Azure-előfizetések nagy léptékű kezelése felügyeleti csoportokkal
Ha a cég több előfizetéssel rendelkezik, szüksége lehet egy hatékony módszerre az előfizetések hozzáférésének, szabályzatainak és megfelelőségének kezelésére. Az Azure-beli felügyeleti csoportok hatóköre az előfizetések fölötti szint. Az előfizetéseket felügyeleti csoportoknak nevezett tárolókba rendezheti, és a felügyeleti csoportokra alkalmazhatja az irányítási feltételeket. A felügyeleti csoporton belüli összes előfizetés automatikusan örökli a felügyeleti csoportra alkalmazott feltételeket.
A felügyeleti csoportok nagyvállalati szintű felügyeletet biztosítanak, függetlenül attól, hogy milyen típusú előfizetéssel rendelkezik. A felügyeleti csoportokkal kapcsolatos további információkért lásd : Erőforrások rendszerezése azure-beli felügyeleti csoportokkal.
Feljegyzés
Ez a cikk a személyes adatok eszközről vagy szolgáltatásból való törlésének lépéseit ismerteti, és a GDPR szerinti kötelezettségek támogatására használható. A GDPR-rel kapcsolatos általános információkért tekintse meg a Microsoft Adatvédelmi központ GDPR szakaszát és a Szolgáltatás megbízhatósági portáljának GDPR szakaszát.
Fontos
Az Azure Resource Manager felhasználói jogkivonatai és felügyeleticsoport-gyorsítótára 30 percig tart, mielőtt frissítésre kényszerítené őket. Bármely művelet, például egy felügyeleti csoport vagy előfizetés áthelyezése akár 30 percet is igénybe vehet. A frissítések gyorsabb megtekintéséhez frissítenie kell a jogkivonatot a böngésző frissítésével, a bejelentkezéssel és a kijelentkezéssel, vagy egy új jogkivonat kérésével.
A cikkben szereplő Azure PowerShell-műveleteknél ne feledje, hogy AzManagementGroup
a kapcsolódó parancsmagok megemlítik, hogy -GroupId
ez a -GroupName
paraméter aliasa.
Bármelyiket használhatja a felügyeleti csoport azonosítójának sztringértékként való megadásához.
Felügyeleti csoport nevének módosítása
A felügyeleti csoport nevét az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával módosíthatja.
A név módosítása a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.
Válassza ki az átnevezni kívánt felügyeleti csoportot.
Válassza ki a részleteket.
Válassza a csoport átnevezése lehetőséget a panel tetején.
A Csoport átnevezése panelen adja meg a megjeleníteni kívánt új nevet.
Válassza a Mentés lehetőséget.
A név módosítása az Azure PowerShellben
A megjelenítendő név frissítéséhez használja Update-AzManagementGroup
az Azure PowerShellt. Ha például egy felügyeleti csoport megjelenítendő nevét Contoso IT-ről Contoso-csoportra szeretné módosítani, futtassa a következő parancsot:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
A név módosítása az Azure CLI-ben
Az Azure CLI-hez használja a update
következő parancsot:
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Felügyeleti csoport törlése
Felügyeleti csoport törléséhez meg kell felelnie a következő követelményeknek:
A felügyeleti csoport alatt nincsenek gyermekfelügyeleti csoportok vagy előfizetések. Ha egy előfizetést vagy felügyeleti csoportot egy másik felügyeleti csoportba szeretne áthelyezni, olvassa el a jelen cikk későbbi részében található felügyeleti csoportok és előfizetések áthelyezése című témakört.
Írási engedélyekre van szüksége a felügyeleti csoporthoz (tulajdonos, közreműködő vagy felügyeleti csoport közreműködője). Ha meg szeretné tekinteni, hogy milyen engedélyekkel rendelkezik, válassza ki a felügyeleti csoportot, majd válassza az IAM lehetőséget. További információ az Azure-szerepkörökről: Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?.
Felügyeleti csoport törlése a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.
Válassza ki a törölni kívánt felügyeleti csoportot.
Válassza ki a részleteket.
Válassza a Törlés lehetőséget.
Tipp.
Ha a Törlés gomb nem érhető el, a gomb fölé mutatva megjelenik az ok.
Megnyílik egy párbeszédpanel, és megkéri, hogy erősítse meg, hogy törölni szeretné a felügyeleti csoportot.
Válassza az Igen lehetőséget.
Felügyeleti csoport törlése az Azure PowerShellben
Felügyeleti csoport törléséhez használja a következő parancsot az Remove-AzManagementGroup
Azure PowerShellben:
Remove-AzManagementGroup -GroupId 'Contoso'
Felügyeleti csoport törlése az Azure CLI-ben
Az Azure CLI-vel használja a következő parancsot az account management-group delete
:
az account management-group delete --name 'Contoso'
Felügyeleti csoportok megtekintése
Bármelyik felügyeleti csoportot megtekintheti, ha közvetlen vagy örökölt Azure-szerepkörrel rendelkezik rajta.
Felügyeleti csoportok megtekintése a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.
Megjelenik a felügyeleti csoport hierarchiájának lapja. Ezen a lapon megismerheti az összes felügyeleti csoportot és előfizetést, amelyhez hozzáférése van. A csoportnév kiválasztása a hierarchia egy alacsonyabb szintjére viszi. A navigáció ugyanúgy működik, mint egy fájlkezelő.
A felügyeleti csoport részleteinek megtekintéséhez válassza a felügyeleti csoport címe melletti (részletek) hivatkozást. Ha ez a hivatkozás nem érhető el, nincs engedélye a felügyeleti csoport megtekintésére.
Felügyeleti csoportok megtekintése az Azure PowerShellben
A parancs segítségével lekérheti az Get-AzManagementGroup
összes csoportot. A felügyeleti csoportok PowerShell-parancsainak GET
teljes listáját az Az.Resources modulokban találja.
Get-AzManagementGroup
Egyetlen felügyeleti csoport információihoz használja a következő paramétert -GroupId
:
Get-AzManagementGroup -GroupId 'Contoso'
Ha egy adott felügyeleti csoportot és az alatta lévő hierarchia összes szintjét vissza szeretné adni, használja a -Expand
következő paramétereket:-Recurse
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Felügyeleti csoportok megtekintése az Azure CLI-ben
A parancs segítségével lekérheti az list
összes csoportot:
az account management-group list
Egyetlen felügyeleti csoport információihoz használja a show
következő parancsot:
az account management-group show --name 'Contoso'
Ha egy adott felügyeleti csoportot és az alatta lévő hierarchia összes szintjét vissza szeretné adni, használja a -Expand
következő paramétereket:-Recurse
az account management-group show --name 'Contoso' -e -r
Felügyeleti csoportok és előfizetések áthelyezése
A felügyeleti csoport létrehozásának egyik oka az előfizetések összekapcsolása. Csak a felügyeleti csoportok és az előfizetések válhatnak egy másik felügyeleti csoport gyermekévé. A felügyeleti csoportba áthelyezett előfizetés a szülő felügyeleti csoporttól örökli az összes felhasználói hozzáférést és házirendet.
Az előfizetéseket áthelyezheti a felügyeleti csoportok között. Egy előfizetéshez csak egy szülő felügyeleti csoport tartozhat.
Amikor áthelyez egy felügyeleti csoportot vagy előfizetést egy másik felügyeleti csoport gyermekének, három szabályt kell igazként értékelni.
Ha az áthelyezési műveletet hajtja végre, az alábbi rétegek mindegyikéhez engedélyre van szüksége:
- Gyermek-előfizetés vagy felügyeleti csoport
Microsoft.management/managementgroups/write
Microsoft.management/managementgroups/subscriptions/write
(csak előfizetésekhez)Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete
Microsoft.Management/register/action
- Cél szülő felügyeleti csoport
Microsoft.management/managementgroups/write
- Aktuális szülő felügyeleti csoport
Microsoft.management/managementgroups/write
Kivétel van: ha a cél vagy a meglévő szülő felügyeleti csoport a gyökérszintű felügyeleti csoport, az engedélykövetelmények nem érvényesek. Mivel az összes új felügyeleti csoport és előfizetés esetében a gyökérszintű felügyeleti csoport az alapértelmezett kezdőhely, nincs szükség az elemek áthelyezéséhez szükséges engedélyekre.
Ha az előfizetés tulajdonosi szerepköre az aktuális felügyeleti csoporttól öröklődik, az áthelyezési célok korlátozottak. Az előfizetést csak egy másik felügyeleti csoportba helyezheti át, ahol tulajdonosi szerepköre van. Nem helyezheti át az előfizetést olyan felügyeleti csoportba, ahol csak Közreműködő, mert elveszíti az előfizetés tulajdonjogát. Ha közvetlenül az előfizetés tulajdonosi szerepköréhez van rendelve, áthelyezheti azt bármely olyan felügyeleti csoportba, ahol a Közreműködő szerepkör van.
Ha meg szeretné tekinteni, hogy milyen engedélyekkel rendelkezik az Azure Portalon, válassza ki a felügyeleti csoportot, majd válassza az IAM lehetőséget. További információ az Azure-szerepkörökről: Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?.
Meglévő előfizetés hozzáadása felügyeleti csoporthoz a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.
Válassza ki azt a felügyeleti csoportot, amelyet szülőként szeretne használni.
A lap tetején válassza az Előfizetés hozzáadása lehetőséget.
Az Előfizetés hozzáadása lapon válassza ki a megfelelő azonosítóval rendelkező előfizetést a listában.
Válassza a Mentés lehetőséget.
Előfizetés eltávolítása egy felügyeleti csoportból a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.
Válassza ki az aktuális szülő felügyeleti csoportot.
Válassza ki az áthelyezni kívánt előfizetés sorának végén található három pontot (
...
).Válassza az Áthelyezés lehetőséget.
Az Áthelyezés panelen válassza ki az Új szülő felügyeleti csoportazonosító értékét.
Válassza a Mentés lehetőséget.
Előfizetés áthelyezése az Azure PowerShellben
Ha át szeretne helyezni egy előfizetést a PowerShellben, használja a New-AzManagementGroupSubscription
következő parancsot:
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Az előfizetés és a felügyeleti csoport közötti kapcsolat eltávolításához használja a Remove-AzManagementGroupSubscription
következő parancsot:
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Előfizetés áthelyezése az Azure CLI-ben
Ha át szeretne helyezni egy előfizetést az Azure CLI-ben, használja a add
következő parancsot:
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Az előfizetés felügyeleti csoportból való eltávolításához használja a subscription remove
következő parancsot:
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Előfizetés áthelyezése ARM-sablonban
Ha azure Resource Manager-sablonban (ARM-sablonban) szeretne áthelyezni egy előfizetést, használja a következő sablont, és telepítse azt bérlői szinten:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Vagy használja a következő Bicep-fájlt:
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Felügyeleti csoport áthelyezése a portálon
Jelentkezzen be az Azure Portalra.
Válassza az Összes szolgáltatás elemet. A Szolgáltatások szűrése szövegmezőbe írja be a Felügyeleti csoportokat, és jelölje ki a listából.
Válassza ki azt a felügyeleti csoportot, amelyet szülőként szeretne használni.
A lap tetején válassza a Létrehozás lehetőséget.
A Felügyeleti csoport létrehozása panelen válassza ki, hogy új vagy meglévő felügyeleti csoportot szeretne-e használni:
- Az Új létrehozása lehetőség kiválasztásával új felügyeleti csoportot hoz létre.
- Ha a Meglévő használata lehetőséget választja, megjelenik a felügyeleti csoportra áthelyezhető összes felügyeleti csoport legördülő listája.
Válassza a Mentés lehetőséget.
Felügyeleti csoport áthelyezése az Azure PowerShellben
Ha másik csoport alá szeretne áthelyezni egy felügyeleti csoportot, használja az Update-AzManagementGroup
Azure PowerShell parancsát:
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Felügyeleti csoport áthelyezése az Azure CLI-ben
Ha egy felügyeleti csoportot szeretne áthelyezni az Azure CLI-ben, használja a update
következő parancsot:
az account management-group update --name 'Contoso' --parent ContosoIT
Felügyeleti csoportok naplózása tevékenységnaplók használatával
A felügyeleti csoportok támogatottak az Azure Monitor tevékenységnaplóiban. Az összes olyan eseményt lekérdezheti, amely egy felügyeleti csoportnál történik ugyanazon a központi helyen, mint a többi Azure-erőforrás. Megtekintheti például egy adott felügyeleti csoport szerepkör-hozzárendeléseit vagy szabályzat-hozzárendelési módosításait.
Ha az Azure Portalon kívüli felügyeleti csoportokról szeretne lekérdezést végezni, a felügyeleti csoportok céltartománya a következőképpen "/providers/Microsoft.Management/managementGroups/{yourMgID}"
néz ki.
Referencia felügyeleti csoportok más erőforrás-szolgáltatóktól
Ha egy másik erőforrás-szolgáltató műveleteiből származó felügyeleti csoportokra hivatkozik, használja az alábbi elérési utat hatókörként. Ez az elérési út az Azure PowerShell, az Azure CLI és a REST API-k használatakor érvényes.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Az elérési út használatára példa, ha új szerepkört rendel egy felügyeleti csoporthoz az Azure PowerShellben:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Ugyanazt a hatókör-elérési utat használja egy felügyeleti csoport szabályzatdefiníciójának lekéréséhez:
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Kapcsolódó tartalom
A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd: