Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Se a sua organização tiver muitas assinaturas do Azure, talvez seja necessário uma maneira de gerenciar com eficiência o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gerenciamento fornecem um nível de escopo de governança acima das assinaturas. Quando você organiza assinaturas em grupos de gerenciamento, as condições de governança aplicadas são propagadas por herança a todas as assinaturas associadas.
Os grupos de gerenciamento fornecem gerenciamento de nível empresarial em escala, independentemente do tipo de assinaturas que você possa ter. No entanto, todas as assinaturas dentro de um mesmo grupo de gerenciamento devem confiar em um mesmo locatário do Microsoft Entra.
Por exemplo, você pode aplicar uma política a um grupo de gerenciamento que limita as regiões disponíveis para a criação de VM (máquina virtual). Essa política seria aplicada a todos os grupos de gerenciamento aninhados, assinaturas e recursos para permitir a criação de VM somente em regiões autorizadas.
Hierarquia de grupos de gerenciamento e assinaturas
É possível compilar uma estrutura flexível de grupos de gerenciamento e assinaturas para organizar seus recursos em uma hierarquia para políticas unificadas e gerenciamento de acesso. O diagrama a seguir mostra um exemplo de criação de uma hierarquia de governança usando grupos de gerenciamento.
Diagrama de um grupo de gerenciamento raiz que contém grupos de gerenciamento e assinaturas. Alguns grupos de gerenciamento filho incluem grupos de gerenciamento, alguns incluem assinaturas e alguns incluem ambos os tipos. Um dos exemplos na hierarquia de amostra é uma hierarquia com quatro níveis de grupos de gerenciamento, com todas as assinaturas no nível filho.
Você pode criar uma hierarquia que aplique uma política, por exemplo, que limite os locais de VM à região Oeste dos EUA no grupo de gerenciamento chamado Corp. Essa política herda todas as assinaturas do EA (Contrato Enterprise) que são descendentes desse grupo de gerenciamento e se aplica a todas as VMs nessas assinaturas. O proprietário do recurso ou da assinatura não pode alterar essa política de segurança para permitir uma governança aprimorada.
Observação
No momento, não há suporte para grupos de gerenciamento em recursos de gerenciamento de custos para assinaturas do MCA (Contrato de Cliente da Microsoft).
Outro cenário em que você usaria grupos de gerenciamento é fornecer acesso de usuário a várias assinaturas. Ao mover várias assinaturas em um grupo de gerenciamento, você pode criar uma atribuição de função do Azure no grupo de gerenciamento. A função herda esse acesso a todas as assinaturas. Uma atribuição em um grupo de gerenciamento pode permitir que os usuários tenham acesso a tudo de que precisam, em vez de precisar criar scripts para o RBAC do Azure (controle de acesso baseado em função) em várias assinaturas.
Comparação de cenários
| Scenario | Grupo de Recursos | Subscription | Grupo de gerenciamento | Grupo de Serviços | Tags |
|---|---|---|---|---|---|
| Herança obrigatória da atribuição de função no escopo para cada recurso membro/descendente | Supported | Supported | Supported | Sem suporte | Sem suporte |
| Consolidação de recursos para redução de atribuições de função/atribuições de política | Supported | Supported | Supported | Sem suporte | Sem suporte* |
| Agrupamento de recursos que são compartilhados entre limites de escopo. Ex. Recursos globais de rede em uma assinatura/grupo de recursos que são compartilhados entre vários aplicativos que têm suas próprias assinaturas/grupos de recursos. | Sem suporte | Sem suporte | Sem suporte | Supported | Sem suporte** |
*: As tags do Azure podem ser usadas como critérios no Azure Policy para aplicar políticas a determinados recursos. Marcadores do Azure estão sujeitos a limitações.
**: As tags podem ser aplicadas abrangendo escopos e são adicionadas individualmente aos recursos. No entanto, as tags não funcionam como uma forma de agrupamento de primeira classe.
Fatos importantes sobre os grupos de gerenciamento
Um único diretório pode dar suporte a 10.000 grupos de gerenciamento.
Uma árvore do grupo de gerenciamento pode dar suporte a até seis níveis de profundidade.
Esse limite não inclui o nível raiz nem o nível da assinatura.
Cada grupo de gerenciamento e assinatura podem dar suporte a somente um pai.
Cada grupo de gerenciamento pode ter vários elementos filhos.
Todas as assinaturas e todos os grupos de gerenciamento estão em uma única hierarquia em cada diretório. Para obter mais informações, consulte Fatos importantes sobre o grupo de gerenciamento raiz mais adiante neste artigo.
Grupo de gerenciamento raiz para cada diretório
Cada diretório tem um único grupo de gerenciamento de nível superior chamado grupo de gerenciamento raiz. O grupo de gerenciamento raiz está integrado à hierarquia para que todos os grupos de gerenciamento e assinaturas fiquem abaixo dele.
O grupo de gerenciamento raiz permite a aplicação de políticas globais e atribuições de função do Azure no nível do diretório. Inicialmente, eleve o acesso para gerenciar todas as assinaturas do Azure e os grupos de gerenciamento para a função Administrador de Acesso do Usuário deste grupo raiz. Após o administrador de locatários elevar o acesso, o administrador poderá atribuir qualquer função do Azure a outros usuários ou grupos do diretório para gerenciar a hierarquia. Como administrador, você pode atribuir sua conta como proprietária do grupo de gerenciamento raiz.
Fatos importantes sobre o grupo raiz de gerenciamento
- Por padrão, o nome de exibição do grupo de gerenciamento raiz é Grupo raiz do locatário e ele opera como um grupo de gerenciamento. O ID tem o mesmo valor que a ID de locatário do Microsoft Entra.
- Para alterar o nome de exibição, sua conta deve ter a função Proprietário ou Colaborador no grupo de gerenciamento raiz. Para obter mais informações, consulte Alterar o nome de um grupo de gerenciamento.
- O grupo de gerenciamento raiz não pode ser movido nem excluído, ao contrário de outros grupos de gerenciamento.
- Todas as assinaturas e grupos de gerenciamento se organizam em um único grupo de gerenciamento raiz dentro do diretório.
- Todos os recursos do diretório se subordinam ao grupo de gerenciamento raiz para gerenciamento global.
- Novas assinaturas são atribuídas automaticamente ao grupo de gerenciamento raiz quando são criadas.
- Todos os clientes do Azure podem ver o grupo de gerenciamento raiz, mas nem todos os clientes têm acesso para gerenciá-lo.
- Qualquer pessoa que tenha acesso a uma assinatura pode ver o contexto no qual essa assinatura está na hierarquia.
- Ninguém tem acesso padrão ao grupo de gerenciamento raiz. Os Administradores Globais do Microsoft Entra são os únicos usuários que podem se elevar para obter acesso. Depois de ter acesso ao grupo de gerenciamento raiz, eles podem atribuir qualquer função do Azure a outros usuários para gerenciar o grupo.
Importante
Qualquer atribuição de acesso de usuário ou política no grupo de gerenciamento raiz se aplica a todos os recursos do diretório. Devido a esse nível de acesso, todos os clientes devem avaliar a necessidade de ter itens definidos nesse escopo. O acesso do usuário e as atribuições de política devem ser "obrigatórios" somente nesse escopo.
Configuração inicial dos grupos de gerenciamento
Quando qualquer usuário começa a usar grupos de gerenciamento, ocorre um processo de configuração inicial. A primeira etapa é a criação do grupo de gerenciamento raiz no diretório. Todas as assinaturas existentes no diretório tornam-se filhos do grupo de gerenciamento raiz.
O motivo para esse processo é verificar se há apenas uma hierarquia de grupo de gerenciamento em um diretório. A hierarquia única dentro do diretório permite que clientes com privilégios administrativos apliquem acesso global e políticas que outros clientes dentro do diretório não podem contornar.
Qualquer coisa atribuída na raiz se aplica a toda a hierarquia. Ou seja, isso se aplica a todos os grupos de gerenciamento, assinaturas, grupos de recursos e recursos dentro desse locatário do Microsoft Entra.
Acesso do grupo de gerenciamento
Os grupos de gerenciamento do Azure dão suporte a Azure RBAC para todo o acesso a recursos e definições de função. Os recursos secundários existentes na hierarquia herdam essas permissões. Qualquer função do Azure pode ser atribuída a um grupo de gerenciamento e ser herdada ao longo da hierarquia até os recursos.
Por exemplo, você pode atribuir a função do Azure Colaborador de VM a um grupo de gerenciamento. Essa função não se aplica ao grupo de gerenciamento, mas é herdada por todas as VMs sob esse grupo de gerenciamento.
O gráfico a seguir mostra a lista de funções e as ações compatíveis nos grupos de gerenciamento.
| Nome da função do Azure | Criar | Renomear | Mover** | Excluir | Atribuir acesso | Atribuir uma política | Ler |
|---|---|---|---|---|---|---|---|
| Proprietário | X | X | X | X | X | X | X |
| Colaborador | X | X | X | X | X | ||
| Colaborador do Grupo de Gerenciamento* | X | X | Detalhes de Movimentação | X | X | ||
| Leitor | X | ||||||
| Leitor do Grupo de Gerenciamento* | X | ||||||
| Colaborador da Política de Recursos | X | ||||||
| Administrador de Acesso do Usuário | X | X |
*: essas funções permitem que os usuários executem as ações especificadas somente no escopo do grupo de gerenciamento.
**: as atribuições de função no grupo de gerenciamento raiz não são necessárias para mover uma assinatura ou um grupo de gerenciamento de e para ele.
Movendo assinaturas e grupos de gerenciamento
Mover assinaturas e grupos de gerenciamento requer que diferentes atribuições de função sejam aplicadas. Para mover uma assinatura filho ou um grupo de gerenciamento, as seguintes permissões são necessárias:
- A assinatura filho ou o grupo de gerenciamento que está sendo movido
Microsoft.management/managementgroups/write-
Microsoft.management/managementgroups/subscriptions/write(apenas para assinaturas) Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- Grupo de gerenciamento pai de destino
Microsoft.management/managementgroups/write
- Grupo pai de gerenciamento atual
Microsoft.management/managementgroups/write
Para obter mais informações sobre como mover itens dentro da hierarquia, consulte Gerenciar seus recursos com grupos de gerenciamento.
Definição e atribuição da função personalizada do Azure
Você pode definir um grupo de gerenciamento como um escopo atribuível em uma definição de função personalizada do Azure. A função personalizada do Azure está disponível para atribuição nesse grupo de gerenciamento e em qualquer grupo de gerenciamento, assinatura, grupo de recursos ou recurso sob ele. O perfil personalizado é herdado ao longo da hierarquia, assim como qualquer perfil integrado.
Para obter informações sobre as limitações com funções personalizadas e grupos de gerenciamento, consulte Limitações mais adiante neste artigo.
Definição de exemplo
A opção Definir e criar uma função personalizada não será alterada com a inclusão de grupos de gerenciamento. Use o caminho completo para definir o grupo de gerenciamento: /providers/Microsoft.Management/managementgroups/{_groupId_}.
Use a ID do grupo de gerenciamento, e não o nome de exibição do grupo de gerenciamento. Esse erro comum ocorre porque ambos são campos personalizados na criação de um grupo de gerenciamento.
...
{
"Name": "MG Test Custom Role",
"Id": "id",
"IsCustom": true,
"Description": "This role provides members understand custom roles.",
"Actions": [
"Microsoft.Management/managementGroups/delete",
"Microsoft.Management/managementGroups/read",
"Microsoft.Management/managementGroups/write",
"Microsoft.Management/managementGroups/subscriptions/delete",
"Microsoft.Management/managementGroups/subscriptions/write",
"Microsoft.resources/subscriptions/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.PolicyInsights/*",
"Microsoft.Authorization/roleAssignments/*",
"Microsoft.Authorization/roledefinitions/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/providers/microsoft.management/managementGroups/ContosoCorporate"
]
}
...
Problemas com a quebra da definição de papel e do caminho da hierarquia de atribuição
As definições de função são escopos atribuíveis em qualquer lugar dentro da hierarquia do grupo de gerenciamento. Uma definição de função pode estar em um grupo de gerenciamento pai, enquanto a atribuição de função real existe na assinatura filho. Como há uma relação entre os dois itens, um erro será exibido se você tentar separar a atribuição de sua definição.
Por exemplo, considere o exemplo a seguir de uma pequena seção de uma hierarquia.
O diagrama foca no grupo de gerenciamento raiz com zonas de destino filhas e grupos de gerenciamento sandbox. O grupo de gerenciamento das zonas de aterrissagem tem dois grupos de gerenciamento secundários chamados Corp e Online, enquanto o grupo de gerenciamento sandbox tem duas assinaturas subordinadas.
Suponha que uma função personalizada seja definida no grupo de gerenciamento de área restrita. Essa função personalizada é então atribuída às duas assinaturas de sandbox.
Se você tentar mover uma dessas assinaturas para se tornar filha do grupo de gerenciamento Corp, isso interromperá o caminho da atribuição de função na assinatura até a definição de função do grupo de gerenciamento Sandbox. Nesse cenário, é recebido um erro informando que a movimentação não é permitida porque interrompe essa relação.
Para corrigir esse cenário, você tem estas opções:
- Remova a atribuição de função da assinatura antes de movê-la para um novo grupo de gerenciamento pai.
- Adicione a assinatura ao escopo atribuível da definição de função.
- Altere o escopo atribuível dentro da definição de função. Neste exemplo, você pode atualizar os escopos atribuíveis do grupo de gerenciamento de área restrita para o grupo de gerenciamento raiz para que ambas as ramificações da hierarquia possam alcançar a definição.
- Crie outra função personalizada definida na outra ramificação. Essa nova função também exige que você altere a função na assinatura.
Limitações
Há limitações para o uso de funções personalizadas em grupos de gerenciamento:
- Você pode definir apenas um grupo de gerenciamento nos escopos atribuíveis de uma nova função. Essa limitação está em vigor para reduzir o número de situações em que as definições de função e as atribuições de função são desconectadas. Esse tipo de situação acontece quando uma assinatura ou grupo de gerenciamento com uma atribuição de função é movido para um pai diferente que não tem a definição de função.
- Funções personalizadas com
DataActionsnão podem ser atribuídas no escopo do grupo de gerenciamento. Para obter mais informações, confira Limites de funções personalizadas. - O Azure Resource Manager não valida a existência do grupo de gerenciamento no escopo atribuível da definição de função. Se houver um erro de digitação ou uma ID de grupo de gerenciamento incorreta, a definição de função ainda será criada.
Como mover grupos de gerenciamento e assinaturas
Para mover um grupo de gerenciamento ou assinatura para ser filho de outro grupo de gerenciamento, você precisa:
- Permissões de gravação do grupo de gerenciamento e permissões de gravação para atribuição de função na assinatura filha ou no grupo de gerenciamento.
- Exemplo de função interna: Proprietário
- Acesso de gravação do grupo de gerenciamento no grupo de gerenciamento pai alvo.
- Exemplo de função interna: Proprietário, Colaborador, Colaborador do Grupo de Gerenciamento
- Acesso de gravação do grupo de gerenciamento no grupo de gerenciamento pai existente.
- Exemplo de função interna: Proprietário, Colaborador, Colaborador do Grupo de Gerenciamento
Há uma exceção: se o destino ou o grupo de gerenciamento pai existente for o grupo de gerenciamento raiz, os requisitos de permissão não se aplicam. Como o grupo de gerenciamento raiz é o local de destino padrão para todos os novos grupos de gerenciamento e assinaturas, você não precisa de permissões nele para mover um item.
Se a função Proprietário na assinatura for herdada do grupo de gerenciamento atual, os destinos para os quais você pode movê-la serão limitados. Você pode mover a assinatura apenas para outro grupo de gerenciamento em que você tenha a função Proprietário. Você não pode mover a assinatura para um grupo de gerenciamento em que você é apenas um Colaborador porque perderia a propriedade da assinatura. Se você estiver diretamente designado para a função de Proprietário da assinatura, poderá movê-la para qualquer grupo de gerenciamento no qual tenha a função de Colaborador.
Importante
O Azure Resource Manager armazena em cache os detalhes da hierarquia do grupo de gerenciamento por até 30 minutos. Como resultado, o portal do Azure pode não mostrar imediatamente que você moveu um grupo de gerenciamento.
Auditoria de grupos de gerenciamento usando logs de atividades
Há suporte para grupos de gerenciamento em logs de atividades do Azure Monitor. Você pode pesquisar todos os eventos que ocorrem para um grupo de gerenciamento no mesmo local central que os outros recursos do Azure. Por exemplo, você pode ver todas as alterações de atribuições de função ou de política feitas em um grupo de gerenciamento específico.
Quando você deseja consultar grupos de gerenciamento fora do portal do Azure, o escopo de destino para grupos de gerenciamento é semelhante a "/providers/Microsoft.Management/managementGroups/{management-group-id}".
Observação
Ao usar a API REST do Azure Resource Manager, você pode habilitar as configurações de diagnóstico em um grupo de gerenciamento para enviar entradas relacionadas do log de atividades do Azure Monitor para um espaço de trabalho do Log Analytics, o Armazenamento do Azure ou os Hubs de Eventos do Azure. Para obter mais informações, consulte Configurações de diagnóstico do grupo de gerenciamento: criar ou atualizar.
Conteúdo relacionado
Para saber mais sobre grupos de gerenciamento, consulte: