Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure gruppi di servizi consente di creare raggruppamenti flessibili e personalizzati delle risorse Azure, tra sottoscrizioni e gruppi di risorse, senza modificare la gerarchia di risorse esistente. Si considerino come un modo per creare cartelle virtuali di risorse per team, progetti o carichi di lavoro specifici, offrendo a ogni gruppo la propria visualizzazione e i controlli di accesso con autorizzazioni minime.
I gruppi di servizi sono ideali per scenari che richiedono raggruppamento tra limiti, autorizzazioni minime e aggregazioni di dati tra le risorse. Queste funzionalità consentono ai team di creare raccolte di risorse personalizzate allineate alle esigenze operative, organizzative o basate su persona. Questo articolo offre una panoramica dei gruppi di servizi, degli scenari per cui usarli e dei fatti importanti.
Important
Azure gruppi di servizi è attualmente disponibile in anteprima pubblica. Vedi le Condizioni supplementari d'uso per le anteprime di Microsoft Azure per conoscere le condizioni legali applicabili alle funzionalità di Azure che sono in beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Perché usare i gruppi di servizi?
I gruppi di servizi risolvono una sfida comune: la gerarchia delle risorse Azure (gruppi di gestione → sottoscrizioni → gruppi di risorse) potrebbe non riflettere il funzionamento effettivo dei team. Per esempio:
- Un team di piattaforma deve visualizzare tutte le risorse di rete tra decine di abbonamenti.
- Un responsabile del progetto vuole un singolo dashboard per le risorse che si estendono su ambienti di produzione, gestione temporanea e sviluppo.
- Un responsabile della conformità deve tenere traccia di un set di risorse regolamentate indipendentemente dalla posizione in cui risiedono.
Con i gruppi di servizi è possibile creare queste visualizzazioni senza riorganizzare le sottoscrizioni o richiedere autorizzazioni generali. Le risorse possono appartenere a più gruppi di servizi contemporaneamente e l'accesso ai gruppi di servizi non concede l'accesso alle risorse sottostanti.
Quando usare gruppi di servizi e altri raggruppamenti
| Feature | Gruppi di servizi | Management Groups | Gruppi di risorse | Tag |
|---|---|---|---|---|
| Purpose | Visualizzazioni flessibili attraverso i confini e aggregazioni di dati | Gerarchia di governance e ereditarietà dei criteri | Gestione del ciclo di vita delle risorse | Etichettatura dei metadati |
| Scope | Risorse, gruppi di risorse e sottoscrizioni | Solo sottoscrizioni | Risorse all'interno di una sottoscrizione | Singole risorse |
| Appartenenza multipla | Sì: una risorsa può appartenere a molti gruppi di servizi | Nessuno — un solo genitore | No: solo un gruppo di risorse | Sì : più tag per risorsa |
| Ereditarietà delle autorizzazioni | Solo tra gruppi di servizi padre/figlio | Sì: alle sottoscrizioni e alle risorse | Sì : alle risorse | No |
| Abbonamento incrociato | Sì | N/D (al di sopra del livello di sottoscrizione) | No | Sì (se applicato manualmente) |
Usare i gruppi di servizi quando è necessario creare visualizzazioni tra più sottoscrizioni senza influire sui criteri di governance. Usare i gruppi di gestione per applicare criteri e controllo degli accessi basato sui ruoli tra sottoscrizioni. Usare i gruppi di risorse per gestire il ciclo di vita delle risorse strettamente correlate. Usare tag per i metadati e l'allocazione dei costi.
Prerequisiti
- Un account Azure con una sottoscrizione attiva. Creare un account gratuito.
- Per creare un gruppo di servizi nella radice, sono necessarie autorizzazioni a livello di tenant. Per informazioni dettagliate sull'elevazione dell'accesso, vedere Il Gruppo di Servizio Radice.
- Esaminare la sezione Controlli degli accessi in base al ruolo per comprendere quali ruoli predefiniti sono disponibili.
Funzionalità chiave
- Più gerarchie: i gruppi di servizi consentono scenari in cui le risorse possono essere raggruppate in visualizzazioni diverse per più scopi.
- Appartenenza flessibile: i gruppi di servizi consentono di raggruppare le risorse di sottoscrizioni diverse, offrendo una visualizzazione unificata e funzionalità di gestione. Consentono anche il raggruppamento di sottoscrizioni, gruppi di risorse e risorse. Le stesse risorse possono essere connesse a molti gruppi di servizi diversi, consentendo la creazione e l'uso di diversi utenti e scenari.
- Gestione con privilegi limitati: i gruppi di servizi sono progettati per operare con autorizzazioni minime, assicurandosi che gli utenti possano gestire le risorse senza dover disporre di diritti di accesso eccessivi.
Scenari di esempio
I clienti possono creare molte visualizzazioni diverse che supportano la modalità di organizzazione delle risorse.
Visualizzazione unificata delle risorse
- Le organizzazioni con più applicazioni e ambienti possono usare gruppi di servizi per creare una visualizzazione centralizzata delle informazioni sulle risorse in ambienti diversi. Le risorse membro o i contenitori di risorse di vari ambienti all'interno di gruppi di gestione o sottoscrizioni diversi possono essere collegati a un singolo gruppo di servizi, fornendo un punto di riferimento unificato per i dettagli delle risorse.
- Poiché i gruppi di servizi non ereditano le autorizzazioni dai membri, i clienti possono applicare principi con privilegi minimi per assegnare autorizzazioni ai gruppi di servizi che consentono la visualizzazione delle informazioni sulle risorse. Questa funzionalità consente scenari in cui due utenti possono accedere allo stesso gruppo di servizi, ma solo uno è autorizzato a visualizzare determinate risorse.
Creazione dell'inventario
- I clienti possono connettere le risorse ai gruppi di servizi per ottenere una visualizzazione consolidata di tutte le risorse di un particolare tipo o funzione nell'intero ambiente.
- Personaggi variabili
- Con i gruppi di servizi, le organizzazioni hanno la possibilità di gestire più gerarchie sulle stesse risorse per persone diverse e le proprie visualizzazioni individuali. I clienti possono usare le stesse risorse per essere membri di un gruppo di servizi del carico di lavoro, di un gruppo di servizi di reparto e di un gruppo di servizi con tutte le risorse di produzione.
Come funziona
Azure Gruppi di servizi sono una gerarchia a livello di tenant parallelo che consente il raggruppamento delle risorse. La separazione tra gruppi di gestione, sottoscrizioni e gruppi di risorse consente di connettere i gruppi di servizi più volte a risorse e contenitori di risorse diversi senza influire sulle strutture esistenti.
Informazioni sui gruppi di servizi
- Viene creato un Gruppo di Servizi all'interno del Provider di Risorse Microsoft.Management.
- I gruppi di servizi consentono l'annidamento automatico per creare fino a 10 "livelli" di profondità di raggruppamento. L'annidamento può essere gestito tramite la proprietà 'padre' all'interno della risorsa del gruppo di servizi.
- Le assegnazioni di ruolo nel gruppo di servizi possono essere ereditate solo nei gruppi di servizi figlio. Non esiste alcuna ereditarietà tramite le appartenenze alle risorse o ai contenitori di risorse.
- Esiste un limite di 2000 membri del gruppo di servizi provenienti dalla stessa sottoscrizione.
- Nella finestra Anteprima è previsto un limite di 10.000 gruppi di servizi in un singolo tenant.
- I gruppi di servizi e gli ID membro del gruppo di servizi supportano fino a 250 caratteri. Possono essere caratteri alfanumerici e speciali: - _ ( ). ~
- I gruppi di servizi richiedono un ID univoco globale. Due tenant Microsoft Entra non possono avere un gruppo di servizi con ID identici.
- L'appartenenza ai gruppi di servizi viene gestita da 'Microsoft.Relationship/ServiceGroupMember' sul membro desiderato (una risorsa, un gruppo di risorse o una sottoscrizione) per il gruppo di servizi desiderato.
raggruppamenti Azure Resource Manager
Azure offre un'ampia gamma di contenitori di risorse che consentono ai clienti di gestire le risorse su diverse scale. I gruppi di servizi sono solo i più recenti in una famiglia di contenitori di Azure Resource Manager (ARM) usati per organizzare l'ambiente.
Questa tabella mostra un riepilogo delle differenze tra i gruppi.
Confronto tra scenari
| Scenario | Gruppo di risorse | Subscription | Gruppo di gestione | Gruppo di servizi | Tags |
|---|---|---|---|---|---|
| Richiedere l'ereditarietà dall'assegnazione nell'ambito a ogni risorsa membro/discendente | Supported* | Supported | Supported | Non supportato | Non supportato |
| Consolidamento delle risorse per la riduzione delle assegnazioni di ruolo/assegnazioni di criteri | Supported | Supported | Supported | Non supportato | Non supportato |
| Raggruppamento di risorse condivise attraverso i confini degli ambiti. Ex. Risorse di rete globali in una sottoscrizione o in un gruppo di risorse condiviso tra più applicazioni con sottoscrizioni/gruppi di risorse personali. | Non supportato | Non supportato | Non supportato | Supported | Supported |
| Creare raggruppamenti separati che consentono aggregazioni separate di metriche | Non supportato | Supported | Supported | Supported | Supported** |
| Applicare restrizioni a livello aziendale o configurazioni organizzative in molte risorse | Supported* | Supported* | Supported* | Non supportato | Supported*** |
*: quando un criterio viene applicato a un ambito, l'imposizione è per tutti i membri all'interno dell'ambito. Ad esempio, in un gruppo di risorse si applica solo alle risorse sottostanti.
**: i tag possono essere applicati tra ambiti e vengono aggiunti alle risorse singolarmente. Criteri di Azure dispone di criteri predefiniti che consentono di gestire i tag.
: Azure tag possono essere usati come criteri all'interno di Criteri di Azure per applicare criteri a determinate risorse. Azure tag sono soggetti a limitazioni.
Fatti importanti sui gruppi di servizi
- Un singolo tenant può supportare 10.000 gruppi di servizi.
- L'albero dei gruppi di servizi può supportare fino a 10 livelli di profondità. Questo limite non include il livello radice.
- Ogni gruppo di servizi può avere molti elementi figlio.
- Un singolo nome/ID del gruppo di servizi può contenere fino a 250 caratteri.
- Non sono previsti limiti per il numero di membri dei gruppi di servizi, ma esiste un limite di 2.000 relazioni (incluso ServiceGroupMember) all'interno di una sottoscrizione
Gruppo di servizi root
I gruppi di servizi, analogamente ai gruppi di gestione, includono un gruppo di servizi radice, che è l'elemento padre principale di tutti i gruppi di servizi in tale tenant. L'ID del gruppo di servizi radice è uguale all'ID tenant.
I gruppi di servizi creano il gruppo di servizi radice nella prima richiesta ricevuta all'interno del tenant e gli utenti non possono creare o aggiornare il gruppo di servizi radice. "/providers/microsoft.management/servicegroups/[tenantId]"
L'accesso alla radice deve essere concesso a un utente con autorizzazioni "microsoft.authorization/roleassignments/write" a livello di tenant. Ad esempio, l'amministratore globale del tenant può elevare i propri privilegi di accesso nel tenant per ottenere queste autorizzazioni. Informazioni dettagliate sull'elevazione dei privilegi di accesso dell'amministratore globale
Controlli degli accessi in base al ruolo
Sono disponibili tre definizioni di ruoli predefiniti per supportare i gruppi di servizi nell'anteprima.
Note
I controlli personalizzati degli accessi in base al ruolo non sono supportati durante l'anteprima.
Amministratore del gruppo di servizi: questo ruolo predefinito gestisce tutti gli aspetti dei gruppi di servizi e delle relazioni ed è il ruolo predefinito assegnato agli utenti quando creano un gruppo di servizi.
Collaboratore al gruppo di servizi: questo ruolo predefinito deve essere assegnato agli utenti quando devono creare o gestire il ciclo di vita di un gruppo di servizi. Questo ruolo consente tutte le azioni ad eccezione delle funzionalità di assegnazione di ruolo.
Lettore del gruppo di servizi: questo ruolo predefinito fornisce l'accesso in sola lettura alle informazioni del gruppo di servizi e può essere assegnato ad altre risorse per visualizzare le relazioni connesse.
Chiunque disponga di autorizzazioni valide all'interno del tenant è in grado di creare un gruppo di servizi nella radice. L'utente che crea il gruppo di servizi diventa l'amministratore del gruppo di servizi. Per modificare il gruppo di servizi o creare gruppi di servizi figlio, un utente deve avere il ruolo di "Collaboratore del gruppo di servizi" all'interno di quel gruppo di servizi. Per aggiungere membri, gli utenti devono avere il ruolo "Collaboratore gruppo di servizi" per il gruppo di servizi e "Microsoft.Relationship/write" nella risorsa.