Azure 管理群組
如果貴組織有多個 Azure 訂閱,您可能需要一個方法來有效率地管理這些訂閱的存取、原則和相容性。 管理群組可以提供訂閱之上的治理範圍。
管理群組和訂用帳戶的階層:
您可以建置管理群組和訂用帳戶的彈性結構,將資源組織到一個階層中,以便執行統一原則與存取管理。 下圖顯示使用管理群組建立治理階層的範例。
您可以建立套用原則的階層,例如將名為「生產」的管理群組中的 VM 位置限制為美國西部區域。 此原則將會繼承管理群組底下的所有 Enterprise 合約 (EA) 訂用帳戶,並套用至那些訂用帳戶底下的所有 VM。 此安全性原則無法由資源或訂用帳戶擁有者改變,並能進一步提升治理能力。
每個目錄會都會有一個最上層管理群組,名為「Tenant Root Group」的管理群組。要注意,這個Root管理群組一旦建立,就無法被移動和刪除。
建立的步驟:
Azure Portal中頂部搜尋位置搜尋 管理,可以看到「管理群組」,點擊進入。
點擊「開始使用管理群組」,啟用此項服務,要注意,一旦啟用則再也無法刪除掉,也無法移動。之後此租用戶會永久啟用「管理群組」管理模式。
建立新的管理群組,點擊「建立」
例如建立「銷售」管理群組。
在Root根管理群組下面就會增加一個「銷售」的管理群組
同樣也可以在「銷售」管理群組下面增加,子管理群組,例如Group1和Group2
建立好管理群組後,可以在相應的管理群組點擊頂部的「新增訂用帳戶」。例如我在「銷售」管理群組中增加了一個訂用帳戶,在「Group1」增加了2個訂用帳戶,在「Group2」中增加了一個訂用帳戶。
如需按管理群組指派Azure使用權,可以點擊「存取控制」,指派當前的管理群組給相應的權限給使用者。
例如,將「銷售」指派給demo1用戶;將「Group1」指派給demo2用戶。
使用demo1登入,就可以看到「銷售」管理群組中的訂用帳戶及子管理群組中的訂用帳戶,本例就是包含4個訂用帳戶,從而達到只需指派一次就可以針對多個訂用帳戶有效,如下圖:
使用demo2登入,則只能看到Group1的訂用帳戶及子管理群組,因為Group2下面沒有子管理群組,所以demo2就只能看到Group1中的2個訂用帳戶
其他說明及限制等,請參考官方說明
https://learn.microsoft.com/zh-tw/azure/governance/management-groups/overview
近期留言