Yönetim gruplarıyla Azure aboneliklerinizi uygun ölçekte yönetme
Kuruluşunuzun çok sayıda aboneliği varsa, söz konusu aboneliklerde erişimi, ilkeleri ve uyumluluğu yönetmek için verimli bir yönteme ihtiyacınız olabilir. Azure yönetim grupları aboneliklerin üzerinde bir kapsam düzeyi sağlar. Abonelikleri yönetim grupları adı verilen kapsayıcılar halinde düzenler ve idare koşullarınızı yönetim gruplarına uygularsınız. Bir yönetim grubu içindeki aboneliklerin tümü otomatik olarak yönetim grubuna uygulanmış olan koşulları devralır.
Yönetim grupları, sahip olduğunuz abonelik türü ne olursa olsun büyük ölçekte kurumsal düzeyde yönetim sağlar. Yönetim grupları hakkında daha fazla bilgi edinmek için bkz . Kaynaklarınızı Azure yönetim gruplarıyla düzenleme.
Not
Bu makale, cihaz veya hizmetten kişisel verilerin nasıl silineceği hakkında adımlar sağlar ve GDPR kapsamındaki yükümlülüklerinizi desteklemek için kullanılabilir. GDPR hakkında genel bilgiler için, Microsoft Güven Merkezinin GDPR bölümüne ve Servis güven portalının GDPR bölümüne bakın.
Önemli
Azure Resource Manager kullanıcı belirteçleri ve yönetim grubu önbelleği, yenilemeye zorlanmadan önce 30 dakika sürer. Yönetim grubunu veya aboneliği taşıma gibi eylemlerin görünmesi 30 dakikaya kadar sürebilir. Güncelleştirmeleri daha erken görmek için tarayıcıyı yenileyerek, oturum açıp kapatarak veya yeni bir belirteç isteyerek belirtecinizi güncelleştirmeniz gerekir.
Bu makaledeki Azure PowerShell eylemleri için, ilgili cmdlet'lerin parametrenin -GroupName diğer adı olduğundan -GroupId bahsettiğini unutmayınAzManagementGroup.
Yönetim grubu kimliğini dize değeri olarak sağlamak için bunlardan birini kullanabilirsiniz.
Yönetim grubunun adını değiştirme
Azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanarak yönetim grubunun adını değiştirebilirsiniz.
Portalda adı değiştirme
Azure Portal’ında oturum açın.
Tüm Hizmetler’i seçin. Hizmetleri filtrele metin kutusuna Yönetim grupları yazın ve listeden seçin.
Yeniden adlandırmak istediğiniz yönetim grubunu seçin.
Ayrıntıları seçin.
Bölmenin üst kısmındaki Grubu Yeniden Adlandır seçeneğini belirleyin.
Grubu Yeniden Adlandır bölmesinde, görüntülemek istediğiniz yeni adı girin.
Kaydet'i seçin.
Azure PowerShell'de adı değiştirme
Görünen adı güncelleştirmek için Azure PowerShell'de kullanın Update-AzManagementGroup . Örneğin, bir yönetim grubunun görünen adını Contoso BT yerine Contoso Group olarak değiştirmek için aşağıdaki komutu çalıştırın:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Azure CLI'da adı değiştirme
Azure CLI için komutunu update kullanın:
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Yönetim grubunu silme
Bir yönetim grubunu silmek için aşağıdaki gereksinimleri karşılamanız gerekir:
Yönetim grubu altında alt yönetim grubu veya abonelik yoktur. Bir aboneliği veya yönetim grubunu başka bir yönetim grubuna taşımak için bu makalenin devamında yer alan Yönetim gruplarını ve abonelikleri taşıma bölümüne bakın.
Yönetim grubunda (Sahip, Katkıda Bulunan veya Yönetim Grubu Katkıda Bulunanı) yazma izinleriniz olmalıdır. Sahip olduğunuz izinleri görmek için yönetim grubunu ve ardından IAM'yi seçin. Azure rolleri hakkında daha fazla bilgi edinmek için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?.
Portalda yönetim grubunu silme
Azure Portal’ında oturum açın.
Tüm Hizmetler’i seçin. Hizmetleri filtrele metin kutusuna Yönetim grupları yazın ve listeden seçin.
Silmek istediğiniz yönetim grubunu seçin.
Ayrıntıları seçin.
Sil'i seçin.
İpucu
Sil düğmesi kullanılamıyorsa, düğmenin üzerine geldiğinizde bunun nedeni gösterilir.
Bir iletişim kutusu açılır ve yönetim grubunu silmek istediğinizi onaylamanızı ister.
Evet'i seçin.
Azure PowerShell'de yönetim grubunu silme
Bir yönetim grubunu silmek için Azure PowerShell'de komutunu kullanın Remove-AzManagementGroup :
Remove-AzManagementGroup -GroupId 'Contoso'
Azure CLI'da yönetim grubunu silme
Azure CLI ile komutunu az account management-group deletekullanın:
az account management-group delete --name 'Contoso'
Yönetim gruplarını görüntüleme
Üzerinde doğrudan veya devralınan bir Azure rolünüz varsa herhangi bir yönetim grubunu görüntüleyebilirsiniz.
Portalda yönetim gruplarını görüntüleme
Azure Portal’ında oturum açın.
Tüm Hizmetler’i seçin. Hizmetleri filtrele metin kutusuna Yönetim grupları yazın ve listeden seçin.
Yönetim grubu hiyerarşisi sayfası görüntülenir. Bu sayfada, erişiminiz olan tüm yönetim gruplarını ve abonelikleri keşfedebilirsiniz. Grup adını seçtiğinizde hiyerarşide daha düşük bir düzeye gelirsiniz. Gezinti, dosya gezginiyle aynı şekilde çalışır.
Yönetim grubunun ayrıntılarını görmek için yönetim grubunun başlığının yanındaki (ayrıntılar) bağlantısını seçin. Bu bağlantı kullanılamıyorsa, bu yönetim grubunu görüntüleme izniniz yoktur.
Azure PowerShell'de yönetim gruplarını görüntüleme
Tüm grupları almak için komutunu kullanırsınız Get-AzManagementGroup . Yönetim grupları için PowerShell komutlarının GET tam listesi için bkz . Az.Resources modülleri.
Get-AzManagementGroup
Tek bir yönetim grubunun bilgileri için parametresini -GroupId kullanın:
Get-AzManagementGroup -GroupId 'Contoso'
Belirli bir yönetim grubunu ve altındaki hiyerarşinin tüm düzeylerini döndürmek için ve -Recurse parametrelerini kullanın-Expand:
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Azure CLI'da yönetim gruplarını görüntüleme
Tüm grupları almak için komutunu kullanırsınız list :
az account management-group list
Tek bir yönetim grubunun bilgileri için komutunu show kullanın:
az account management-group show --name 'Contoso'
Belirli bir yönetim grubunu ve altındaki hiyerarşinin tüm düzeylerini döndürmek için ve -Recurse parametrelerini kullanın-Expand:
az account management-group show --name 'Contoso' -e -r
Yönetim gruplarını ve abonelikleri taşıma
Yönetim grubu oluşturmanın bir nedeni abonelikleri birlikte paketlemektir. Yalnızca yönetim grupları ve abonelikler başka bir yönetim grubunun alt öğeleri olabilir. Bir yönetim grubuna taşınan abonelik, üst yönetim grubundan tüm kullanıcı erişimini ve ilkelerini devralır.
Abonelikleri yönetim grupları arasında taşıyabilirsiniz. Bir aboneliğin yalnızca bir üst yönetim grubu olabilir.
Bir yönetim grubunu veya aboneliği başka bir yönetim grubunun alt öğesi olacak şekilde taşıdığınızda, üç kuralın doğru olarak değerlendirilmesi gerekir.
Taşıma eylemini yapıyorsanız, aşağıdaki katmanların her birinde izniniz olmalıdır:
- Alt abonelik veya yönetim grubu
Microsoft.management/managementgroups/writeMicrosoft.management/managementgroups/subscriptions/write(yalnızca abonelikler için)Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- Hedef üst yönetim grubu
Microsoft.management/managementgroups/write
- Geçerli üst yönetim grubu
Microsoft.management/managementgroups/write
Bir özel durum vardır: hedef veya mevcut üst yönetim grubu kök yönetim grubuysa, izin gereksinimleri geçerli değildir. Kök yönetim grubu tüm yeni yönetim grupları ve abonelikler için varsayılan giriş noktası olduğundan, öğeyi taşımak için bu grupta izinlere ihtiyacınız yoktur.
Abonelikte Sahip rolü geçerli yönetim grubundan devralındıysa taşıma hedefleriniz sınırlıdır. Aboneliği yalnızca Sahip rolüne sahip olduğunuz başka bir yönetim grubuna taşıyabilirsiniz. Aboneliğin sahipliğini kaybedeceğiniz için aboneliği yalnızca Katkıda Bulunan olduğunuz bir yönetim grubuna taşıyamazsınız. Aboneliğin Sahip rolüne doğrudan atandıysanız, bunu Katkıda Bulunan rolüne sahip olduğunuz herhangi bir yönetim grubuna taşıyabilirsiniz.
Azure portalında hangi izinlere sahip olduğunuzu görmek için yönetim grubunu ve ardından IAM'yi seçin. Azure rolleri hakkında daha fazla bilgi edinmek için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?.
Portalda bir yönetim grubuna mevcut aboneliği ekleme
Azure Portal’ında oturum açın.
Tüm Hizmetler’i seçin. Hizmetleri filtrele metin kutusuna Yönetim grupları yazın ve listeden seçin.
Üst grup olmasını istediğiniz yönetim grubunu seçin.
Sayfanın üst kısmında Abonelik ekle'yi seçin.
Abonelik ekle bölümünden listeden doğru kimlikle aboneliği seçin.
Kaydet'i seçin.
Portaldaki bir yönetim grubundan aboneliği kaldırma
Azure Portal’ında oturum açın.
Tüm Hizmetler’i seçin. Hizmetleri filtrele metin kutusuna Yönetim grupları yazın ve listeden seçin.
Geçerli üst öğe olan yönetim grubunu seçin.
Taşımak istediğiniz listede aboneliğin satırının sonundaki üç noktayı (
...) seçin.
Taşı seçeneğini belirleyin.
Taşı bölmesinde Yeni üst yönetim grubu kimliği değerini seçin.
Kaydet'i seçin.
Azure PowerShell'de aboneliği taşıma
PowerShell'de aboneliği taşımak için komutunu New-AzManagementGroupSubscription kullanın:
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Abonelik ve yönetim grubu arasındaki bağlantıyı kaldırmak için komutunu Remove-AzManagementGroupSubscription kullanın:
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Azure CLI'da aboneliği taşıma
Azure CLI'da bir aboneliği taşımak için şu add komutu kullanırsınız:
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Aboneliği yönetim grubundan kaldırmak için komutunu subscription remove kullanın:
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
ARM şablonunda aboneliği taşıma
Azure Resource Manager şablonundaki (ARM şablonu) aboneliği taşımak için aşağıdaki şablonu kullanın ve kiracı düzeyinde dağıtın:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Alternatif olarak aşağıdaki Bicep dosyasını da kullanabilirsiniz:
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Portalda yönetim grubunu taşıma
Azure Portal’ında oturum açın.
Tüm Hizmetler’i seçin. Hizmetleri filtrele metin kutusuna Yönetim grupları yazın ve listeden seçin.
Üst grup olmasını istediğiniz yönetim grubunu seçin.
Sayfanın üst kısmında Oluştur'u seçin.
Yönetim grubu oluştur bölmesinde, yeni bir yönetim grubu mu yoksa var olan bir yönetim grubu mu kullanmak istediğinizi seçin:
- Yeni oluştur'u seçtiğinizde yeni bir yönetim grubu oluşturulur.
- Var olanı kullan'ı seçtiğinizde, bu yönetim grubuna taşıyabileceğiniz tüm yönetim gruplarının bir açılan listesi görüntülenir.
Kaydet'i seçin.
Azure PowerShell'de yönetim grubunu taşıma
Bir yönetim grubunu farklı bir grubun altına taşımak için Azure PowerShell'de komutunu kullanın Update-AzManagementGroup :
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Azure CLI'da yönetim grubunu taşıma
Azure CLI'da bir yönetim grubunu taşımak için komutunu update kullanın:
az account management-group update --name 'Contoso' --parent ContosoIT
Etkinlik günlüklerini kullanarak yönetim gruplarını denetleme
Yönetim grupları Azure İzleyici etkinlik günlüklerinde desteklenir. Bir yönetim grubuna gerçekleşen tüm olayları diğer Azure kaynaklarıyla aynı merkezi konumda sorgulayabilirsiniz. Örneğin, belirli bir yönetim grubunda yapılan tüm rol atamalarını veya ilke atama değişikliklerini görebilirsiniz.
Azure portalı dışındaki yönetim gruplarını sorgulamak istediğinizde, yönetim gruplarının hedef kapsamı gibi "/providers/Microsoft.Management/managementGroups/{yourMgID}"görünür.
Diğer kaynak sağlayıcılarından başvuru yönetimi grupları
Başka bir kaynak sağlayıcısının eylemlerinden yönetim gruplarına başvururken kapsam olarak aşağıdaki yolu kullanın. Bu yol, Azure PowerShell, Azure CLI ve REST API'lerini kullanırken geçerlidir.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Bu yolu kullanmanın bir örneği, Azure PowerShell'de bir yönetim grubuna yeni bir rol atamanızdır:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Yönetim grubu için ilke tanımını almak için aynı kapsam yolunu kullanırsınız:
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
İlgili içerik
Yönetim grupları hakkında daha fazla bilgi almak için bkz.: