Dela via

Hantera dina Azure-prenumerationer i stor skala med hanteringsgrupper

  • Artikel

Om din organisation har många prenumerationer kanske du behöver ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Azure-hanteringsgrupper ger en omgångsnivå som omfattar prenumerationer. Du organiserar prenumerationer i containrar som kallas hanteringsgrupper och tillämpar dina styrningsvillkor på hanteringsgrupperna. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas för hanteringsgruppen.

Hanteringsgrupper ger dig hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har. Mer information om hanteringsgrupper finns i Organisera dina resurser med Azure-hanteringsgrupper.

Kommentar

Den här artikeln innehåller steg om hur du tar bort personuppgifter från enheten eller tjänsten och kan användas för att stödja dina skyldigheter enligt GDPR. För allmän information om GDPR, se GDPR-avsnittet för Microsoft Trust Center och GDPR-avsnitt av Service Trust Portal.

Viktigt!

Azure Resource Manager-användartoken och hanteringsgruppcache varar i 30 minuter innan de tvingas uppdatera. Alla åtgärder som att flytta en hanteringsgrupp eller prenumeration kan ta upp till 30 minuter att visas. Om du vill se uppdateringarna tidigare måste du uppdatera din token genom att uppdatera webbläsaren, logga in och ut eller begära en ny token.

För Azure PowerShell-åtgärderna i den här artikeln bör du tänka på att AzManagementGroup-relaterade cmdletar nämner att det -GroupId är ett alias för parametern -GroupName . Du kan använda någon av dem för att ange hanteringsgruppens ID som ett strängvärde.

Ändra namnet på en hanteringsgrupp

Du kan ändra namnet på hanteringsgruppen med hjälp av Azure Portal, Azure PowerShell eller Azure CLI.

Ändra namnet i portalen

  1. Logga in på Azure-portalen.

  2. Välj Alla tjänster. I textrutan Filtertjänster anger du Hanteringsgrupper och väljer dem i listan.

  3. Välj den hanteringsgrupp som du vill byta namn på.

  4. Välj information.

  5. Välj alternativet Byt namn på grupp överst i fönstret.

    Skärmbild av åtgärdsfältet och knappen Byt namn på grupp på hanteringsgruppssidan.

  6. I fönstret Byt namn på grupp anger du det nya namn som du vill visa.

    Skärmbild av alternativen för att byta namn på en hanteringsgrupp.

  7. Välj Spara.

Ändra namnet i Azure PowerShell

Om du vill uppdatera visningsnamnet använder du Update-AzManagementGroup i Azure PowerShell. Om du till exempel vill ändra en hanteringsgrupps visningsnamn från Contoso IT till Contoso Group kör du följande kommando:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Ändra namnet i Azure CLI

Använd kommandot för Azure CLI update :

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Ta bort en hanteringsgrupp

Om du vill ta bort en hanteringsgrupp måste du uppfylla följande krav:

  • Det finns inga underordnade hanteringsgrupper eller prenumerationer under hanteringsgruppen. Information om hur du flyttar en prenumeration eller hanteringsgrupp till en annan hanteringsgrupp finns i Flytta hanteringsgrupper och prenumerationer senare i den här artikeln.

  • Du behöver skrivbehörighet för hanteringsgruppen (ägare, deltagare eller hanteringsgruppdeltagare). Om du vill se vilka behörigheter du har väljer du hanteringsgruppen och sedan IAM. Mer information om Azure-roller finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.

Ta bort en hanteringsgrupp i portalen

  1. Logga in på Azure-portalen.

  2. Välj Alla tjänster. I textrutan Filtertjänster anger du Hanteringsgrupper och väljer dem i listan.

  3. Välj den hanteringsgrupp som du vill ta bort.

  4. Välj information.

  5. Välj Ta bort.

    Skärmbild av hanteringsgruppssidan med knappen Ta bort.

    Dricks

    Om knappen Ta bort inte är tillgänglig visas orsaken när du hovrar över knappen.

  6. En dialogruta öppnas och du uppmanas att bekräfta att du vill ta bort hanteringsgruppen.

    Skärmbild av bekräftelsedialogrutan för att ta bort en hanteringsgrupp.

  7. Välj Ja.

Ta bort en hanteringsgrupp i Azure PowerShell

Om du vill ta bort en hanteringsgrupp använder du Remove-AzManagementGroup kommandot i Azure PowerShell:

Remove-AzManagementGroup -GroupId 'Contoso'

Ta bort en hanteringsgrupp i Azure CLI

Med Azure CLI använder du kommandot az account management-group delete:

az account management-group delete --name 'Contoso'

Visa hanteringsgrupper

Du kan visa vilken hanteringsgrupp som helst om du har en direkt eller ärvd Azure-roll på den.

Visa hanteringsgrupper i portalen

  1. Logga in på Azure-portalen.

  2. Välj Alla tjänster. I textrutan Filtertjänster anger du Hanteringsgrupper och väljer dem i listan.

  3. Sidan för hanteringsgruppshierarkin visas. På den här sidan kan du utforska alla hanteringsgrupper och prenumerationer som du har åtkomst till. Om du väljer gruppnamnet kommer du till en lägre nivå i hierarkin. Navigeringen fungerar på samma sätt som en utforskare gör.

  4. Om du vill se information om hanteringsgruppen väljer du länken (information) bredvid rubriken för hanteringsgruppen. Om den här länken inte är tillgänglig har du inte behörighet att visa den hanteringsgruppen.

    Skärmbild av sidan hanteringsgrupper som visar underordnade hanteringsgrupper och prenumerationer.

Visa hanteringsgrupper i Azure PowerShell

Du använder Get-AzManagementGroup kommandot för att hämta alla grupper. Den fullständiga listan över GET PowerShell-kommandon för hanteringsgrupper finns i Az.Resources-modulerna .

Get-AzManagementGroup

Använd parametern -GroupId för en enskild hanteringsgrupps information:

Get-AzManagementGroup -GroupId 'Contoso'

Om du vill returnera en specifik hanteringsgrupp och alla nivåer i hierarkin under den använder du parametrarna -Expand och -Recurse :

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Visa hanteringsgrupper i Azure CLI

Du använder list kommandot för att hämta alla grupper:

az account management-group list

Använd kommandot för en enskild hanteringsgrupps information show :

az account management-group show --name 'Contoso'

Om du vill returnera en specifik hanteringsgrupp och alla nivåer i hierarkin under den använder du parametrarna -Expand och -Recurse :

az account management-group show --name 'Contoso' -e -r

Flytta hanteringsgrupper och prenumerationer

En anledning till att skapa en hanteringsgrupp är att paketering av prenumerationer tillsammans. Endast hanteringsgrupper och prenumerationer kan bli underordnade till en annan hanteringsgrupp. En prenumeration som flyttas till en hanteringsgrupp ärver all användaråtkomst och alla principer från den överordnade hanteringsgruppen.

Du kan flytta prenumerationer mellan hanteringsgrupper. En prenumeration kan bara ha en överordnad hanteringsgrupp.

När du flyttar en hanteringsgrupp eller prenumeration till en underordnad till en annan hanteringsgrupp måste tre regler utvärderas som sanna.

Om du utför flyttåtgärden behöver du behörighet i vart och ett av följande lager:

  • Underordnad prenumeration eller hanteringsgrupp
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (endast för prenumerationer)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Överordnad hanteringsgrupp för mål
    • Microsoft.management/managementgroups/write
  • Aktuell överordnad hanteringsgrupp
    • Microsoft.management/managementgroups/write

Det finns ett undantag: om målet eller den befintliga överordnade hanteringsgruppen är rothanteringsgruppen gäller inte behörighetskraven. Eftersom rothanteringsgruppen är standardlandningsplatsen för alla nya hanteringsgrupper och prenumerationer behöver du inte behörighet för att flytta ett objekt.

Om rollen Ägare i prenumerationen ärvs från den aktuella hanteringsgruppen är dina flyttmål begränsade. Du kan bara flytta prenumerationen till en annan hanteringsgrupp där du har rollen Ägare. Du kan inte flytta prenumerationen till en hanteringsgrupp där du bara är deltagare eftersom du skulle förlora ägarskapet för prenumerationen. Om du är direkt tilldelad rollen Ägare för prenumerationen kan du flytta den till valfri hanteringsgrupp där du har rollen Deltagare.

Om du vill se vilka behörigheter du har i Azure Portal väljer du hanteringsgruppen och sedan IAM. Mer information om Azure-roller finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.

Lägga till en befintlig prenumeration i en hanteringsgrupp i portalen

  1. Logga in på Azure-portalen.

  2. Välj Alla tjänster. I textrutan Filtertjänster anger du Hanteringsgrupper och väljer dem i listan.

  3. Välj den hanteringsgrupp som du vill vara överordnad.

  4. Längst upp på sidan väljer du Lägg till prenumeration.

  5. Från Lägg till prenumeration väljer du prenumerationen i listan med rätt ID.

    Skärmbild av rutan för att välja en befintlig prenumeration som ska läggas till i en hanteringsgrupp.

  6. Välj Spara.

Ta bort en prenumeration från en hanteringsgrupp i portalen

  1. Logga in på Azure-portalen.

  2. Välj Alla tjänster. I textrutan Filtertjänster anger du Hanteringsgrupper och väljer dem i listan.

  3. Välj den hanteringsgrupp som är aktuell överordnad.

  4. Välj ellipsen (...) i slutet av raden för prenumerationen i listan som du vill flytta.

    Skärmbild av menyn som innehåller flyttalternativet för en prenumeration.

  5. Välj Flytta.

  6. I fönstret Flytta väljer du värdet för Nytt överordnat hanteringsgrupps-ID.

    Skärmbild av fönstret för att flytta en prenumeration till en annan hanteringsgrupp.

  7. Välj Spara.

Flytta en prenumeration i Azure PowerShell

Om du vill flytta en prenumeration i PowerShell använder New-AzManagementGroupSubscription du kommandot:

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Om du vill ta bort länken mellan prenumerationen och hanteringsgruppen använder du Remove-AzManagementGroupSubscription kommandot:

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Flytta en prenumeration i Azure CLI

Om du vill flytta en prenumeration i Azure CLI använder add du kommandot:

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Om du vill ta bort prenumerationen från hanteringsgruppen använder du subscription remove kommandot:

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Flytta en prenumeration i en ARM-mall

Om du vill flytta en prenumeration i en Azure Resource Manager-mall (ARM-mall) använder du följande mall och distribuerar den på klientorganisationsnivå:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Eller använd följande Bicep-fil:

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Flytta en hanteringsgrupp i portalen

  1. Logga in på Azure-portalen.

  2. Välj Alla tjänster. I textrutan Filtertjänster anger du Hanteringsgrupper och väljer dem i listan.

  3. Välj den hanteringsgrupp som du vill vara överordnad.

  4. Välj Skapa överst på sidan.

  5. I fönstret Skapa hanteringsgrupp väljer du om du vill använda en ny eller befintlig hanteringsgrupp:

    • Om du väljer Skapa ny skapas en ny hanteringsgrupp.
    • Om du väljer Använd befintlig visas en listruta med alla hanteringsgrupper som du kan flytta till den här hanteringsgruppen.

    Skärmbild av fönstret för att lägga till en hanteringsgrupp.

  6. Välj Spara.

Flytta en hanteringsgrupp i Azure PowerShell

Om du vill flytta en hanteringsgrupp under en annan grupp använder du Update-AzManagementGroup kommandot i Azure PowerShell:

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Flytta en hanteringsgrupp i Azure CLI

Om du vill flytta en hanteringsgrupp i Azure CLI använder du update kommandot:

az account management-group update --name 'Contoso' --parent ContosoIT

Granska hanteringsgrupper med hjälp av aktivitetsloggar

Hanteringsgrupper stöds i Azure Monitor-aktivitetsloggar. Du kan köra frågor mot alla händelser som händer med en hanteringsgrupp på samma centrala plats som andra Azure-resurser. Du kan till exempel se alla rolltilldelningar eller principtilldelningsändringar som gjorts i en viss hanteringsgrupp.

Skärmbild av aktivitetsloggar och åtgärder som är relaterade till en vald hanteringsgrupp.

När du vill fråga efter hanteringsgrupper utanför Azure Portal ser målomfånget för hanteringsgrupper ut som "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Referenshanteringsgrupper från andra resursprovidrar

När du refererar till hanteringsgrupper från en annan resursproviders åtgärder använder du följande sökväg som omfång. Den här sökvägen gäller när du använder Azure PowerShell, Azure CLI och REST API:er.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Ett exempel på hur du använder den här sökvägen är när du tilldelar en ny roll till en hanteringsgrupp i Azure PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Du använder samma omfångssökväg för att hämta en principdefinition för en hanteringsgrupp:

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Relaterat innehåll

Läs mer om hanteringslösningar här: