Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
mit Azure Servicegruppen können Sie flexible, benutzerdefinierte Gruppierungen Ihrer Azure Ressourcen – über Abonnements und Ressourcengruppen hinweg – erstellen, ohne Ihre vorhandene Ressourcenhierarchie zu ändern. Stellen Sie sich diese als Möglichkeit vor, virtuelle Ressourcenordner für bestimmte Teams, Projekte oder Workloads zu erstellen, sodass jede Gruppe ihre eigenen Ansichts- und Zugriffssteuerungen mit minimalen Berechtigungen erhält.
Dienstgruppen eignen sich ideal für Szenarien, die grenzübergreifende Gruppierung, minimale Berechtigungen und Aggregationen von Daten über Ressourcen hinweg erfordern. Mit diesen Features können Teams maßgeschneiderte Ressourcensammlungen erstellen, die den betrieblichen, organisatorischen oder personabasierten Anforderungen entsprechen. In diesem Artikel erhalten Sie einen Überblick darüber, was Dienstgruppen sind, die Szenarien, für die sie verwendet werden sollen, und wichtige Fakten.
Important
Azure Dienstgruppen befinden sich derzeit in der öffentlichen Vorschau. Lesen Sie die Supplemental-Nutzungsbedingungen für Microsoft Azure Previews für rechtliche Bedingungen, die für Azure Features gelten, die sich in der Betaversion, vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.
Gründe für die Verwendung von Dienstgruppen
Dienstgruppen lösen eine häufige Herausforderung: Ihre Azure Ressourcenhierarchie (Verwaltungsgruppen → Abonnements → Ressourcengruppen) spiegeln möglicherweise nicht wider, wie Ihre Teams tatsächlich funktionieren. Beispiel:
- Ein Plattformteam muss alle Netzwerkressourcen über Dutzende von Abonnements hinweg anzeigen.
- Ein Projektleiter möchte ein einzelnes Dashboard für Ressourcen, die Produktions-, Staging- und Entwicklungsumgebungen umfassen.
- Ein Compliance Officer muss unabhängig davon, wo sie leben, eine Reihe regulierter Ressourcen nachverfolgen.
Mit Dienstgruppen können Sie diese Ansichten erstellen, ohne Ihre Abonnements neu zu organisieren oder umfassende Berechtigungen anzufordern. Ressourcen können gleichzeitig zu mehreren Dienstgruppen gehören, und der Zugriff auf Dienstgruppen gewährt keinen Zugriff auf die zugrunde liegenden Ressourcen.
Wann Sie Dienstgruppen im Vergleich zu anderen Gruppierungen verwenden sollten
| Funktion | Dienstgruppen | Management Groups | Ressourcengruppen | Stichwörter |
|---|---|---|---|---|
| Purpose | Flexible grenzübergreifende Ansichten und Datenaggregation | Governancehierarchie und Richtlinienvererbung | Ressourcenlebenszyklusverwaltung | Metadatenbezeichnung |
| Bereich | Ressourcen, Ressourcengruppen und Abonnements | Nur Abonnements | Ressourcen innerhalb eines Abonnements | Einzelne Ressourcen |
| Mehrere Mitgliedschaften | Ja – eine Ressource kann zu vielen Dienstgruppen gehören. | Nein – nur ein Elternteil | Nein – nur eine Ressourcengruppe | Ja – mehrere Tags pro Ressource |
| Berechtigungsvererbung | Nur zwischen übergeordneten/untergeordneten Dienstgruppen | Ja – für Abonnements und Ressourcen | Ja – für Ressourcen | No |
| Abonnementübergreifend | Ja | N/A (über die Abonnementebene) | No | Ja (falls manuell angewendet) |
Verwenden Sie Dienstgruppen , wenn Sie Ansichten über mehrere Abonnements hinweg erstellen müssen, ohne dass sich dies auf Governancerichtlinien auswirkt. Verwenden Sie Verwaltungsgruppen, um Richtlinien und RBAC über Abonnements hinweg anzuwenden. Verwenden Sie Ressourcengruppen zum Verwalten des Lebenszyklus eng verwandter Ressourcen. Verwenden Sie Tags für Metadaten und Kostenzuordnung.
Voraussetzungen
- Ein Azure Konto mit einem aktiven Abonnement. Erstellen Sie ein kostenloses Konto.
- Um eine Dienstgruppe unter dem Stamm zu erstellen, benötigen Sie Berechtigungen auf Mandantenebene. Weitere Informationen zum Erhöhen des Zugriffs finden Sie in der Root-Service-Gruppe.
- Überprüfen Sie den Abschnitt " Rollenbasierte Zugriffssteuerungen ", um zu verstehen, welche integrierten Rollen verfügbar sind.
Wichtige Funktionen
- Mehrere Hierarchien: Dienstgruppen ermöglichen Szenarien, in denen die Ressourcen für mehrere Zwecke in unterschiedlichen Ansichten gruppiert werden können.
- Flexible Mitgliedschaft: Dienstgruppen ermöglichen das Gruppieren von Ressourcen aus verschiedenen Abonnements und bieten eine einheitliche Ansichts- und Verwaltungsfunktionen. Sie ermöglichen auch die Gruppierung von Abonnements, Ressourcengruppen und Ressourcen. Die gleichen Ressourcen können mit vielen verschiedenen Dienstgruppen verbunden werden, sodass unterschiedliche Kundenpersonas und Szenarien erstellt und verwendet werden können.
- Verwaltung geringer Rechte: Dienstgruppen sind so konzipiert, dass sie mit minimalen Berechtigungen arbeiten und sicherstellen können, dass Benutzer Ressourcen verwalten können, ohne dass übermäßige Zugriffsrechte erforderlich sind.
Beispielszenarien
Kunden können viele verschiedene Ansichten erstellen, die die Organisation ihrer Ressourcen unterstützen.
Einheitliche Ansicht von Ressourcen
- Organisationen mit mehreren Anwendungen und Umgebungen können Dienstgruppen verwenden, um eine zentrale Ansicht der Ressourceninformationen in verschiedenen Umgebungen zu erstellen. Mitgliedsressourcen oder Ressourcencontainer aus verschiedenen Umgebungen innerhalb unterschiedlicher Verwaltungsgruppen oder Abonnements können mit einer einzelnen Dienstgruppe verknüpft werden, die einen einheitlichen Referenzpunkt für Ressourcendetails bereitstellt.
- Da Dienstgruppen keine Berechtigungen von ihren Mitgliedern erben, können Kunden die Prinzipien der geringsten Rechte anwenden, um Berechtigungen für die Dienstgruppen zuzuweisen, die das Anzeigen von Ressourceninformationen ermöglichen. Diese Funktion ermöglicht Szenarien, in denen zwei Benutzer auf dieselbe Dienstgruppe zugreifen können, aber nur eine kann bestimmte Ressourcen anzeigen.
Erstellen des Inventars
- Kunden können Ressourcen mit den Dienstgruppen verbinden, um eine konsolidierte Ansicht aller Ressourcen eines bestimmten Typs oder einer bestimmten Funktion in der gesamten Umgebung zu erhalten.
- Unterschiedliche Personas
- Mit Dienstgruppen haben Organisationen die Möglichkeit, mehrere Hierarchien über die gleichen Ressourcen für unterschiedliche Personas und ihre eigenen individuellen Ansichten zu verwalten. Kunden können dieselben Ressourcen verwenden, um Mitglieder einer Workload-Dienstgruppe, einer Abteilungsdienstgruppe und einer Dienstgruppe mit allen Produktionsressourcen zu sein.
Funktionsweise
Azure Dienstgruppen sind eine parallele Hierarchie auf Mandantenebene, die das Gruppieren von Ressourcen ermöglicht. Durch die Trennung von Verwaltungsgruppen, Abonnements und Ressourcengruppen können Dienstgruppen mehrmals mit verschiedenen Ressourcen und Ressourcencontainern verbunden werden, ohne dass die vorhandenen Strukturen beeinträchtigt werden.
Informationen zu Dienstgruppen
- Innerhalb des Microsoft.Management-Verwaltungsressourcenanbieters wird eine Servicegruppe erstellt.
- Dienstgruppen ermöglichen die Selbstverschachtelung bis zu 10 „Ebenen“ der Gruppierungstiefe. Die Schachtelung kann über die „übergeordnete“ Eigenschaft innerhalb der Dienstgruppenressource verwaltet werden.
- Rollenzuweisungen für die Dienstgruppe können nur an die untergeordneten Dienstgruppen geerbt werden. Es gibt keine Vererbung durch die Mitgliedschaften an die Ressourcen oder Ressourcencontainer.
- Es gibt eine Beschränkung von 2000 Servicegruppenmitgliedern, die aus demselben Abonnement stammen.
- Innerhalb des Vorschaufensters gibt es eine Beschränkung von 10.000 Dienstgruppen in einem einzigen Mandanten.
- Dienstgruppen und Dienstgruppenmitglieder-IDs unterstützen bis zu 250 Zeichen. Sie können alphanumerisch und Sonderzeichen sein: - _ ( ). ~
- Dienstgruppen erfordern eine global eindeutige ID. Zwei Microsoft Entra Mandanten können keine Dienstgruppe mit identischen IDs haben.
- Die Mitgliedschaft in Dienstgruppen wird durch „Microsoft.Relationship/ServiceGroupMember“ für das gewünschte Mitglied (eine Ressource, eine Ressourcengruppe oder ein Abonnement) verwaltet, während die gewünschte Dienstgruppe ausgewählt wird.
Azure Resource Manager Gruppierungen
Azure bietet eine Vielzahl von Ressourcencontainern, die es unseren Kunden ermöglichen, Ressourcen in vielen verschiedenen Skalierungen zu verwalten. Dienstgruppen sind nur die neuesten in einer Familie von Azure Resource Manager (ARM)-Containern, die zum Organisieren Ihrer Umgebung verwendet werden.
Diese Tabelle enthält eine Zusammenfassung der Unterschiede zwischen den Gruppen.
Szenariovergleich
| Scenario | Ressourcengruppe | Subscription | Verwaltungsgruppe | Dienstgruppe | Tags |
|---|---|---|---|---|---|
| Vererbung von Zuordnungen im Bereich für jede Mitglied-/Nachfolgerressource erforderlich | Supported* | Supported | Supported | Nicht unterstützt | Nicht unterstützt |
| Konsolidierung von Ressourcen zur Reduzierung von Rollenzuweisungen/Richtlinienzuweisungen | Supported | Supported | Supported | Nicht unterstützt | Nicht unterstützt |
| Gruppierung von Ressourcen, die über Scope-Grenzen hinweg geteilt werden. Ex. Globale Netzwerkressourcen in einer Abonnement-/Ressourcengruppe, die für mehrere Anwendungen freigegeben werden, die über eigene Abonnements/Ressourcengruppen verfügen. | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt | Supported | Supported |
| Erstellen separater Gruppierungen, die separate Aggregationen von Metriken ermöglichen | Nicht unterstützt | Supported | Supported | Supported | Supported** |
| Erzwingen von unternehmensweiten Einschränkungen oder Organisationskonfigurationen über viele Ressourcen hinweg | Supported* | Supported* | Supported* | Nicht unterstützt | Supported*** |
*: Wenn eine Richtlinie auf einen Bereich angewendet wird, gilt die Erzwingung für alle Mitglieder innerhalb des Bereichs. Bei einer Ressourcengruppe gilt dies beispielsweise nur für die ressourcen unter ihnen.
**: Tags können über Bereiche hinweg angewendet werden und ressourcen einzeln hinzugefügt werden. Azure Policy verfügt über integrierte Richtlinien, mit denen Tags verwaltet werden können.
: Azure Tags können innerhalb Azure Policy als Kriterien verwendet werden, um Richtlinien auf bestimmte Ressourcen anzuwenden. Azure Tags unterliegen Einschränkungen.
Wichtige Fakten zu Servicegruppen
- Ein einzelner Mandant kann 10.000 Dienstgruppen unterstützen.
- Die Dienstgruppenstruktur kann bis zu 10 Tiefenebenen unterstützen. Dieser Grenzwert enthält nicht die Stammebene.
- Jede Dienstgruppe kann viele untergeordnete Gruppen haben.
- Ein einzelner Dienstgruppenname/die ID kann bis zu 250 Zeichen lang sein.
- Es gibt keine Grenzwerte für die Anzahl der Mitglieder von Dienstgruppen, aber es gibt eine Beschränkung von 2.000 Beziehungen (einschließlich ServiceGroupMember) innerhalb eines Abonnements.
Stammdienstgruppe
Dienstgruppen, ähnlich wie Verwaltungsgruppen, verfügen über eine Stammdienstgruppe, die das oberste übergeordnete Element aller Dienstgruppen in diesem Mandanten ist. Die ID der Stammdienstgruppe entspricht der Mandanten-ID.
Dienstgruppen erstellen die Stammdienstgruppe für die erste Anforderung, die innerhalb des Mandanten empfangen wurde, und Benutzende können die Stammdienstgruppe nicht erstellen oder aktualisieren. "/providers/microsoft.management/servicegroups/[tenantId]"
Der Zugriff auf den Stamm muss von einer benutzenden Person mit den Berechtigungen „microsoft.authorization/roleassignments/write“ auf Mandantenebene erteilt werden. Beispielsweise kann die global administrierende Person des Mandanten ihren Zugriff auf den Mandanten erhöhen, um über diese Berechtigungen zu verfügen. Details zum Erhöhen des globalen Mandantenadministratorzugriffs
Rollenbasierte Zugriffssteuerungen
Es gibt drei integrierte Rollendefinitionen zur Unterstützung von Dienstgruppen in der Vorschau.
Note
Benutzerdefinierte rollenbasierte Zugriffssteuerungen werden während der Vorschau nicht unterstützt.
Dienstgruppenadministrator: Diese integrierte Rolle verwaltet alle Aspekte von Dienstgruppen und Beziehungen und ist die Standardrolle , die Benutzern beim Erstellen einer Dienstgruppe zugewiesen wird.
Dienstgruppenmitwirkender: Diese integrierte Rolle sollte Benutzern zugewiesen werden, wenn sie den Lebenszyklus einer Dienstgruppe erstellen oder verwalten müssen. Diese Rolle ermöglicht alle Aktionen mit Ausnahme der Rollenzuweisungsfunktionen.
Dienstgruppenleser: Diese integrierte Rolle bietet schreibgeschützten Zugriff auf Dienstgruppeninformationen und kann anderen Ressourcen zugewiesen werden, um die verbundenen Beziehungen anzuzeigen.
Jeder Benutzer mit gültigen Berechtigungen innerhalb des Mandanten kann eine Dienstgruppe unter der Wurzel erstellen. Der Benutzer, der die Dienstgruppe erstellt, wird zum "Dienstgruppenadministrator". Um die Dienstgruppe zu bearbeiten oder untergeordnete Dienstgruppen zu erstellen, muss ein Benutzer in dieser Dienstgruppe die Rolle des „Dienstgruppenmitwirkenden“ besitzen. Um Mitglieder hinzuzufügen, müssen Benutzer die Rolle 'Dienstgruppenmitwirkender' in der Dienstgruppe haben und über 'Microsoft.Relationship/write'-Berechtigungen auf der Ressource verfügen.