Verwalten Ihrer Azure-Abonnements im großen Stil mit Verwaltungsgruppen

Verfügt eine Organisation über viele Abonnements, ist häufig eine Strategie zur effizienten Verwaltung des Zugriffs, der Richtlinien und der Einhaltung dieser Abonnements erforderlich. Azure-Verwaltungsgruppen befinden sich eine Bereichsebene oberhalb von Abonnements. Sie organisieren Abonnements in Containern, die als Verwaltungsgruppen bezeichnet werden, und wenden Ihre Governancebedingungen auf die Verwaltungsgruppen an. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Verwaltungsgruppe angewendeten Bedingungen.

Verwaltungsgruppen ermöglichen Ihnen unabhängig von Ihrem Abonnementtyp die Verwaltung im großen Stil auf Unternehmensniveau. Weitere Informationen zu Verwaltungsgruppen finden Sie unter Organize your resources with Azure Management Groups (Organisieren von Ressourcen mit Azure-Verwaltungsgruppen).

Hinweis

Dieser Artikel enthält eine ausführliche Vorgehensweise zum Löschen personenbezogener Daten vom Gerät oder aus dem Dienst, die Sie bei Ihren Pflichten gemäß der DSGVO unterstützen kann. Allgemeine Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.

Wichtig

Azure Resource Manager speichert Benutzertoken und Verwaltungsgruppen 30 Minuten zwischen, bevor ihre Aktualisierung erzwungen wird. Nach einer Aktion, wie dem Verschieben einer Verwaltungsgruppe oder eines Abonnements, kann die Anzeige bis zu 30 Minuten dauern. Um die Updates früher anzuzeigen, müssen Sie Ihr Token aktualisieren, indem Sie den Browser aktualisieren, sich an- und abmelden oder ein neues Token anfordern.

Beachten Sie bei den Azure PowerShell-Aktionen in diesem Artikel, dass bei AzManagementGroup-bezogenen Cmdlets -GroupId ein Alias des -GroupName-Parameters ist. Sie können beide verwenden, um die Verwaltungsgruppen-ID als Zeichenfolgenwert anzugeben.

Ändern des Namens einer Verwaltungsgruppe

Sie können den Namen der Verwaltungsgruppe über das Azure-Portal, mit Azure PowerShell oder der Azure-Befehlszeilenschnittstelle ändern.

Ändern des Namens im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Alle Dienste aus. Geben Sie im Textfeld Filterdienste Verwaltungsgruppen ein, und wählen Sie sie aus der Liste aus.

  3. Wählen Sie die Verwaltungsgruppe aus, die Sie umbenennen möchten.

  4. Wählen Sie Details aus.

  5. Wählen Sie oben auf der Seite auf die Option Gruppe umbenennen aus.

    Screenshot der Aktionsleiste und der Schaltfläche „Gruppe umbenennen“ auf der Seite „Verwaltungsgruppe“

  6. Geben Sie im Bereich Gruppe umbenennen den neuen Namen ein, den Sie anzeigen möchten.

    Screenshot der Optionen zum Umbenennen einer Verwaltungsgruppe

  7. Wählen Sie Speichern.

Ändern des Namens mit Azure PowerShell

Verwenden Sie zum Aktualisieren des Anzeigenamens in Azure PowerShell Update-AzManagementGroup. Wenn Sie beispielsweise den Anzeigenamen einer Verwaltungsgruppe von Contoso IT in Contoso Group ändern möchten, führen Sie den folgenden Befehl aus:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Ändern des Namens über die Azure-Befehlszeilenschnittstelle

Verwenden Sie für die Azure CLI den Befehl update:

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Löschen einer Verwaltungsgruppe

Um eine Verwaltungsgruppe zu löschen, müssen die folgenden Anforderungen erfüllt sein:

Löschen einer Verwaltungsgruppe im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Alle Dienste aus. Geben Sie im Textfeld Filterdienste Verwaltungsgruppen ein, und wählen Sie sie aus der Liste aus.

  3. Wählen Sie die Verwaltungsgruppe aus, die Sie löschen möchten.

  4. Wählen Sie Details aus.

  5. Klicken Sie auf Löschen.

    Screenshot der Seite „Verwaltungsgruppe“ mit der Schaltfläche „Löschen“

    Tipp

    Wenn die Schaltfläche Löschen nicht verfügbar ist, wird der Grund angezeigt, wenn Sie den Mauszeiger darüber bewegen.

  6. Ein Dialogfeld wird geöffnet, und Sie werden aufgefordert zu bestätigen, dass Sie die Verwaltungsgruppe löschen möchten.

    Screenshot des Bestätigungsdialogfelds zum Löschen einer Verwaltungsgruppe

  7. Wählen Sie Ja aus.

Löschen einer Verwaltungsgruppe mit Azure PowerShell

Verwenden Sie den Befehl Remove-AzManagementGroup in Azure PowerShell, um eine Verwaltungsgruppe zu löschen:

Remove-AzManagementGroup -GroupId 'Contoso'

Löschen einer Verwaltungsgruppe mithilfe der Azure-Befehlszeilenschnittstelle

Verwenden Sie in der Azure-Befehlszeilenschnittstelle den Befehl az account management-group delete:

az account management-group delete --name 'Contoso'

Anzeigen von Verwaltungsgruppen

Sie können jede Verwaltungsgruppe anzeigen, für die Sie eine direkte oder geerbte Azure-Rolle besitzen.

Verschieben von Verwaltungsgruppen im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Alle Dienste aus. Geben Sie im Textfeld Filterdienste Verwaltungsgruppen ein, und wählen Sie sie aus der Liste aus.

  3. Die Seite für die Verwaltungsgruppenhierarchie wird angezeigt. Auf dieser Seite können Sie alle Verwaltungsgruppen und Abonnements erkunden, auf die Sie Zugriff haben. Durch Auswahl des Gruppennamens gelangen Sie auf eine niedrigere Ebene in der Hierarchie. Die Navigation funktioniert genauso wie im Datei-Explorer.

  4. Um die Details der Verwaltungsgruppe zu sehen, wählen Sie den Link (Details) neben dem Titel der Verwaltungsgruppe. Wenn dieser Link nicht verfügbar ist, sind Sie zum Anzeigen dieser Verwaltungsgruppe nicht berechtigt.

    Screenshot der Seite „Verwaltungsgruppen“ mit untergeordneten Verwaltungsgruppen und Abonnements

Anzeigen von Verwaltungsgruppen mit Azure PowerShell

Verwenden Sie den Befehl Get-AzManagementGroup, um alle Gruppen abzurufen. Eine vollständige Liste der PowerShell-Befehle GET für Verwaltungsgruppen finden Sie in den Modulen zu Az.Resources.

Get-AzManagementGroup

Verwenden Sie den -GroupId-Parameter, um die Informationen einer einzelnen Verwaltungsgruppe anzuzeigen:

Get-AzManagementGroup -GroupId 'Contoso'

Verwenden Sie die Parameter -Expand und -Recurse, um eine bestimmte Verwaltungsgruppe und die untergeordnete Hierarchie mit allen Ebenen zurückzugeben:

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Anzeigen von Verwaltungsgruppen mithilfe der Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl list, um alle Gruppen abzurufen:

az account management-group list

Verwenden Sie den Befehl show, um die Informationen einer einzelnen Verwaltungsgruppe anzuzeigen:

az account management-group show --name 'Contoso'

Verwenden Sie die Parameter -Expand und -Recurse, um eine bestimmte Verwaltungsgruppe und die untergeordnete Hierarchie mit allen Ebenen zurückzugeben:

az account management-group show --name 'Contoso' -e -r

Verschieben von Verwaltungsgruppen und Abonnements

Ein Grund zum Erstellen einer Verwaltungsgruppe ist das Bündeln von Abonnements. Nur Verwaltungsgruppen und Abonnements können als untergeordnete Elemente einer anderen Verwaltungsgruppe festgelegt werden. Ein Abonnement, das in eine Verwaltungsgruppe verschoben wird, erbt den gesamten Benutzerzugriff und alle Richtlinien von der übergeordneten Verwaltungsgruppe.

Sie können Abonnements zwischen Verwaltungsgruppen verschieben. Ein Abonnement kann nur eine übergeordnete Verwaltungsgruppe haben.

Damit eine Verwaltungsgruppe oder ein Abonnement als untergeordnetes Element einer anderen Verwaltungsgruppe verschoben werden kann, müssen drei Regeln als TRUE ausgewertet werden.

Wenn Sie eine solche Verschiebung durchführen, müssen Ihnen auf jeder der folgenden Ebenen die entsprechenden Berechtigungen erteilt werden:

  • Untergeordnetes Abonnement oder untergeordnete Verwaltungsgruppe
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (nur für Abonnements)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Übergeordnete Zielverwaltungsgruppe
    • Microsoft.management/managementgroups/write
  • Aktuelle übergeordnete Verwaltungsgruppe
    • Microsoft.management/managementgroups/write

Es gibt eine Ausnahme: Wenn die Zielverwaltungsgruppe oder die vorhandene übergeordnete Verwaltungsgruppe die Stammverwaltungsgruppe ist, gelten die Berechtigungsanforderungen nicht. Da die Stammverwaltungsgruppe der standardmäßige Ausgangspunkt für alle neuen Verwaltungsgruppen und Abonnements ist, benötigen Sie keine Berechtigungen für diese Gruppe, wenn ein Element hierhin verschoben werden soll.

Wenn die Rolle Besitzer in Ihrem Abonnement von der aktuellen Verwaltungsgruppe geerbt wurde, sind Ihre Verschiebeziele eingeschränkt. Sie können das Abonnement nur in eine andere Verwaltungsgruppe verschieben, für das Ihnen die Rolle „Besitzer“ zugewiesen wurde. Sie können das Abonnement nicht in eine Verwaltungsgruppe verschieben, in der Sie nur „Mitwirkender“ sind, da Sie den Besitz Ihres Abonnements verlieren würden. Wenn Ihnen die Rolle „Besitzer“ für das Abonnement direkt zugewiesen wurde, können Sie es in jede Verwaltungsgruppe verschieben, für die Sie über die Rolle „Mitwirkender“ verfügen.

Wählen Sie zum Anzeigen Ihrer Berechtigungen im Azure-Portal die Verwaltungsgruppe und dann IAM aus. Weitere Informationen zu Azure-Rollen finden Sie im Artikel Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.

Hinzufügen eines vorhandenen Abonnements zu einer Verwaltungsgruppe im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Alle Dienste aus. Geben Sie im Textfeld Filterdienste Verwaltungsgruppen ein, und wählen Sie sie aus der Liste aus.

  3. Wählen Sie die Verwaltungsgruppe aus, die Sie als übergeordnet festlegen möchten.

  4. Klicken Sie am oberen Rand der Seite auf Abonnement hinzufügen.

  5. Wählen Sie in Abonnement hinzufügen das Abonnement in der Liste mit der richtigen ID aus.

    Screenshot des Felds zum Auswählen eines vorhandenen Abonnements, das einer Verwaltungsgruppe hinzugefügt werden soll

  6. Wählen Sie Speichern.

Entfernen eines Abonnements aus einer Verwaltungsgruppe im Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Alle Dienste aus. Geben Sie im Textfeld Filterdienste Verwaltungsgruppen ein, und wählen Sie sie aus der Liste aus.

  3. Wählen Sie die derzeit übergeordnete Verwaltungsgruppe aus.

  4. Wählen Sie in der Liste die Auslassungspunkte (...) am Ende der Zeile für das Abonnement aus, das Sie verschieben möchten.

    Screenshot des Menüs mit der Option „Verschieben“ für ein Abonnement

  5. Klicken Sie auf Verschieben.

  6. Wählen Sie im Bereich Verschieben einen Wert für Gruppen-ID der neuen übergeordneten Verwaltungsgruppe aus.

    Screenshot des Bereichs zum Verschieben eines Abonnements in eine andere Verwaltungsgruppe

  7. Wählen Sie Speichern.

Verschieben eines Abonnements mit Azure PowerShell

Um ein Abonnement mit PowerShell zu verschieben, verwenden Sie den Befehl New-AzManagementGroupSubscription:

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Verwenden Sie den Befehl Remove-AzManagementGroupSubscription, um die Verknüpfung zwischen dem Abonnement und der Verwaltungsgruppe aufzuheben:

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Verschieben eines Abonnements mithilfe der Azure-Befehlszeilenschnittstelle

Um ein Abonnement mithilfe der Azure-Befehlszeilenschnittstelle zu verschieben, verwenden Sie den Befehl add:

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Um das Abonnement aus der Verwaltungsgruppe zu entfernen, verwenden Sie den Befehl subscription remove:

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Verschieben eines Abonnements mit einer ARM-Vorlage

Verwenden Sie die folgende Vorlage, um ein Abonnement in einer ARM-Vorlage (Azure Resource Manager) zu verschieben, und stellen Sie sie auf Mandantenebene bereit:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Verwenden Sie alternativ die folgende Bicep-Datei:

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Verschieben einer Verwaltungsgruppe über das Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Alle Dienste aus. Geben Sie im Textfeld Filterdienste Verwaltungsgruppen ein, und wählen Sie sie aus der Liste aus.

  3. Wählen Sie die Verwaltungsgruppe aus, die Sie als übergeordnet festlegen möchten.

  4. Wählen Sie oben auf der Seite Erstellen aus.

  5. Wählen Sie im Bereich Verwaltungsgruppe erstellen aus, ob Sie eine neue oder eine vorhandene Verwaltungsgruppe verwenden möchten:

    • Wenn Sie Neu erstellen auswählen, wird eine neue Verwaltungsgruppe erstellt.
    • Wenn Sie Vorhandene verwenden auswählen, wird eine Dropdownliste mit allen Verwaltungsgruppen angezeigt, die Sie in diese Verwaltungsgruppe verschieben können.

    Screenshot des Bereichs zum Hinzufügen einer Verwaltungsgruppe

  6. Wählen Sie Speichern.

Verschieben einer Verwaltungsgruppe mit Azure PowerShell

Um eine Verwaltungsgruppe unter eine andere Gruppe zu verschieben, verwenden Sie in Azure PowerShell den Befehl Update-AzManagementGroup:

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Verschieben einer Verwaltungsgruppe mithilfe der Azure-Befehlszeilenschnittstelle

Um eine Verwaltungsgruppe mit der Azure-Befehlszeilenschnittstelle zu verschieben, verwenden Sie den Befehl update:

az account management-group update --name 'Contoso' --parent ContosoIT

Überwachen von Verwaltungsgruppen mithilfe von Aktivitätsprotokollen

Verwaltungsgruppen werden in Azure Monitor-Aktivitätsprotokollen unterstützt. Alle Ereignisse, die für eine Verwaltungsgruppe auftreten, können am gleichen zentralen Ort wie bei anderen Azure-Ressourcen abgefragt werden. Sie können beispielsweise alle Änderungen an Rollen- oder Richtlinienzuweisungen anzeigen, die für eine bestimmte Verwaltungsgruppe vorgenommen wurden.

Screenshot der Aktivitätsprotokolle und -vorgänge im Zusammenhang mit einer ausgewählten Verwaltungsgruppe

Wenn Sie Verwaltungsgruppen außerhalb des Azure-Portals abfragen möchten, sieht der Zielbereich für Verwaltungsgruppen wie folgt aus: "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Verweisen auf Verwaltungsgruppen von anderen Ressourcenanbietern

Wenn Sie in Aktionen eines anderen Ressourcenanbieters auf Verwaltungsgruppen verweisen, verwenden Sie den folgenden Pfad als Bereich. Dieser Pfad gilt, wenn Sie Azure PowerShell, die Azure-Befehlszeilenschnittstelle und REST-APIs verwenden.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Das Zuweisen einer neuen Rollenzuweisung für eine Verwaltungsgruppe in Azure PowerShell ist ein Beispiel für die Verwendung dieses Pfads:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Sie verwenden denselben Bereichspfad, um eine Richtliniendefinition für eine Verwaltungsgruppe abzurufen:

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Weitere Informationen zu Verwaltungsgruppen finden Sie unter folgenden Links: