Schützen der Ressourcenhierarchie

Ihre Ressourcen, Ressourcengruppen, Abonnements, Verwaltungsgruppen und Mandanten bilden Ihre Ressourcenhierarchie. Die Einstellungen in der Stammverwaltungsgruppe, z. B. benutzerdefinierte Azure-Rollen oder Policy-Richtlinienzuweisungen, können sich auf jede Ressource in der Ressourcenhierarchie auswirken. Es ist wichtig, die Ressourcenhierarchie vor Änderungen zu schützen, die sich negativ auf alle Ressourcen auswirken könnten.

Verwaltungsgruppen enthalten Hierarchieeinstellungen, über die der Mandantenadministrator diese Verhaltensweisen steuern kann. In diesem Artikel werden die einzelnen verfügbaren Hierarchieeinstellungen und deren Festlegung erläutert.

Azure RBAC-Berechtigungen für Hierarchieeinstellungen

Zum Konfigurieren der Hierarchieeinstellungen sind die folgenden Ressourcenanbietervorgänge in der Stammverwaltungsgruppe erforderlich:

• Microsoft.Management/managementgroups/settings/write
• Microsoft.Management/managementgroups/settings/read

Diese Vorgänge stellen Azure-Berechtigungen für die rollenbasierte Zugriffssteuerung (Azure RBAC) dar. Sie ermöglichen einem Benutzer nur, die Hierarchieeinstellungen zu lesen und zu aktualisieren. Sie ermöglichen keinen anderen Zugriff auf die Verwaltungsgruppenhierarchie oder die Ressourcen in der Hierarchie.

Beide Vorgänge sind in der integrierten Azure-Rolle Hierarchieeinstellungsadministrator verfügbar.

Einstellung: Definieren der Standardverwaltungsgruppe

Standardmäßig wird ein neues Abonnement, das Sie einem Mandanten hinzufügen, zum Mitglied der Stammverwaltungsgruppe. Wenn Sie der Stammverwaltungsgruppe Richtlinienzuweisungen, Azure RBAC und andere Governancekonstrukte zuweisen, wirken sie sich sofort auf die neuen Abonnements aus. Aus diesem Grund wenden viele Organisationen diese Konstrukte nicht in der Stammverwaltungsgruppe an, obwohl dies der gewünschte Ort für die Zuweisung ist. In anderen Fällen möchte eine Organisation eine restriktivere Gruppe von Steuerelementen für neue Abonnements, sie aber nicht allen Abonnements zuweisen. Diese Einstellung unterstützt beide Anwendungsfälle.

Indem Sie die Standardverwaltungsgruppe für neue Abonnements definieren lassen, können Sie organisationsweite Governance-Konstrukte auf die Stammverwaltungsgruppe anwenden. Sie können eine separate Verwaltungsgruppe mit Richtlinienzuweisungen oder Azure-Rollenzuweisungen definieren, die für ein neues Abonnement besser geeignet sind.

Definieren der Standardverwaltungsgruppe im Portal

1. Melden Sie sich beim Azure-Portal an.

2. Verwenden Sie die Suchleiste, um Verwaltungsgruppen zu suchen und diese auszuwählen.

3. Wählen Sie in der Stammverwaltungsgruppe neben dem Namen der Verwaltungsgruppe Details aus.

4. Wählen Sie unter Einstellungen die Option Hierarchieeinstellungen aus.

5. Wählen Sie die Schaltfläche Change default management group (Standardverwaltungsgruppe ändern) aus.

   Wenn die Schaltfläche Standardverwaltungsgruppe ändern nicht verfügbar ist, ist die Ursache eine der folgenden Bedingungen:

   • Die von Ihnen angezeigte Verwaltungsgruppe ist nicht die Stammverwaltungsgruppe.
   • Ihr Sicherheitsprinzipal verfügt nicht über die erforderlichen Berechtigungen, um die Hierarchieeinstellungen zu ändern.

6. Wählen Sie eine Verwaltungsgruppe aus Ihrer Hierarchie aus, und wählen Sie dann die Schaltfläche Auswählen.

Definieren der Standardverwaltungsgruppe mithilfe der REST-API

Um die Standardverwaltungsgruppe mithilfe der REST-API zu definieren, müssen Sie den Endpunkt Hierarchieeinstellungen aufrufen. Verwenden Sie den folgenden REST-API-URI und das folgende Textformat. Ersetzen Sie {rootMgID} durch die ID Ihrer Stammverwaltungsgruppe. Ersetzen Sie {defaultGroupID} durch die ID der Verwaltungsgruppe, die zur Standardverwaltungsgruppe wird.

• REST-API-URI:

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Anforderungstext:

  {
      "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
      }
  }
  

Wenn Sie die Standardverwaltungsgruppe wieder auf die Stammverwaltungsgruppe festlegen möchten, verwenden Sie denselben Endpunkt, und legen Sie defaultManagementGroup auf den Wert /providers/Microsoft.Management/managementGroups/{rootMgID} fest.

Einstellung: Anfordern der Autorisierung

Jeder Benutzer kann standardmäßig neue Verwaltungsgruppen in einem Mandanten erstellen. Administratoren eines Mandanten können diese Berechtigungen nur für bestimmte Benutzer bereitstellen, um die Konsistenz und Konformität in der Verwaltungsgruppenhierarchie aufrechtzuerhalten. Um neue untergeordnete Verwaltungsgruppen erstellen zu können, benötigt ein Benutzer den Vorgang Microsoft.Management/managementGroups/write in der Stammverwaltungsgruppe.

Autorisierung im Portal erfordern

1. Melden Sie sich beim Azure-Portal an.

2. Verwenden Sie die Suchleiste, um Verwaltungsgruppen zu suchen und diese auszuwählen.

3. Wählen Sie in der Stammverwaltungsgruppe neben dem Namen der Verwaltungsgruppe Details aus.

4. Wählen Sie unter Einstellungen die Option Hierarchieeinstellungen aus.

5. Aktivieren Sie die Umschaltung Berechtigungen zum Erstellen neuer Verwaltungsgruppen anfordern.

   Wenn die Berechtigungen zum Erstellen neuer Verwaltungsgruppen erfordern nicht verfügbar ist, ist die Ursache eine der folgenden Bedingungen:

   • Die von Ihnen angezeigte Verwaltungsgruppe ist nicht die Stammverwaltungsgruppe.
   • Ihr Sicherheitsprinzipal verfügt nicht über die erforderlichen Berechtigungen, um die Hierarchieeinstellungen zu ändern.

Autorisierung mithilfe der REST-API anfordern

Rufen Sie zum Anfordern der Autorisierung mithilfe der REST-API den Endpunkt Hierarchieeinstellungen auf. Verwenden Sie den folgenden REST-API-URI und das folgende Textformat. Dieser Wert ist ein Boolescher Wert. Geben Sie also entweder true oder false für den Wert ein. Mit dem Wert true wird folgende Methode zum Schutz der Verwaltungsgruppenhierarchie aktiviert.

• REST-API-URI:

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Anforderungstext:

  {
      "properties": {
          "requireAuthorizationForGroupCreation": true
      }
  }
  

Um die Einstellung zu deaktivieren, verwenden Sie denselben Endpunkt, und legen Sie requireAuthorizationForGroupCreation auf einen Wert von false.

Azure PowerShell-Beispiel

Azure PowerShell verfügt nicht über einen Az Befehl zum Definieren der Standardverwaltungsgruppe oder zum Anfordern einer Autorisierung. Als Problemumgehung können Sie die REST-API mit dem folgenden Azure PowerShell-Beispiel verwenden:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Zugehöriger Inhalt

Weitere Informationen zu Verwaltungsgruppen finden Sie unter folgenden Links:

• Erstellen von Verwaltungsgruppen zum Organisieren von Azure-Ressourcen
• Ändern, Löschen oder Verwalten Ihrer Verwaltungsgruppen