Was sind Azure-Verwaltungsgruppen?

Wenn Ihre Organisation über viele Azure-Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements. Verwaltungsgruppen stellen einen abonnementübergreifenden Governance-Bereich bereit. Wenn Sie Abonnements in Verwaltungsgruppen organisieren, werden die Governancebedingungen, die Sie anwenden, durch Vererbung kaskadierend auf alle zugeordneten Abonnements übertragen.

Verwaltungsgruppen ermöglichen Ihnen die Verwaltung im großen Stil auf Unternehmensniveau, unabhängig von der Art Ihrer Abonnements. Alle Abonnements innerhalb einer einzigen Verwaltungsgruppe müssen jedoch demselben Microsoft Entra-Mandanten vertrauen.

Beispielsweise können Sie eine Richtlinie auf eine Verwaltungsgruppe anwenden, die die verfügbaren Regionen zum Erstellen von VMs einschränkt. Diese Richtlinie wird auf alle geschachtelten Verwaltungsgruppen, Abonnements und Ressourcen angewandt und die VM-Erstellung nur in autorisierten Regionen zugelassen.

Hierarchie von Verwaltungsgruppen und Abonnements

Sie können eine flexible Struktur von Verwaltungsgruppen und Abonnements aufbauen, um Ihre Ressourcen für die einheitliche Richtlinien- und Zugriffsverwaltung in einer Hierarchie zu organisieren. Das folgende Diagramm zeigt anhand eines Beispiels das Erstellen einer Hierarchie für die Governance unter Verwendung von Verwaltungsgruppen:

Sie können eine Hierarchie erstellen, die eine Richtlinie anwendet, die VM-Standorte auf die Region „USA, Westen“ in der Verwaltungsgruppe Corp begrenzt. Diese Richtlinie wird alle EA-Abonnements (Enterprise Agreement) erben, die dieser Verwaltungsgruppe untergeordnet sind, und auf alle VMs unter diesen Abonnements angewandt. Der Ressourcen- oder Abonnementbesitzer kann diese Sicherheitsrichtlinie nicht ändern, um eine verbesserte Governance zu ermöglichen.

Ein weiteres Szenario, in dem Sie Verwaltungsgruppen verwenden würden, ist das Gewähren von Benutzerzugriff auf mehrere Abonnements. Indem Sie mehrere Abonnements in eine Verwaltungsgruppe verschieben, können Sie eine Azure-Rollenzuweisung für die Verwaltungsgruppe erstellen. Die Rolle vererbt ihren Zugriff auf alle Abonnements. Eine Zuweisung in der Verwaltungsgruppe kann Benutzern den Zugriff auf alles ermöglichen, was sie benötigen, ohne dass in einem Skript die rollenbasierte Zugriffssteuerung (RBAC) von Azure für verschiedene Abonnements eingerichtet werden muss.

Wichtige Fakten zu Verwaltungsgruppen

• Ein einzelnes Verzeichnis kann 10.000 Verwaltungsgruppen unterstützen.

• Eine Verwaltungsgruppenstruktur kann bis zu sechs Ebenen unterstützen.

  Hierbei werden die Stammebene und die Abonnementebene nicht mitgezählt.

• Jede Verwaltungsgruppe und jedes Abonnement kann nur über ein übergeordnetes Element verfügen.

• Jede Verwaltungsgruppe kann zahlreiche untergeordnete Elemente besitzen.

• Alle Abonnements und Verwaltungsgruppen sind in einer einzelnen Hierarchie in jedem Verzeichnis enthalten. Weitere Informationen finden Sie unter Wichtige Fakten zur Stammverwaltungsgruppe weiter unten in diesem Artikel.

Stammverwaltungsgruppe für jedes Verzeichnis

Jedes Verzeichnis erhält eine einzelne Verwaltungsgruppe auf oberster Ebene, die als Stammverwaltungsgruppe bezeichnet wird. Diese Stammverwaltungsgruppe ist in die Hierarchie integriert, sodass ihr alle Verwaltungsgruppen und Abonnements untergeordnet sind.

Diese Stammverwaltungsgruppe ermöglicht das Anwenden von globalen Richtlinien und Azure-Rollenzuweisungen auf Verzeichnisebene. Der globale Microsoft Entra-Administrator muss zu Beginn seine eigenen Rechte erhöhen, und zwar auf die Rolle „Benutzerzugriffsadministrator“ dieser Stammgruppe. Nach der Erhöhung der Zugriffsrechte kann der Administrator jede Azure-Rolle anderen Benutzern oder Gruppen des Verzeichnisses zuweisen, um die Hierarchie zu verwalten. Als ein Administrator können Sie Ihr Konto als den Besitzer der Stammverwaltungsgruppe zuweisen.

Wichtige Fakten zur Stammverwaltungsgruppe

• Standardmäßig lautet der Anzeigename der Stammverwaltungsgruppe Mandantenstammgruppe und arbeitet selbst als Verwaltungsgruppe. Die ID ist derselbe Wert wie die Microsoft Entra-Mandanten-ID.
• Damit Sie den Anzeigenamen ändern können, muss Ihrem Konto die Rolle „Besitzer“ oder „Mitwirkender“ für die Stammverwaltungsgruppe zugewiesen sein. Weitere Informationen finden Sie unter Ändern des Namens einer Verwaltungsgruppe.
• Die Stammverwaltungsgruppe kann im Gegensatz zu anderen Verwaltungsgruppen nicht verschoben oder gelöscht werden.
• Alle Abonnements und Verwaltungsgruppen werden zu einer Stammverwaltungsgruppe innerhalb des Verzeichnisses zusammengefasst.
  • Alle Ressourcen im Verzeichnis sind der Stammverwaltungsgruppe für die globale Verwaltung untergeordnet.
  • Neue Abonnements werden bei ihrer Erstellung standardmäßig der Stammverwaltungsgruppe zugeordnet.
• Alle Azure-Kunden können die Stammverwaltungsgruppe sehen, aber nicht alle Kunden besitzen Zugriff, um diese Stammverwaltungsgruppe zu verwalten.
  • Jeder Benutzer, der Zugriff auf ein Abonnement besitzt, kann den Kontext erkennen, in dem sich das Abonnement in der Hierarchie befindet.
  • Niemand erhält Standardzugriff auf die Stammverwaltungsgruppe. Globale Microsoft Entra-Administratoren sind die einzigen Benutzer, die ihre Rechte erhöhen können, um Zugriff zu erlangen. Wenn die globalen Administratoren über Zugriff auf die Stammverwaltungsgruppe verfügen, können sie anderen Benutzern eine beliebige Azure-Rolle zur Verwaltung zuweisen.

Erstmalige Einrichtung von Verwaltungsgruppen

Wenn einzelne Benutzer mit der Verwendung von Verwaltungsgruppen beginnen, findet ein erster Einrichtungsvorgang statt. Im ersten Schritt wird die Stammverwaltungsgruppe im Verzeichnis erstellt. Alle bereits im Verzeichnis vorhandenen Abonnements werden dann untergeordnete Elemente der Stammverwaltungsgruppe.

Der Grund für diesen Vorgang besteht im Sicherstellen, dass nur eine Verwaltungsgruppenhierarchie in einem Verzeichnis vorhanden ist. Die einzige Hierarchie innerhalb des Verzeichnisses kann administrative Kunden das Anwenden von globalem Zugriff und globalen Richtlinien ermöglichen, die andere Kunden im Verzeichnis nicht umgehen können.

Sämtliche Zuweisungen am Stamm gelten für die gesamte Hierarchie. Das heißt, sie gelten für alle Verwaltungsgruppen, Abonnements, Ressourcengruppen und Ressourcen innerhalb dieses Microsoft Entra-Mandanten.

Zugriff auf die Verwaltungsgruppe

Azure-Verwaltungsgruppen unterstützen Azure RBAC für den gesamten Ressourcenzugriff und alle Rollendefinitionen. Untergeordnete Ressourcen in der Hierarchie erben diese Berechtigungen. Eine beliebige Azure-Rolle kann einer Verwaltungsgruppe zugewiesen werden, die an die untergeordneten Ressourcen in der Hierarchie vererbt wird.

Sie können z. B. die Azure-Rolle „VM-Mitwirkender“ einer Verwaltungsgruppe zuweisen. Diese Rolle verfügt über keine Aktion für die Verwaltungsgruppe, wird jedoch an alle VMs unter dieser Verwaltungsgruppe vererbt.

Die folgende Abbildung zeigt die Liste der Rollen und die unterstützten Aktionen für Verwaltungsgruppen.

* Mit diesen Rollen können Benutzer die angegebenen Aktionen nur im Bereich der Verwaltungsgruppe ausführen.

** Bei Rollenzuweisungen für die Stammverwaltungsgruppe muss kein Abonnement bzw. keine Verwaltungsgruppe in die und aus der Stammverwaltungsgruppe verschoben werden.

Ausführliche Informationen zum Verschieben von Elementen innerhalb der Hierarchie finden Sie unter Verwalten von Ressourcen mit Verwaltungsgruppen.

Definition und Zuweisung der benutzerdefinierten Azure-Rolle

Sie können eine Verwaltungsgruppe als zuweisbaren Bereich in der Definition einer benutzerdefinierten Azure-Rolle festlegen. Die benutzerdefinierte Azure-Rolle steht dann für die Zuweisung zu dieser Verwaltungsgruppe und allen ihr untergeordneten Verwaltungsgruppen, Abonnements, Ressourcengruppen oder Ressourcen zur Verfügung. Die benutzerdefinierte Rolle wird wie jede andere integrierte Rolle an die untergeordneten Ressourcen in der Hierarchie vererbt.

Weitere Informationen zu den Einschränkungen für benutzerdefinierte Rollen und Verwaltungsgruppen finden Sie unter Einschränkungen weiter unten in diesem Artikel.

Beispieldefinition

Das Definieren und Erstellen einer benutzerdefinierten Rolle ändert sich mit dem Einbeziehen von Verwaltungsgruppen nicht. Verwenden Sie den vollständigen Pfad, um die Verwaltungsgruppe zu definieren: /providers/Microsoft.Management/managementgroups/{_groupId_}.

Verwenden Sie die ID der Verwaltungsgruppe und nicht ihren Anzeigenamen. Dieser häufige Fehler tritt auf, da es sich bei der Erstellung einer Verwaltungsgruppe bei beiden um benutzerdefinierte Felder handelt.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementGroups/delete",
    "Microsoft.Management/managementGroups/read",
    "Microsoft.Management/managementGroups/write",
    "Microsoft.Management/managementGroups/subscriptions/delete",
    "Microsoft.Management/managementGroups/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Probleme mit Unterbrechen des Rollendefinitions- und Zuweisungshierarchiepfads

Rollendefinitionen können an beliebiger Stelle innerhalb der Verwaltungsgruppenhierarchie zugewiesen werden. Eine Rollendefinition kann für eine übergeordnete Verwaltungsgruppe definiert werden, während die tatsächliche Rollenzuweisung im untergeordneten Abonnement vorhanden ist. Da eine Beziehung zwischen den beiden Elementen besteht, erhalten Sie eine Fehlermeldung, wenn Sie versuchen, die Zuweisung von ihrer Definition zu trennen.

Betrachten Sie beispielsweise das folgende Beispiel eines kleinen Abschnitts einer Hierarchie.

Angenommen, für die Verwaltungsgruppe „Sandbox“ ist eine benutzerdefinierte Rolle definiert. Diese benutzerdefinierte Rolle wird dann den zwei Sandbox-Abonnements zugewiesen.

Wenn Sie versuchen, eines dieser Abonnements zu verschieben, sodass es der Verwaltungsgruppe „Corp“ untergeordnet ist, würde diese Verschiebung den Pfad von der Abonnementrollenzuweisung zur Rollenddefinition der Verwaltungsgruppe „Sandbox“ unterbrechen. In diesem Szenario wird eine Fehlermeldung angezeigt, dass die Verschiebung nicht zulässig ist, da sie diese Beziehung unterbricht.

Um dieses Szenario zu beheben, haben Sie die folgenden Möglichkeiten:

• Entfernen Sie die Rollenzuweisung aus dem Abonnement, bevor Sie das Abonnement in eine neue übergeordnete Verwaltungsgruppe verschieben.
• Fügen Sie das Abonnement dem zuweisbaren Bereich der Rollendefinition hinzu.
• Ändern Sie den zuweisbaren Bereich innerhalb der Rollendefinition. In diesem Beispiel können Sie die zuzuweisenden Bereiche aus der Sandbox-Verwaltungsgruppe auf die Stammverwaltungsgruppe aktualisieren, sodass beide Verzweigungen der Hierarchie die Definition erreichen können.
• Erstellen Sie eine weitere benutzerdefinierte Rolle, die in der anderen Verzweigung definiert wird. Diese neue Rolle erfordert außerdem, dass Sie die Rolle im Abonnement ändern.

Begrenzungen

Es gibt Einschränkungen bei der Verwendung von benutzerdefinierten Rollen in Verwaltungsgruppen:

• Sie können nur eine Verwaltungsgruppe in den zuweisbaren Bereichen einer neuen Rolle definieren. Diese Einschränkung soll die Anzahl der Situationen verringern, in denen Rollendefinitionen und Rollenzuweisungen getrennt werden. Eine solche Situation tritt ein, wenn ein Abonnement oder eine Verwaltungsgruppe mit einer Rollenzuweisung in ein anderes übergeordnetes Element verschoben wird, das nicht über die Rollendefinition verfügt.
• Benutzerdefinierte Rollen mit DataActions können im Verwaltungsgruppenbereich nicht zugewiesen werden. Weitere Informationen finden Sie unter Grenzwerte benutzerdefinierter Rollen.
• Azure Resource Manager überprüft nicht, ob die Verwaltungsgruppe im zuweisbaren Bereich der Rollendefinition vorhanden ist. Bei einem Tippfehler oder einer falschen Verwaltungsgruppen-ID wird die Rollendefinition dennoch erstellt.

Verschieben von Verwaltungsgruppen und Abonnements

Um eine Verwaltungsgruppe oder ein Abonnement als untergeordnetes Element einer anderen Verwaltungsgruppe festzulegen, benötigen Sie Folgendes:

• Schreibberechtigungen für die Verwaltungsgruppe und die Rollenzuweisung im untergeordneten Abonnement oder der untergeordneten Verwaltungsgruppe.
  • Beispiel für eine integrierte Rolle: Besitzer
• Verwaltungsgruppen-Schreibzugriff auf die übergeordnete Zielverwaltungsgruppe.
  • Beispiel für eine integrierte Rolle: Besitzer, Mitwirkender, Verwaltungsgruppenmitwirkender
• Verwaltungsgruppen-Schreibzugriff auf die bestehende übergeordnete Verwaltungsgruppe.
  • Beispiel für eine integrierte Rolle: Besitzer, Mitwirkender, Verwaltungsgruppenmitwirkender

Es gibt eine Ausnahme: Wenn die Zielverwaltungsgruppe oder die vorhandene übergeordnete Verwaltungsgruppe die Stammverwaltungsgruppe ist, gelten die Berechtigungsanforderungen nicht. Da die Stammverwaltungsgruppe der standardmäßige Ausgangspunkt für alle neuen Verwaltungsgruppen und Abonnements ist, benötigen Sie keine Berechtigungen für diese Gruppe, wenn ein Element hierhin verschoben werden soll.

Wenn die Rolle Besitzer in Ihrem Abonnement von der aktuellen Verwaltungsgruppe geerbt wurde, sind Ihre Verschiebeziele eingeschränkt. Sie können das Abonnement nur in eine andere Verwaltungsgruppe verschieben, für das Ihnen die Rolle „Besitzer“ zugewiesen wurde. Sie können das Abonnement nicht in eine Verwaltungsgruppe verschieben, in der Sie nur „Mitwirkender“ sind, da Sie den Besitz Ihres Abonnements verlieren würden. Wenn Ihnen die Rolle „Besitzer“ für das Abonnement direkt zugewiesen wurde, können Sie es in jede Verwaltungsgruppe verschieben, für die Sie über die Rolle „Mitwirkender“ verfügen.

Überwachen von Verwaltungsgruppen mithilfe von Aktivitätsprotokollen

Verwaltungsgruppen werden in Azure Monitor-Aktivitätsprotokollen unterstützt. Alle Ereignisse, die für eine Verwaltungsgruppe auftreten, können am gleichen zentralen Ort wie bei anderen Azure-Ressourcen abgefragt werden. Sie können beispielsweise alle Änderungen an Rollen- oder Richtlinienzuweisungen anzeigen, die für eine bestimmte Verwaltungsgruppe vorgenommen wurden.

Wenn Sie Verwaltungsgruppen außerhalb des Azure-Portals abfragen möchten, sieht der Zielbereich für Verwaltungsgruppen wie folgt aus: "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Zugehöriger Inhalt

Weitere Informationen zu Verwaltungsgruppen finden Sie unter folgenden Links:

• Erstellen von Verwaltungsgruppen zum Organisieren von Azure-Ressourcen
• Ändern, Löschen oder Verwalten Ihrer Verwaltungsgruppen
• Schützen der Ressourcenhierarchie