Azure-előfizetések nagy léptékű kezelése felügyeleti csoportokkal

Ha a cég több előfizetéssel rendelkezik, szüksége lehet egy hatékony módszerre az előfizetések hozzáférésének, szabályzatainak és megfelelőségének kezelésére. Az Azure-beli felügyeleti csoportok hatóköre az előfizetések fölötti szint. Az előfizetéseket felügyeleti csoportoknak nevezett tárolókba rendezheti, és a felügyeleti csoportokra alkalmazhatja az irányítási feltételeket. A felügyeleti csoporton belüli összes előfizetés automatikusan örökli a felügyeleti csoportra alkalmazott feltételeket.

A felügyeleti csoportok nagyvállalati szintű felügyeletet biztosítanak, függetlenül attól, hogy milyen típusú előfizetéssel rendelkezik. A felügyeleti csoportokkal kapcsolatos további információkért lásd : Erőforrások rendszerezése azure-beli felügyeleti csoportokkal.

A cikkben szereplő Azure PowerShell-műveleteknél ne feledje, hogy AzManagementGroupa kapcsolódó parancsmagok megemlítik, hogy -GroupId ez a -GroupName paraméter aliasa. Bármelyiket használhatja a felügyeleti csoport azonosítójának sztringértékként való megadásához.

Felügyeleti csoport nevének módosítása

A felügyeleti csoport nevét az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával módosíthatja.

A név módosítása a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.

3. Válassza ki az átnevezni kívánt felügyeleti csoportot.

4. Válassza ki a részleteket.

5. Válassza a csoport átnevezése lehetőséget a panel tetején.

   

6. A Csoport átnevezése panelen adja meg a megjeleníteni kívánt új nevet.

   

7. Válassza a Mentés lehetőséget.

A név módosítása az Azure PowerShellben

A megjelenítendő név frissítéséhez használja Update-AzManagementGroup az Azure PowerShellt. Ha például egy felügyeleti csoport megjelenítendő nevét Contoso IT-ről Contoso-csoportra szeretné módosítani, futtassa a következő parancsot:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

A név módosítása az Azure CLI-ben

Az Azure CLI-hez használja a update következő parancsot:

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Felügyeleti csoport törlése

Felügyeleti csoport törléséhez meg kell felelnie a következő követelményeknek:

• A felügyeleti csoport alatt nincsenek gyermekfelügyeleti csoportok vagy előfizetések. Ha egy előfizetést vagy felügyeleti csoportot egy másik felügyeleti csoportba szeretne áthelyezni, olvassa el a jelen cikk későbbi részében található felügyeleti csoportok és előfizetések áthelyezése című témakört.

• Írási engedélyekre van szüksége a felügyeleti csoporthoz (tulajdonos, közreműködő vagy felügyeleti csoport közreműködője). Ha meg szeretné tekinteni, hogy milyen engedélyekkel rendelkezik, válassza ki a felügyeleti csoportot, majd válassza az IAM lehetőséget. További információ az Azure-szerepkörökről: Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?.

Felügyeleti csoport törlése a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.

3. Válassza ki a törölni kívánt felügyeleti csoportot.

4. Válassza ki a részleteket.

5. Válassza a Törlés lehetőséget.

   

   Tipp.

   Ha a Törlés gomb nem érhető el, a gomb fölé mutatva megjelenik az ok.

6. Megnyílik egy párbeszédpanel, és megkéri, hogy erősítse meg, hogy törölni szeretné a felügyeleti csoportot.

   

7. Válassza az Igen lehetőséget.

Felügyeleti csoport törlése az Azure PowerShellben

Felügyeleti csoport törléséhez használja a következő parancsot az Remove-AzManagementGroup Azure PowerShellben:

Remove-AzManagementGroup -GroupId 'Contoso'

Felügyeleti csoport törlése az Azure CLI-ben

Az Azure CLI-vel használja a következő parancsot az account management-group delete:

az account management-group delete --name 'Contoso'

Felügyeleti csoportok megtekintése

Bármelyik felügyeleti csoportot megtekintheti, ha közvetlen vagy örökölt Azure-szerepkörrel rendelkezik rajta.

Felügyeleti csoportok megtekintése a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.

3. Megjelenik a felügyeleti csoport hierarchiájának lapja. Ezen a lapon megismerheti az összes felügyeleti csoportot és előfizetést, amelyhez hozzáférése van. A csoportnév kiválasztása a hierarchia egy alacsonyabb szintjére viszi. A navigáció ugyanúgy működik, mint egy fájlkezelő.

4. A felügyeleti csoport részleteinek megtekintéséhez válassza a felügyeleti csoport címe melletti (részletek) hivatkozást. Ha ez a hivatkozás nem érhető el, nincs engedélye a felügyeleti csoport megtekintésére.

   

Felügyeleti csoportok megtekintése az Azure PowerShellben

A parancs segítségével lekérheti az Get-AzManagementGroup összes csoportot. A felügyeleti csoportok PowerShell-parancsainak GET teljes listáját az Az.Resources modulokban találja.

Get-AzManagementGroup

Egyetlen felügyeleti csoport információihoz használja a következő paramétert -GroupId :

Get-AzManagementGroup -GroupId 'Contoso'

Ha egy adott felügyeleti csoportot és az alatta lévő hierarchia összes szintjét vissza szeretné adni, használja a -Expand következő paramétereket:-Recurse

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Felügyeleti csoportok megtekintése az Azure CLI-ben

A parancs segítségével lekérheti az list összes csoportot:

az account management-group list

Egyetlen felügyeleti csoport információihoz használja a show következő parancsot:

az account management-group show --name 'Contoso'

Ha egy adott felügyeleti csoportot és az alatta lévő hierarchia összes szintjét vissza szeretné adni, használja a -Expand következő paramétereket:-Recurse

az account management-group show --name 'Contoso' -e -r

Felügyeleti csoportok és előfizetések áthelyezése

A felügyeleti csoport létrehozásának egyik oka az előfizetések összekapcsolása. Csak a felügyeleti csoportok és az előfizetések válhatnak egy másik felügyeleti csoport gyermekévé. A felügyeleti csoportba áthelyezett előfizetés a szülő felügyeleti csoporttól örökli az összes felhasználói hozzáférést és házirendet.

Az előfizetéseket áthelyezheti a felügyeleti csoportok között. Egy előfizetéshez csak egy szülő felügyeleti csoport tartozhat.

Amikor áthelyez egy felügyeleti csoportot vagy előfizetést egy másik felügyeleti csoport gyermekének, három szabályt kell igazként értékelni.

Ha az áthelyezési műveletet hajtja végre, az alábbi rétegek mindegyikéhez engedélyre van szüksége:

• Gyermek-előfizetés vagy felügyeleti csoport
  • Microsoft.management/managementgroups/write
  • Microsoft.management/managementgroups/subscriptions/write (csak előfizetésekhez)
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
  • Microsoft.Management/register/action
• Cél szülő felügyeleti csoport
  • Microsoft.management/managementgroups/write
• Aktuális szülő felügyeleti csoport
  • Microsoft.management/managementgroups/write

Kivétel van: ha a cél vagy a meglévő szülő felügyeleti csoport a gyökérszintű felügyeleti csoport, az engedélykövetelmények nem érvényesek. Mivel az összes új felügyeleti csoport és előfizetés esetében a gyökérszintű felügyeleti csoport az alapértelmezett kezdőhely, nincs szükség az elemek áthelyezéséhez szükséges engedélyekre.

Ha az előfizetés tulajdonosi szerepköre az aktuális felügyeleti csoporttól öröklődik, az áthelyezési célok korlátozottak. Az előfizetést csak egy másik felügyeleti csoportba helyezheti át, ahol tulajdonosi szerepköre van. Nem helyezheti át az előfizetést olyan felügyeleti csoportba, ahol csak Közreműködő, mert elveszíti az előfizetés tulajdonjogát. Ha közvetlenül az előfizetés tulajdonosi szerepköréhez van rendelve, áthelyezheti azt bármely olyan felügyeleti csoportba, ahol a Közreműködő szerepkör van.

Ha meg szeretné tekinteni, hogy milyen engedélyekkel rendelkezik az Azure Portalon, válassza ki a felügyeleti csoportot, majd válassza az IAM lehetőséget. További információ az Azure-szerepkörökről: Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?.

Meglévő előfizetés hozzáadása felügyeleti csoporthoz a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.

3. Válassza ki azt a felügyeleti csoportot, amelyet szülőként szeretne használni.

4. A lap tetején válassza az Előfizetés hozzáadása lehetőséget.

5. Az Előfizetés hozzáadása lapon válassza ki a megfelelő azonosítóval rendelkező előfizetést a listában.

   

6. Válassza a Mentés lehetőséget.

Előfizetés eltávolítása egy felügyeleti csoportból a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.

3. Válassza ki az aktuális szülő felügyeleti csoportot.

4. Válassza ki az áthelyezni kívánt előfizetés sorának végén található három pontot (...).

   

5. Válassza az Áthelyezés lehetőséget.

6. Az Áthelyezés panelen válassza ki az Új szülő felügyeleti csoportazonosító értékét.

   

7. Válassza a Mentés lehetőséget.

Előfizetés áthelyezése az Azure PowerShellben

Ha át szeretne helyezni egy előfizetést a PowerShellben, használja a New-AzManagementGroupSubscription következő parancsot:

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Az előfizetés és a felügyeleti csoport közötti kapcsolat eltávolításához használja a Remove-AzManagementGroupSubscription következő parancsot:

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Előfizetés áthelyezése az Azure CLI-ben

Ha át szeretne helyezni egy előfizetést az Azure CLI-ben, használja a add következő parancsot:

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Az előfizetés felügyeleti csoportból való eltávolításához használja a subscription remove következő parancsot:

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Előfizetés áthelyezése ARM-sablonban

Ha azure Resource Manager-sablonban (ARM-sablonban) szeretne áthelyezni egy előfizetést, használja a következő sablont, és telepítse azt bérlői szinten:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Vagy használja a következő Bicep-fájlt:

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Felügyeleti csoport áthelyezése a portálon

1. Jelentkezzen be az Azure Portalra.

2. Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.

3. Válassza ki azt a felügyeleti csoportot, amelyet szülőként szeretne használni.

4. A lap tetején válassza a Létrehozás lehetőséget.

5. A Felügyeleti csoport létrehozása panelen válassza ki, hogy új vagy meglévő felügyeleti csoportot szeretne-e használni:

   • Az Új létrehozása lehetőség kiválasztásával új felügyeleti csoportot hoz létre.
   • Ha a Meglévő használata lehetőséget választja, megjelenik a felügyeleti csoportra áthelyezhető összes felügyeleti csoport legördülő listája.

   

6. Válassza a Mentés lehetőséget.

Felügyeleti csoport áthelyezése az Azure PowerShellben

Ha másik csoport alá szeretne áthelyezni egy felügyeleti csoportot, használja az Update-AzManagementGroup Azure PowerShell parancsát:

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Felügyeleti csoport áthelyezése az Azure CLI-ben

Ha egy felügyeleti csoportot szeretne áthelyezni az Azure CLI-ben, használja a update következő parancsot:

az account management-group update --name 'Contoso' --parent ContosoIT

Felügyeleti csoportok naplózása tevékenységnaplók használatával

A felügyeleti csoportok támogatottak az Azure Monitor tevékenységnaplóiban. Az összes olyan eseményt lekérdezheti, amely egy felügyeleti csoportnál történik ugyanazon a központi helyen, mint a többi Azure-erőforrás. Megtekintheti például egy adott felügyeleti csoport szerepkör-hozzárendeléseit vagy szabályzat-hozzárendelési módosításait.

Ha az Azure Portalon kívüli felügyeleti csoportokról szeretne lekérdezést végezni, a felügyeleti csoportok céltartománya a következőképpen "/providers/Microsoft.Management/managementGroups/{yourMgID}"néz ki.

Referencia felügyeleti csoportok más erőforrás-szolgáltatóktól

Ha egy másik erőforrás-szolgáltató műveleteiből származó felügyeleti csoportokra hivatkozik, használja az alábbi elérési utat hatókörként. Ez az elérési út az Azure PowerShell, az Azure CLI és a REST API-k használatakor érvényes.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Az elérési út használatára példa, ha új szerepkört rendel egy felügyeleti csoporthoz az Azure PowerShellben:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Ugyanazt a hatókör-elérési utat használja egy felügyeleti csoport szabályzatdefiníciójának lekéréséhez:

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Kapcsolódó tartalom

A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd:

• Gyorsútmutató: Felügyeleti csoport létrehozása
• Felügyeleti csoportok áttekintése az Azure PowerShell Az.Resources modulban
• Felügyeleti csoportok áttekintése a REST API-ban
• Felügyeleti csoportok áttekintése az Azure CLI-ben