你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 管理组 来组织和管理 Azure 订阅。 随着订阅数量的增加,管理组为 Azure 环境提供关键结构,并更轻松地管理订阅。 使用以下指南建立有效的管理组层次结构,并根据最佳做法组织订阅。
管理组设计注意事项
Microsoft Entra 租户中的管理组结构支持组织结构映射。 在组织大规模计划其 Azure 采用时,请全面考虑管理组结构。
确定组织如何分离特定团队拥有或运营的服务。
根据业务要求、操作要求、法规要求、数据驻留、数据安全或数据主权合规性等原因,确定是否需要将特定功能分开保留。
使用管理组通过 Azure Policy 聚合策略和计划的分配。
为管理组操作开启 Azure 基于角色的访问控制(RBAC)授权以覆盖默认授权。 默认情况下,Microsoft Entra 租户中的任何主体(如用户主体或服务主体)都可以创建新的管理组。 有关详细信息,请参阅 如何保护资源层次结构。
另请考虑以下因素:
管理组树最多可以支持 六个深度级别。 此限制不包括租户根级别或订阅级别。
默认情况下,所有新订阅都放置在租户根管理组下。
有关详细信息,请参阅 管理组。
管理组建议
使管理组层次结构合理平整,理想情况下不超过 3 到 4 个级别。 此限制可降低管理开销和复杂性。
不要将组织结构复制到深层嵌套的管理组层次结构中。 使用管理组进行策略分配,而不是用于计费和 RBAC(基于角色的访问控制)目的。 对于此方法,请按照它们的预期用途在 Azure 登陆区概念架构中使用管理组。 此体系结构为需要相同管理组级别的相同安全性和符合性的工作负荷提供 Azure 策略。
不要在管理组范围内通过 RBAC 分配应用程序团队权限。 应在所需访问的订阅或资源组范围内分配权限。 这通常在 订阅售货过程中处理。 不建议这样做,因为权限过多和安全风险,以及继承带来的额外风险。 请改用管理组来分配适用于管理组中所有需要相同安全、治理和符合性设置的订阅的 Azure 策略和计划。
- 可以在平台团队的管理组范围内通过 RBAC 分配权限,以授予他们对所有订阅的访问权限,以便轻松执行日常任务和故障排除。 但是,这应该通过特权标识管理(PIM)进行控制,以确保仅在需要时授予权限。
使用资源标记在管理组层次结构中进行查询和水平导航。 可以使用 Azure Policy 强制或追加资源标记。 然后,可以针对搜索需求对资源进行分组,而无需使用复杂的管理组层次结构。
创建沙盒管理组,以便在将资源移动到生产环境之前立即试验资源。 沙盒可用于与开发、测试和生产环境隔离。
在根管理组下创建平台管理组,以支持常见的平台策略和 Azure 角色分配。 此分组结构可确保将各种策略应用到 Azure 基础中的订阅。 此方法还将常用资源的费用管理集中在一套基础性的订阅中。
在登陆区域管理组下创建管理组,以表示托管的工作负荷类型。 这些组基于工作负荷的安全、符合性、连接性和功能需求。 使用此分组结构,可以在管理组级别应用一组 Azure 策略。 将此分组结构用于需要相同安全性、符合性、连接性和功能设置的所有工作负荷。
- 使用管理组按工作负荷类型(如联机、公司或沙盒)组织订阅。 此组织可帮助你应用特定于工作负荷类型的策略和 RBAC 角色。 有关详细信息,请参阅 定制 Azure 登陆区域体系结构以满足要求。
限制根管理组范围内的 Azure Policy 分配数。 此限制最大程度减少了在低级管理组中对继承的策略进行的调试工作。
使用策略在管理组或订阅范围内强制实施符合性要求,以实现策略驱动的治理。
确保只有特权用户可以在租户中运行管理组。 在管理组 层次结构设置 中启用 Azure RBAC 授权以优化用户权限。 默认情况下,所有用户都可以在根管理组下创建自己的管理组。
为新订阅配置默认的专用管理组。 该组确保没有订阅落入根管理组。 如果用户具有Microsoft开发人员网络(MSDN)或 Visual Studio 权益和订阅,则此组尤其重要。 适合这种类型管理组的候选是沙盒管理组。 有关详细信息,请参阅 设置默认管理组。
不要为生产、测试和开发环境创建管理组。 如有必要,将这些组分成同一管理组中的不同订阅。 有关详细信息,请参见:
建议对多区域部署使用标准 Azure 登陆区域管理组结构。 不要只创建管理组来为不同的 Azure 区域建模。 不要根据区域或多区域使用情况更改或扩展管理组结构。
如果你有基于位置的法规要求(如数据驻留、数据安全或数据主权),则应基于位置创建管理组结构。 可以在各种级别实现此结构。 有关详细信息,请参阅 修改 Azure 登陆区域体系结构。
Azure 登陆区域体系结构中的管理组
下面显示了 Azure 登陆区域体系结构管理组层次结构。
| 管理组 | DESCRIPTION |
|---|---|
| 中间根管理组 | 此管理组直接位于租户根组下。 组织为此管理组提供一个前缀,以便他们不必使用根组。 组织可以将现有 Azure 订阅移到层次结构中。 此方法还会构建未来的情境。 此管理组是 Azure 登陆区域加速器创建的其他所有管理组的父级。 |
| 平台 | 此管理组包含所有平台子管理组,如管理、连接和身份。 |
| 安全性 | 此管理组包含用于安全/SIEM 团队工具的专用订阅。 此订阅托管Microsoft Sentinel、syslog 收集器和其他安全/SIEM 相关工具。 |
| 管理 | 此管理组包含用于管理、监视和安全性的专用订阅。 此订阅托管 Azure Monitor 日志工作区,包括关联的解决方案。 |
| 连接 | 此管理组包含用于连接的专用订阅。 此订阅托管平台所需的 Azure 网络资源,例如 Azure 虚拟 WAN、Azure 防火墙和 Azure DNS 专用区域。 可以使用各种资源组来包含部署在不同区域中的资源,例如虚拟网络、防火墙实例和虚拟网络网关。 某些大型部署可能对连接资源具有订阅配额限制。 可以在每个区域中为其连接资源创建专用订阅。 |
| 身份 | 此管理组包含一个用于身份的专用订阅。 此订阅是 Active Directory 域服务(AD DS)虚拟机或 Microsoft Entra 域服务的占位符。 可以使用各种资源组来包含部署在不同区域中的资源,例如虚拟网络和 VM。 该订阅还为登陆区域内的工作负载启用 AuthN 或 AuthZ。 分配特定的 Azure 策略以加固和管理身份订阅中的资源。 某些大型部署可能对连接资源具有订阅配额限制。 可以在每个区域中为其连接资源创建专用订阅。 |
| 登陆区域 | 包含所有登陆区域子管理组的父管理组。 它分配了与工作负荷无关的 Azure 策略,以确保工作负载安全且合规。 |
| 在线 | 联机登陆区域的专用管理组。 此组适用于可能需要直接 Internet 入站或出站连接的工作负荷,或者对于可能不需要虚拟网络的工作负荷。 |
| 公司 | 企业登陆区域的专用管理组。 该组用于需要通过连接订阅中的中心节点与公司网络连接或混合连接的工作负载。 |
| 沙盒组 | 专用于订阅的管理组。 组织使用沙盒进行测试和探索。 这些订阅与企业和在线登陆区域实现安全隔离。 沙盒还分配了一组限制较少的策略,用于启用 Azure 服务的测试、探索和配置。 |
| 已停用组 | 已取消的着陆区专用管理团队。 将已取消的着陆区移动到此管理组,然后 Azure 会在 30-60 天后删除它们。 |
后续步骤
了解如何在计划大规模 Azure 采用时使用订阅。