Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Se sua organização tiver muitas assinaturas do Azure, talvez você precise de uma maneira eficiente de gerenciar o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gerenciamento fornecem um escopo de governança acima das assinaturas. Quando organiza subscrições em grupos de gestão, as condições de governação que aplica são herdadas em cascata por todas as subscrições associadas.
Os grupos de gerenciamento oferecem gerenciamento de nível empresarial em escala, independentemente do tipo de assinatura que você possa ter. No entanto, todas as subscrições num único grupo de gestão devem estar associadas ao mesmo inquilino do Microsoft Entra.
Por exemplo, você pode aplicar uma política a um grupo de gerenciamento que limite as regiões disponíveis para a criação de máquinas virtuais (VM). Essa política seria aplicada a todos os grupos de gerenciamento aninhados, assinaturas e recursos para permitir a criação de VMs somente em regiões autorizadas.
Hierarquia de grupos de gestão e de subscrições
Pode criar uma estrutura flexível de grupos de gestão e de subscrições para organizar os seus recursos numa hierarquia para assegurar uma gestão unificada de acesso e política. O seguinte diagrama mostra um exemplo de criação de uma hierarquia de governação com grupos de gestão.
Diagrama de um grupo de gestão de raiz que contém tanto grupos de gestão como subscrições. Alguns grupos de gerenciamento de filhos possuem grupos de gerenciamento, alguns possuem assinaturas e outros mantêm ambos. Um dos exemplos na hierarquia de exemplo são quatro níveis de grupos de gerenciamento, com todas as assinaturas no nível filho.
Você pode criar uma hierarquia que aplique uma política, por exemplo, que limite os locais de VM para a região Oeste dos EUA no grupo de gerenciamento chamado Corp. Esta política herda todas as subscrições do Enterprise Agreement (EA) que são descendentes desse grupo de gestão e aplica-se a todas as VMs sob essas subscrições. O proprietário do recurso ou da subscrição não pode alterar esta política de segurança para permitir uma melhor governação.
Nota
De momento, os grupos de gestão não são suportados nas funcionalidades de gestão de custos para subscrições do Contrato de Cliente Microsoft (MCA).
Outro cenário em que utilizaria os grupos de gestão seria para fornecer acesso de utilizador a várias subscrições. Ao mover várias assinaturas em um grupo de gerenciamento, você pode criar uma atribuição de função do Azure no grupo de gerenciamento. A função herda esse acesso a todas as subscrições. Uma atribuição no grupo de gestão pode permitir aos utilizadores aceder a tudo o que precisam, em vez de configurar, através de scripts, o controlo de acesso baseado em funções (RBAC) do Azure em diferentes subscrições.
Comparação de cenários
| Cenário | Grupo de Recursos | Subscrição | Grupo de Gestão | Grupo de Serviços | Etiquetas |
|---|---|---|---|---|---|
| Herança obrigatória da atribuição ao nível do âmbito para cada membro ou recurso descendente | Suportado | Suportado | Suportado | Não suportado | Não suportado |
| Consolidação de recursos para redução de atribuições de funções/atribuições de políticas | Suportado | Suportado | Suportado | Não suportado | Não Suportado* |
| Agrupamento de recursos partilhados através das fronteiras do escopo. Ex. Recursos de rede global em uma assinatura/grupo de recursos que são compartilhados entre vários aplicativos que têm suas próprias assinaturas/grupos de recursos. | Não suportado | Não suportado | Não suportado | Suportado | Não Suportado** |
*: As tags do Azure podem ser usadas como critérios dentro do Azure Policy para aplicar políticas a certos recursos. As tags do Azure estão sujeitas a limitações.
**: As tags podem ser aplicadas entre escopos e são adicionadas aos recursos individualmente. No entanto, as Etiquetas não servem como um agrupamento de primeira classe.
Factos importantes sobre grupos de gestão
Um único diretório pode suportar 10.000 grupos de gerenciamento.
Uma árvore de grupo de gestão pode suportar até seis níveis de profundidade.
Este limite não inclui o nível de raiz ou o nível de subscrição.
Cada grupo de gestão e subscrição pode ter apenas um principal.
Cada grupo de gestão pode ter muitos subordinados.
Todos os grupos de gestão e subscrições estão contidos numa única hierarquia em cada diretório. Para obter mais informações, consulte Fatos importantes sobre o grupo de gerenciamento raiz mais adiante neste artigo.
Grupo de gestão de raiz para cada diretório
Cada diretório tem um único grupo de gerenciamento de nível superior chamado grupo de gerenciamento raiz . O grupo de gestão raiz está integrado na hierarquia para que todos os grupos de gestão e subscrições fiquem subordinados ao mesmo.
O grupo de gerenciamento raiz permite a aplicação de políticas globais e atribuições de função do Azure no nível de diretório. Inicialmente, eleve o acesso para gerir todas as subscrições do Azure e grupos de gestão para a função de Administrador de Acesso de Utilizador deste grupo raiz. Depois que o administrador de locatário eleva o acesso, o administrador pode atribuir qualquer função do Azure a outros usuários ou grupos de diretório para gerenciar a hierarquia. Como administrador, pode atribuir a sua conta como proprietária do grupo de gestão raiz.
Factos importantes sobre o grupo de gestão de raiz
- Por predefinição, o nome a apresentar do grupo de gestão raiz é Grupo raiz do inquilino e funciona como um grupo de gestão. O ID tem o mesmo valor do ID do tenant do Microsoft Entra.
- Para alterar o nome para exibição, sua conta deve ter a função de Proprietário ou Colaborador no grupo de gerenciamento raiz. Para obter mais informações, consulte Alterar o nome de um grupo de gerenciamento.
- O grupo de gestão de raiz não pode ser movido nem eliminado, ao contrário de outros grupos de gestão.
- Todas as subscrições e grupos de gestão convergem para um único grupo de gestão raiz no diretório.
- Todos os recursos do diretório estão hierarquicamente incluídos no grupo de gestão raiz para gestão global.
- As novas subscrições são automaticamente atribuídas por predefinição ao grupo de gestão de raiz quando são criadas.
- Todos os clientes do Azure podem ver o grupo de gestão de raiz, mas nem todos os clientes têm acesso para gerir esse mesmo grupo de gestão de raiz.
- Todos os utilizadores com acesso a uma subscrição podem ver o contexto em que essa subscrição se insere na hierarquia.
- Ninguém tem acesso padrão ao grupo de gerenciamento raiz. Os Administradores Globais do Microsoft Entra são os únicos usuários que podem se elevar para obter acesso. Depois de terem acesso ao grupo de gerenciamento raiz, eles podem atribuir qualquer função do Azure a outros usuários para gerenciar o grupo.
Importante
Qualquer atribuição de acesso de usuário ou política no grupo de gerenciamento raiz se aplica a todos os recursos dentro do diretório. Devido a esse nível de acesso, todos os clientes devem avaliar a necessidade de ter itens definidos nesse escopo. O acesso do usuário e as atribuições de política devem ser "obrigatórios" somente neste escopo.
Configuração inicial dos grupos de gestão
Quando qualquer usuário começa a usar grupos de gerenciamento, um processo de configuração inicial acontece. O primeiro passo é a criação do grupo de gerenciamento raiz no diretório. Todas as subscrições existentes no diretório passam a ser subordinadas ao grupo de gestão raiz.
Este processo existe para garantir que existe apenas uma hierarquia de grupo de gestão num diretório. A hierarquia única no diretório permite aos clientes com privilégios administrativos aplicar políticas e controlos de acesso globais que os outros clientes no diretório não podem contornar.
Qualquer coisa atribuída na raiz aplica-se a toda a hierarquia. Ou seja, aplica-se a todos os grupos de gestão, subscrições, grupos de recursos e recursos nesse locatário do Microsoft Entra.
Acesso de grupo de gestão
Os grupos de gerenciamento do Azure dão suporte ao RBAC do Azure para todas as definições de função e acesso a recursos. Os recursos filho que existem na hierarquia herdam essas permissões. Qualquer função do Azure pode ser atribuída a um grupo de gestão, sendo herdada ao longo da hierarquia até aos recursos.
Por exemplo, pode atribuir a função Azure VM Contributor a um grupo de gestão. Essa função não tem nenhuma ação no grupo de gerenciamento, mas herda para todas as VMs desse grupo de gerenciamento.
A tabela seguinte mostra a lista de funções e as ações suportadas nos grupos de gestão.
| Nome da função do Azure | Criar | Mudar o nome | Mover** | Eliminar | Atribuir acesso | Atribuir política | Ler |
|---|---|---|---|---|---|---|---|
| Proprietário | X | X | X | X | X | X | X |
| Colaborador | X | X | X | X | X | ||
| Colaborador do Grupo de Gestão* | X | X | Detalhes da mudança | X | X | ||
| Leitor | X | ||||||
| Leitor do Grupo de Gestão* | X | ||||||
| Contribuidor de Política de Recursos | X | ||||||
| Administrador de Acesso dos Utilizadores | X | X |
*: Essas funções permitem que os usuários executem as ações especificadas somente no escopo do grupo de gerenciamento.
**: As atribuições de funções no grupo de gestão raiz não são necessárias para mover uma subscrição ou um grupo de gestão para esse grupo e a partir dele.
Movendo assinaturas e grupos de gerenciamento
A deslocação de subscrições e grupos de gestão requer a atribuição de funções diferentes. Para mover uma subscrição secundária ou um grupo de gestão, são necessárias as seguintes permissões:
- A subscrição subordinada ou o grupo de gestão que está a ser movido
Microsoft.management/managementgroups/write-
Microsoft.management/managementgroups/subscriptions/write(apenas para subscrições) Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- Grupo de gestão principal de destino
Microsoft.management/managementgroups/write
- Atual grupo de gestão principal
Microsoft.management/managementgroups/write
Para obter mais informações sobre como mover itens dentro da hierarquia, consulte Gerenciar seus recursos com grupos de gerenciamento.
Definição e atribuição de função personalizada do Azure
Você pode definir um grupo de gerenciamento como um escopo atribuível em uma definição de função personalizada do Azure. A função personalizada do Azure está disponível para atribuição nesse grupo de gerenciamento e em qualquer grupo de gerenciamento, assinatura, grupo de recursos ou recurso sob ele. O perfil personalizado é herdado ao longo da hierarquia, como qualquer perfil incorporado.
Para obter informações sobre as limitações com funções personalizadas e grupos de gerenciamento, consulte Limitações mais adiante neste artigo.
Exemplo de definição
A definição e a criação de uma função personalizada não mudam com a inclusão de grupos de gerenciamento. Use o caminho completo para definir o grupo de gerenciamento: /providers/Microsoft.Management/managementgroups/{_groupId_}.
Use a ID do grupo de gerenciamento e não o nome para exibição do grupo de gerenciamento. Esse erro comum acontece porque ambos são campos personalizados na criação de um grupo de gerenciamento.
...
{
"Name": "MG Test Custom Role",
"Id": "id",
"IsCustom": true,
"Description": "This role provides members understand custom roles.",
"Actions": [
"Microsoft.Management/managementGroups/delete",
"Microsoft.Management/managementGroups/read",
"Microsoft.Management/managementGroups/write",
"Microsoft.Management/managementGroups/subscriptions/delete",
"Microsoft.Management/managementGroups/subscriptions/write",
"Microsoft.resources/subscriptions/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.PolicyInsights/*",
"Microsoft.Authorization/roleAssignments/*",
"Microsoft.Authorization/roledefinitions/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/providers/microsoft.management/managementGroups/ContosoCorporate"
]
}
...
Problemas com a quebra da definição de função e do caminho da hierarquia de atribuição
As definições de função são escopos atribuíveis em qualquer lugar dentro da hierarquia do grupo de gerenciamento. Uma definição de função pode estar em um grupo de gerenciamento pai, enquanto a atribuição de função real existe na assinatura filho. Como há uma relação entre os dois itens, surge um erro se tentar separar a atribuição da sua definição.
Por exemplo, considere o exemplo a seguir de uma pequena seção de uma hierarquia.
O diagrama se concentra no grupo de gerenciamento raiz com zonas de aterrissagem filho e grupos de gerenciamento de área restrita. O grupo de gestão das zonas de destino tem dois grupos de gestão subordinados denominados Corp e Online, enquanto o grupo de gestão sandbox tem duas subscrições subordinadas.
Suponha que uma função personalizada seja definida no grupo de gerenciamento de área restrita. Essa função personalizada é então atribuída às duas subscrições sandbox.
Se tentar mover uma dessas subscrições para ficar subordinada ao grupo de gestão Corp, isso interrompe a ligação entre a atribuição de função na subscrição e a definição de função do grupo de gestão sandbox. Nesse cenário, é recebido um erro que diz que a movimentação não é permitida porque quebra essa relação.
Para corrigir esse cenário, você tem estas opções:
- Remova a atribuição de papel da subscrição antes de a mover para um novo grupo de gestão principal.
- Adicione a assinatura ao escopo atribuível da definição de função.
- Altere o escopo atribuível dentro da definição de função. Neste exemplo, você pode atualizar os escopos atribuíveis do grupo de gerenciamento de área restrita para o grupo de gerenciamento raiz para que ambas as ramificações da hierarquia possam alcançar a definição.
- Criar outra função personalizada é definido na outra ramificação. Essa nova função também exige que você altere a função na assinatura.
Limitações
Há limitações para usar funções personalizadas em grupos de gerenciamento:
- Você pode definir apenas um grupo de gerenciamento nos escopos atribuíveis de uma nova função. Essa limitação está em vigor para reduzir o número de situações em que as definições e atribuições de função são desconectadas. Este tipo de situação acontece quando uma subscrição ou um grupo de gestão com uma atribuição de função é movido para um grupo hierarquicamente superior diferente que não contém a definição da função.
- As funções personalizadas com
DataActionsnão podem ser atribuídas no âmbito do grupo de gestão. Para obter mais informações, consulte Limites de função personalizados. - O Azure Resource Manager não valida a existência do grupo de gestão no âmbito atribuível da definição de função. Se houver um erro de digitação ou um ID de grupo de gerenciamento incorreto, a definição de função ainda será criada.
Mover grupos de gestão e subscrições
Para mover um grupo de gestão ou uma subscrição de modo a que fique subordinado a outro grupo de gestão, é necessário:
- Permissões de escrita no grupo de gestão e permissões de escrita de atribuição de funções na subscrição subordinada ou no grupo de gestão.
- Exemplo de função incorporada: Proprietário
- Acesso de escrita ao grupo de gestão principal de destino.
- Exemplo de função incorporada: Proprietário, Colaborador, Colaborador do Grupo de Gestão
- Acesso de escrita do grupo de gestão ao grupo de gestão principal existente.
- Exemplo de função incorporada: Proprietário, Colaborador, Colaborador do Grupo de Gestão
Há uma exceção: se o destino ou o grupo de gestão principal existente for o grupo de gestão raiz, os requisitos de permissões não se aplicam. Como o grupo de gerenciamento raiz é o ponto de destino padrão para todos os novos grupos de gerenciamento e assinaturas, você não precisa de permissões nele para mover um item.
Se a função Proprietário na assinatura for herdada do grupo de gerenciamento atual, suas metas de movimentação serão limitadas. Pode mover a subscrição apenas para outro grupo de gestão onde tenha a função de Proprietário. Não pode mover a subscrição para um grupo de gestão onde é apenas um Colaborador porque perderia a propriedade da subscrição. Se lhe tiver sido atribuída diretamente a função de Proprietário da subscrição, poderá movê-la para qualquer grupo de gestão em que tenha a função de Colaborador.
Importante
O Azure Resource Manager armazena em cache detalhes da hierarquia do grupo de gerenciamento por até 30 minutos. Como resultado, o portal do Azure pode não mostrar imediatamente que você moveu um grupo de gerenciamento.
Auditando grupos de gerenciamento usando logs de atividades
Os grupos de gestão são suportados nos registos de atividade do Azure Monitor. Você pode consultar todos os eventos que acontecem a um grupo de gerenciamento no mesmo local central que outros recursos do Azure. Por exemplo, você pode ver todas as atribuições de função ou alterações de atribuição de política feitas em um grupo de gerenciamento específico.
Quando você deseja consultar grupos de gerenciamento fora do portal do Azure, o escopo de destino para grupos de gerenciamento se parece com "/providers/Microsoft.Management/managementGroups/{management-group-id}".
Nota
Ao utilizar a API REST do Azure Resource Manager, pode ativar as definições de diagnóstico num grupo de gestão para enviar entradas relacionadas do registo de atividades do Azure Monitor para um espaço de trabalho do Log Analytics, o Armazenamento do Azure ou os Hubs de Eventos do Azure. Para obter mais informações, consulte Configurações de diagnóstico do grupo de gerenciamento: criar ou atualizar.
Conteúdos relacionados
Para saber mais sobre os grupos de gestão, veja: