشتراكات. تنظم الاشتراكات في حاويات تسمى مجموعات الإدارة وتطبق شروط الحوكمة الخاصة بك على مجموعات الإدارة. ترث جميع الاشتراكات داخل مجموعة الإدارة الشروط المطبقة على مجموعة الإدارة تلقائياً.

تمنحك مجموعات الإدارة إدارة على مستوى المؤسسة على نطاق واسع بغض النظر عن نوع الاشتراك لديك. لمزيد من المعلومات حول مجموعات الإدارة، يُرجى الرجوع إلى تنظيم الموارد باستخدام مجموعات إدارة Azure.

إشعار

توفر هذه المقالة خطوات حول كيفية حذف بيانات التعريف من الجهاز أو الخدمة، ويمكن استخدامها لدعم التزاماتك بموجب القانون العام لحماية البيانات (GDPR). للحصول على معلومات عامة حول GDPR، راجع قسم GDPR في مركز توثيق Microsoft وقسم GDPR في Service Trust Portal.

هام

تستمر الرموز المميزة لمستخدم Azure Resource Manager وذاكرة التخزين المؤقت لمجموعة الإدارة لمدة 30 دقيقة قبل إجبارها على التحديث. قد يستغرق ظهور أي إجراء مثل نقل مجموعة إدارة أو اشتراك ما يصل إلى 30 دقيقة. لمشاهدة التحديثات في وقت أقرب، تحتاج إلى تحديث الرمز المميز الخاص بك عن طريق تحديث المستعرض أو تسجيل الدخول والخروج أو طلب رمز مميز جديد.

بالنسبة إلى إجراءات Azure PowerShell في هذه المقالة، ضع في اعتبارك أن AzManagementGroupأوامر cmdlets ذات الصلة تذكر أن -GroupId هو اسم مستعار للمعلمة -GroupName . يمكنك استخدام أي منهما لتوفير معرف مجموعة الإدارة كقيمة سلسلة.

تغيير اسم مجموعة إدارة

يمكنك تغيير اسم مجموعة الإدارة باستخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI.

تغيير الاسم في المدخل

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد "All services". في مربع النص تصفية الخدمات ، أدخل مجموعات الإدارة وحددها من القائمة.

  3. حدد مجموعة الإدارة التي تريد إعادة تسميتها.

  4. حدد التفاصيل.

  5. حدد الخيار إعادة تسمية المجموعة في أعلى الجزء.

    لقطة شاشة لشريط الإجراءات وزر إعادة تسمية المجموعة في صفحة مجموعة الإدارة.

  6. في جزء إعادة تسمية المجموعة ، أدخل الاسم الجديد الذي تريد عرضه.

    لقطة شاشة لخيارات إعادة تسمية مجموعة إدارة.

  7. حدد حفظ.

تغيير الاسم في Azure PowerShell

لتحديث اسم العرض، استخدم Update-AzManagementGroup في Azure PowerShell. على سبيل المثال، لتغيير اسم العرض لمجموعة إدارة من Contoso IT إلى Contoso Group، قم بتشغيل الأمر التالي:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

تغيير الاسم في Azure CLI

بالنسبة إلى Azure CLI، استخدم update الأمر :

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

حذف مجموعة إدارة

لحذف مجموعة إدارة، يجب أن تفي بالمتطلبات التالية:

حذف مجموعة إدارة في المدخل

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد "All services". في مربع النص تصفية الخدمات ، أدخل مجموعات الإدارة وحددها من القائمة.

  3. حدد مجموعة الإدارة التي تريد حذفها.

  4. حدد التفاصيل.

  5. حدد حذف.

    لقطة شاشة لصفحة مجموعة الإدارة مع الزر حذف.

    تلميح

    إذا لم يكن الزر حذف متوفرا، فإن التمرير فوق الزر يظهر لك السبب.

  6. يتم فتح مربع حوار ويطلب منك تأكيد رغبتك في حذف مجموعة الإدارة.

    لقطة شاشة لمربع حوار التأكيد لحذف مجموعة إدارة.

  7. حدد نعم.

حذف مجموعة إدارة في Azure PowerShell

لحذف مجموعة إدارة، استخدم Remove-AzManagementGroup الأمر في Azure PowerShell:

Remove-AzManagementGroup -GroupId 'Contoso'

حذف مجموعة إدارة في Azure CLI

باستخدام Azure CLI، استخدم الأمر az account management-group delete:

az account management-group delete --name 'Contoso'

عرض مجموعات الإدارة

يمكنك عرض أي مجموعة إدارة إذا كان لديك دور Azure مباشر أو موروث عليها.

عرض مجموعات الإدارة في المدخل

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد "All services". في مربع النص تصفية الخدمات ، أدخل مجموعات الإدارة وحددها من القائمة.

  3. تظهر صفحة التسلسل الهرمي لمجموعة الإدارة. في هذه الصفحة، يمكنك استكشاف جميع مجموعات الإدارة والاشتراكات التي يمكنك الوصول إليها. يؤدي تحديد اسم المجموعة إلى أخذك إلى مستوى أدنى في التدرج الهرمي. يعمل التنقل بنفس الطريقة التي يعمل بها مستكشف الملفات.

  4. للاطلاع على تفاصيل مجموعة الإدارة، حدد الارتباط (التفاصيل) بجوار عنوان مجموعة الإدارة. إذا لم يكن هذا الارتباط متوفراً، فليس لديك أذونات لعرض مجموعة الإدارة هذه.

    لقطة شاشة لصفحة مجموعات الإدارة التي تعرض مجموعات الإدارة الفرعية والاشتراكات.

عرض مجموعات الإدارة في Azure PowerShell

يمكنك استخدام Get-AzManagementGroup الأمر لاسترداد كافة المجموعات. للحصول على القائمة GET الكاملة لأوامر PowerShell لمجموعات الإدارة، راجع الوحدات النمطية Az.Resources .

Get-AzManagementGroup

للحصول على معلومات مجموعة إدارة واحدة، استخدم المعلمة -GroupId :

Get-AzManagementGroup -GroupId 'Contoso'

لإرجاع مجموعة إدارة معينة وكافة مستويات التسلسل الهرمي ضمنها، استخدم -Expand المعلمتين و -Recurse :

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

عرض مجموعات الإدارة في Azure CLI

يمكنك استخدام list الأمر لاسترداد جميع المجموعات:

az account management-group list

للحصول على معلومات مجموعة إدارة واحدة، استخدم show الأمر :

az account management-group show --name 'Contoso'

لإرجاع مجموعة إدارة معينة وكافة مستويات التسلسل الهرمي ضمنها، استخدم -Expand المعلمتين و -Recurse :

az account management-group show --name 'Contoso' -e -r

نقل مجموعات الإدارة والاشتراكات

أحد أسباب إنشاء مجموعة إدارة هو تجميع الاشتراكات معًا. يمكن أن تصبح مجموعات الإدارة والاشتراكات فقط تابعة لمجموعة إدارة أخرى. يرث الاشتراك الذي ينتقل إلى مجموعة إدارة جميع وصول المستخدم والنهج من مجموعة الإدارة الأصل.

يمكنك نقل الاشتراكات بين مجموعات الإدارة. يمكن أن يكون للاشتراك مجموعة إدارة أصل واحدة فقط.

عند نقل مجموعة إدارة أو اشتراك ليكون تابعا لمجموعة إدارة أخرى، يجب تقييم ثلاث قواعد على أنها صحيحة.

إذا كنت تقوم بإجراء النقل، فأنت بحاجة إلى إذن في كل من الطبقات التالية:

  • اشتراك تابع أو مجموعة إدارة
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (للاشتراكات فقط)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • مجموعة إدارة الأصل المستهدفة
    • Microsoft.management/managementgroups/write
  • مجموعة الإدارة الأصلية الحالية
    • Microsoft.management/managementgroups/write

هناك استثناء: إذا كان الهدف أو مجموعة الإدارة الأصلية الموجودة هي مجموعة إدارة الجذر، فلا تنطبق متطلبات الإذن. نظرا لأن مجموعة إدارة الجذر هي نقطة الهبوط الافتراضية لجميع مجموعات الإدارة والاشتراكات الجديدة، فلن تحتاج إلى أذونات عليها لنقل عنصر.

إذا كان دور المالك على الاشتراك منقولاً من مجموعة الإدارة الحالية، فستُحدد أهداف النقل. يمكنك نقل الاشتراك فقط إلى مجموعة إدارة أخرى حيث يكون لديك دور المالك. لا يمكنك نقل الاشتراك إلى مجموعة إدارة حيث تكون مساهما فقط لأنك ستفقد ملكية الاشتراك. إذا تم تعيينك مباشرة إلى دور المالك للاشتراك، يمكنك نقله إلى أي مجموعة إدارة يكون لديك فيها دور المساهم.

لمعرفة الأذونات التي لديك في مدخل Azure، حدد «مجموعة الإدارة»، ثم حدد IAM. لمعرفة المزيد حول أدوار Azure، راجع ما هو التحكم في الوصول المستند إلى دور Azure (Azure RBAC)؟.

إضافة اشتراك موجود إلى مجموعة إدارة في المدخل

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد "All services". في مربع النص تصفية الخدمات ، أدخل مجموعات الإدارة وحددها من القائمة.

  3. حدد مجموعة الإدارة التي تريد أن تكون الأصل.

  4. في أعلى الصفحة، حدد إضافة اشتراك.

  5. من Add subscription ، حدد الاشتراك في القائمة بالمعرف الصحيح.

    لقطة شاشة لمربع تحديد اشتراك موجود لإضافته إلى مجموعة إدارة.

  6. حدد حفظ.

إزالة اشتراك من مجموعة إدارة في المدخل

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد "All services". في مربع النص تصفية الخدمات ، أدخل مجموعات الإدارة وحددها من القائمة.

  3. حدد مجموعة الإدارة التي هي الأصل الحالي.

  4. حدد علامة الحذف (...) في نهاية الصف للاشتراك في القائمة التي تريد نقلها.

    لقطة شاشة للقائمة التي تتضمن خيار النقل للاشتراك.

  5. حدد نقل.

  6. في جزء Move ، حدد قيمة New parent management group ID.

    لقطة شاشة لجزء نقل اشتراك إلى مجموعة إدارة مختلفة.

  7. حدد حفظ.

نقل اشتراك في Azure PowerShell

لنقل اشتراك في PowerShell، يمكنك استخدام New-AzManagementGroupSubscription الأمر :

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

لإزالة الارتباط بين الاشتراك ومجموعة الإدارة، استخدم Remove-AzManagementGroupSubscription الأمر :

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

نقل اشتراك في Azure CLI

لنقل اشتراك في Azure CLI، يمكنك استخدام add الأمر :

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

لإزالة الاشتراك من مجموعة الإدارة، استخدم subscription remove الأمر :

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

نقل اشتراك في قالب ARM

لنقل اشتراك في قالب Azure Resource Manager (قالب ARM)، استخدم القالب التالي وانشره على مستوى المستأجر:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

أو استخدم ملف Bicep التالي:

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

نقل مجموعة إدارة في المدخل

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد "All services". في مربع النص تصفية الخدمات ، أدخل مجموعات الإدارة وحددها من القائمة.

  3. حدد مجموعة الإدارة التي تريد أن تكون الأصل.

  4. في أعلى الصفحة، حدد Create.

  5. في جزء إنشاء مجموعة إدارة، اختر ما إذا كنت تريد استخدام مجموعة إدارة جديدة أو موجودة:

    • يؤدي تحديد Create new إلى إنشاء مجموعة إدارة جديدة.
    • يؤدي تحديد Use existing إلى تقديم قائمة منسدلة لكافة مجموعات الإدارة التي يمكنك نقلها إلى مجموعة الإدارة هذه.

    لقطة شاشة لجزء إضافة مجموعة إدارة.

  6. حدد حفظ.

نقل مجموعة إدارة في Azure PowerShell

لنقل مجموعة إدارة ضمن مجموعة مختلفة، استخدم Update-AzManagementGroup الأمر في Azure PowerShell:

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

نقل مجموعة إدارة في Azure CLI

لنقل مجموعة إدارة في Azure CLI، استخدم update الأمر :

az account management-group update --name 'Contoso' --parent ContosoIT

مجموعات إدارة التدقيق باستخدام سجلات النشاط

يتم دعم مجموعات الإدارة في سجلات نشاط Azure Monitor. يمكنك الاستعلام عن كافة الأحداث التي تحدث لمجموعة إدارة في نفس الموقع المركزي، مثل موارد Azure الأخرى. فعلى سبيل المثال، يمكنك مشاهدة تعيينات الأدوار أو تغييرات تعيين النهج التي تُجرى على أي مجموعة إدارة.

لقطة شاشة لسجلات النشاط والعمليات المتعلقة بمجموعة إدارة محددة.

عندما تريد الاستعلام عن مجموعات الإدارة خارج مدخل Microsoft Azure، يبدو النطاق المستهدف لمجموعات الإدارة مثل "/providers/Microsoft.Management/managementGroups/{yourMgID}".

مجموعات الإدارة المرجعية من موفري الموارد الآخرين

عندما تشير إلى مجموعات الإدارة من إجراءات موفر موارد آخر، استخدم المسار التالي كنطاق. ينطبق هذا المسار عند استخدام Azure PowerShell وAzure CLI وواجهات برمجة تطبيقات REST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

مثال على استخدام هذا المسار هو عند تعيين دور جديد لمجموعة إدارة في Azure PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

يمكنك استخدام نفس مسار النطاق لاسترداد تعريف نهج لمجموعة إدارة:

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

المحتوى ذو الصلة

لمعرفة المزيد حول مجموعات الإجراءات، راجع: