Administración de las suscripciones de Azure a gran escala con grupos de administración

Si la organización tiene muchas suscripciones, es posible que necesite una forma de administrar con eficacia el acceso, las directivas y el cumplimiento para esas suscripciones. Los grupos de administración de Azure ofrecen un nivel de ámbito que está por encima de las suscripciones. Las suscripciones se organizan en contenedores llamados grupos de administración y aplican sus condiciones de gobernanza a los grupos de administración. Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo de administración.

Los grupos de administración proporcionan capacidad de administración de nivel empresarial a gran escala con independencia del tipo de suscripciones que tenga. Para más información acerca de los grupos de administración, consulte Organización de los recursos con grupos de administración de Azure.

Nota

En este artículo se indican los pasos para eliminar los datos personales del dispositivo o del servicio y puede utilizarse para cumplir con sus obligaciones según el Reglamento general de protección de datos (RGPD). Para obtener información general sobre RGPD, consulte Información sobre los procedimientos recomendados para el cumplimiento del RGPD y la sección RGPD del portal de confianza de servicios.

Importante

Los tokens de usuario y la memoria caché del grupo de administración de Azure Resource Manager duran 30 minutos antes de que se produzca una actualización obligatoria. Cualquier acción como mover un grupo de administración o una suscripción puede tardar hasta 30 minutos en mostrarse. Para ver las actualizaciones antes de que tenga que actualizar el token actualizando el explorador, inicie y cierre sesión, o solicite un nuevo token.

Para las acciones de Azure PowerShell de este artículo, tenga en cuenta que los cmdlets relacionados con AzManagementGroup mencionan que -GroupId es un alias del parámetro -GroupName. Puede usar cualquiera de ellos para proporcionar el identificador del grupo de administración como un valor de cadena.

Cambio del nombre de un grupo de administración

Puede cambiar el nombre del grupo de administración mediante Azure Portal, Azure PowerShell o la CLI de Azure.

Cambiar el nombre en el portal

  1. Inicie sesión en Azure Portal.

  2. Seleccione Todos los servicios. En el cuadro de texto Filtrar servicios, escriba Grupos de administración y selecciónelo de la lista.

  3. Seleccione el grupo de administración al que desea cambiar el nombre.

  4. Seleccione Detalles.

  5. Seleccione la opción Cambiar nombre de grupo en la parte superior del panel.

    Captura de pantalla de la barra de acciones y el botón

  6. En el panel Cambiar nombre del grupo, escriba el nuevo nombre que desea mostrar.

    Captura de pantalla de las opciones para cambiar el nombre de un grupo de administración.

  7. Seleccione Guardar.

Cambio del nombre en Azure PowerShell

Para actualizar el nombre para mostrar, use Update-AzManagementGroup en Azure PowerShell. Por ejemplo, para cambiar el nombre para mostrar de un grupo de administración de Contoso IT a Contoso Group, ejecute el siguiente comando:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Cambio del nombre en la CLI de Azure

En la CLI de Azure, use el comando update:

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Eliminación de un grupo de administración

Para eliminar un grupo de administración, deben cumplirse los siguientes requisitos:

  • No deben existir grupos de administración secundarios ni suscripciones en el grupo de administración. Para mover una suscripción o un grupo de administración a otro grupo de administración, consulte Movimiento de grupos de administración y suscripciones más adelante en este artículo.

  • Necesita permisos de escritura sobre el grupo de administración (propietario, colaborador o colaborador de grupo de administración). Para ver qué permisos tiene, seleccione el grupo de administración y, a continuación, seleccione IAM. Para más información sobre los roles de Azure, consulte ¿Qué es el control de acceso basado en roles de Azure (RBAC de Azure)?

Eliminación de un grupo de administración en el portal

  1. Inicie sesión en Azure Portal.

  2. Seleccione Todos los servicios. En el cuadro de texto Filtrar servicios, escriba Grupos de administración y selecciónelo de la lista.

  3. Seleccione el grupo de administración que desea eliminar.

  4. Seleccione Detalles.

  5. Seleccione Eliminar.

    Captura de pantalla de la página del grupo de administración con el botón Eliminar.

    Sugerencia

    Si el botón Eliminar no está disponible, al mantener el puntero sobre el botón se muestra el motivo.

  6. Se abre un cuadro de diálogo y se le pide que confirme que desea eliminar el grupo de administración.

    Captura de pantalla del cuadro de diálogo de confirmación para eliminar un grupo de administración.

  7. Seleccione .

Eliminación de un grupo de administración en Azure PowerShell

Para eliminar un grupo de administración, use el comando Remove-AzManagementGroup en Azure PowerShell:

Remove-AzManagementGroup -GroupId 'Contoso'

Eliminación de un grupo de administración en la CLI de Azure

Con la CLI de Azure, use el comando az account management-group delete:

az account management-group delete --name 'Contoso'

Visualización de los grupos de administración

Puede ver cualquier grupo de administración sobre el que tenga un rol de Azure directo o heredado.

Visualización de grupos de administración en el portal

  1. Inicie sesión en Azure Portal.

  2. Seleccione Todos los servicios. En el cuadro de texto Filtrar servicios, escriba Grupos de administración y selecciónelo de la lista.

  3. Aparece la página de la jerarquía de grupos de administración. En esta página, puede explorar todos los grupos de administración y las suscripciones a los que tiene acceso. Si selecciona el nombre del grupo, desciende a un nivel inferior de la jerarquía. La navegación funciona de la misma forma que un explorador de archivos.

  4. Para ver los detalles del grupo de administración, seleccione el vínculo (detalles) situado junto al título de este. Si este vínculo no está disponible, no tiene permisos para ver ese grupo de administración.

    Captura de pantalla de la página de grupos de administración que muestra las suscripciones y los grupos de administración secundarios.

Visualización de grupos de administración en Azure PowerShell

Use el comando Get-AzManagementGroup para recuperar todos los grupos. Para obtener la lista completa de comandos de PowerShell GET para grupos de administración, consulte los módulos Az.Resources.

Get-AzManagementGroup

Para obtener información de un único grupo de administración, use el parámetro -GroupId:

Get-AzManagementGroup -GroupId 'Contoso'

Para devolver un grupo de administración específico y todos los niveles de la jerarquía que hay debajo, use los parámetros -Expand y -Recurse:

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Visualización de grupos de administración en la CLI de Azure

Use el comando list para recuperar todos los grupos:

az account management-group list

Para obtener información de un único grupo de administración, use el comando show:

az account management-group show --name 'Contoso'

Para devolver un grupo de administración específico y todos los niveles de la jerarquía que hay debajo, use los parámetros -Expand y -Recurse:

az account management-group show --name 'Contoso' -e -r

Traslado de grupos de administración y suscripciones

Uno de los motivos de crear un grupo de administración es agrupar las suscripciones. Solo los grupos de administración y las suscripciones pueden convertirse en secundarios de otro grupo de administración. Una suscripción que se mueve a un grupo de administración hereda todas las directivas y accesos de usuario del grupo de administración primario.

Puede trasladar suscripciones entre grupos de administración. Una suscripción solo puede tener un grupo de administración primario.

Al mover un grupo de administración o una suscripción para ser secundarios de otro grupo de administración, es preciso evaluar tres reglas como verdaderas.

Si va a realizar un traslado, necesita permiso en cada una de las capas siguientes:

  • Suscripción o grupo de administración secundarios
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (solo para suscripciones)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Grupo de administración primario de destino
    • Microsoft.management/managementgroups/write
  • Grupo de administración primario actual
    • Microsoft.management/managementgroups/write

Hay una excepción: si el grupo de administración primario existente o de destino es el grupo de administración raíz, no se aplican los requisitos de permisos. Puesto que el grupo de administración raíz es la zona de aterrizaje predeterminada de todos los nuevos grupos de administración y suscripciones, no necesita permisos sobre él para mover un elemento.

Si el rol Propietario de la suscripción se hereda del grupo de administración actual, los destinos de movimiento están limitados. Solo puede mover la suscripción a otro grupo de administración en el que tenga el rol Propietario. No puede moverla a un grupo de administración en el que solo sea Colaborador porque perdería la propiedad de la suscripción. Si se le asigna directamente el rol de propietario de la suscripción, puede moverla a cualquier grupo de administración donde sea colaborador.

Para ver qué permisos tiene en Azure Portal, seleccione el grupo de administración y, luego, IAM. Para más información sobre los roles de Azure, consulte ¿Qué es el control de acceso basado en rol de Azure (Azure RBAC)?

Adición una suscripción existente a un grupo de administración del portal

  1. Inicie sesión en Azure Portal.

  2. Seleccione Todos los servicios. En el cuadro de texto Filtrar servicios, escriba Grupos de administración y selecciónelo de la lista.

  3. Seleccione el grupo de administración que desea que sea el elemento principal.

  4. En la parte superior de la página, haga clic en Agregar suscripción.

  5. En Agregar suscripción, seleccione la suscripción de la lista con el id. correcto.

    Captura de pantalla del cuadro para seleccionar una suscripción existente para agregarla a un grupo de administración.

  6. Seleccione Guardar.

Eliminación de una suscripción de un grupo de administración en el portal

  1. Inicie sesión en Azure Portal.

  2. Seleccione Todos los servicios. En el cuadro de texto Filtrar servicios, escriba Grupos de administración y selecciónelo de la lista.

  3. Seleccione el grupo de administración que es el elemento primario actual.

  4. Seleccione los puntos suspensivos (...) al final de la fila de la suscripción de la lista que desea mover.

    Captura de pantalla del menú que incluye la opción de mover para una suscripción.

  5. Seleccione Mover.

  6. En el panel Mover, seleccione el valor de Nuevo identificador de grupo de administración primario.

    Captura de pantalla del panel para mover una suscripción a otro grupo de administración.

  7. Seleccione Guardar.

Traslado de una suscripción en Azure PowerShell

Para mover una suscripción en PowerShell, use el comando New-AzManagementGroupSubscription:

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Para quitar el vínculo entre la suscripción y el grupo de administración, use el comando Remove-AzManagementGroupSubscription:

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Traslado de una suscripción en la CLI de Azure

Para mover una suscripción en la CLI de Azure, utilice el comando add:

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Para quitar la suscripción del grupo de administración, use el comando subscription remove:

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Traslado de una suscripción en una plantilla de ARM

Para trasladar una suscripción de una plantilla de Azure Resource Manager (plantilla de ARM), use la siguiente plantilla e impleméntela en el nivel de inquilino:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

O bien, use el siguiente archivo de Bicep:

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Traslado de un grupo de administración en el portal

  1. Inicie sesión en Azure Portal.

  2. Seleccione Todos los servicios. En el cuadro de texto Filtrar servicios, escriba Grupos de administración y selecciónelo de la lista.

  3. Seleccione el grupo de administración que desea que sea el elemento principal.

  4. En la parte superior de la página, seleccione Crear.

  5. En el panel Crear grupo de administración, elija si desea usar un grupo de administración nuevo o existente:

    • Al seleccionar Crear nuevo, se crea un nuevo grupo de administración.
    • Al seleccionar Usar existente, se muestra una lista desplegable de todos los grupos de administración que puede mover a este grupo de administración.

    Captura de pantalla del panel para agregar un grupo de administración.

  6. Seleccione Guardar.

Traslado de un grupo de administración en Azure PowerShell

Para mover un grupo de administración en otro grupo, use el comando Update-AzManagementGroup en Azure PowerShell:

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Traslado de un grupo de administración en la CLI de Azure

Para mover un grupo de administración en la CLI de Azure, use el comando update:

az account management-group update --name 'Contoso' --parent ContosoIT

Auditoría de los grupos de administración mediante registros de actividad

Los grupos de administración se admiten en registros de actividad de Azure Monitor. Puede consultar todos los eventos que se producen en un grupo de administración en la misma ubicación central que otros recursos de Azure. Por ejemplo, puede ver todos los cambios de asignaciones de roles o de asignación de directiva efectuados en un grupo de administración determinado.

Captura de pantalla de los registros de actividad y las operaciones relacionadas con un grupo de administración seleccionado.

Si desea consultar los grupos de administración fuera de Azure Portal, el ámbito de destino de los grupos de administración es similar a "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Referencia a grupos de administración de otros proveedores de recursos

Al hacer referencia a grupos de administración desde las acciones de otro proveedor de recursos, use la siguiente ruta de acceso como ámbito. Esta ruta de acceso se aplica cuando se usa Azure PowerShell, la CLI de Azure y las API REST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Un ejemplo de uso de esta ruta de acceso es cuando se asigna un nuevo rol a un grupo de administración en Azure PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Usará la misma ruta de acceso al ámbito para recuperar una definición de directiva para un grupo de administración:

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Para más información sobre los grupos de administración, consulte: