Azure 管理群組

如果貴組織有多個 Azure 訂閱，您可能需要一個方法來有效率地管理這些訂閱的存取、原則和相容性。 管理群組可以提供訂閱之上的治理範圍。

管理群組和訂用帳戶的階層:

您可以建置管理群組和訂用帳戶的彈性結構，將資源組織到一個階層中，以便執行統一原則與存取管理。 下圖顯示使用管理群組建立治理階層的範例。

您可以建立套用原則的階層，例如將名為「生產」的管理群組中的 VM 位置限制為美國西部區域。 此原則將會繼承管理群組底下的所有 Enterprise 合約 (EA) 訂用帳戶，並套用至那些訂用帳戶底下的所有 VM。 此安全性原則無法由資源或訂用帳戶擁有者改變，並能進一步提升治理能力。

每個目錄會都會有一個最上層管理群組，名為「Tenant Root Group」的管理群組。要注意，這個Root管理群組一旦建立，就無法被移動和刪除。

建立的步驟：

Azure Portal中頂部搜尋位置搜尋 管理，可以看到「管理群組」，點擊進入。

點擊「開始使用管理群組」，啟用此項服務，要注意，一旦啟用則再也無法刪除掉，也無法移動。之後此租用戶會永久啟用「管理群組」管理模式。

建立新的管理群組，點擊「建立」

例如建立「銷售」管理群組。

在Root根管理群組下面就會增加一個「銷售」的管理群組

同樣也可以在「銷售」管理群組下面增加，子管理群組，例如Group1和Group2

建立好管理群組後，可以在相應的管理群組點擊頂部的「新增訂用帳戶」。例如我在「銷售」管理群組中增加了一個訂用帳戶，在「Group1」增加了2個訂用帳戶，在「Group2」中增加了一個訂用帳戶。

如需按管理群組指派Azure使用權，可以點擊「存取控制」，指派當前的管理群組給相應的權限給使用者。

例如，將「銷售」指派給demo1用戶；將「Group1」指派給demo2用戶。

使用demo1登入，就可以看到「銷售」管理群組中的訂用帳戶及子管理群組中的訂用帳戶，本例就是包含4個訂用帳戶，從而達到只需指派一次就可以針對多個訂用帳戶有效，如下圖：

使用demo2登入，則只能看到Group1的訂用帳戶及子管理群組，因為Group2下面沒有子管理群組，所以demo2就只能看到Group1中的2個訂用帳戶

其他說明及限制等，請參考官方說明

https://learn.microsoft.com/zh-tw/azure/governance/management-groups/overview