Proteggere la gerarchia delle risorse

Le risorse, i gruppi di risorse, le sottoscrizioni, i gruppi di gestione e il tenant compongono la gerarchia delle risorse. Le impostazioni del gruppo di gestione radice, ad esempio i ruoli personalizzati di Azure o le assegnazioni di criteri, possono influire su ogni risorsa all’interno della gerarchia delle risorse. È importante proteggere la gerarchia delle risorse da modifiche che potrebbero influire negativamente su tutte le risorse.

I gruppi di gestione dispongono di impostazioni di gerarchia che consentono all'amministratore tenant di controllare questi comportamenti. Questo articolo illustra tutte le impostazioni di gerarchia disponibili e spiega come impostarle.

Autorizzazioni di controllo degli accessi in base al ruolo di Azure per le impostazioni della gerarchia

La configurazione delle impostazioni della gerarchia richiede l'esecuzione delle operazioni seguenti da parte del provider di risorse nel gruppo di gestione radice:

• Microsoft.Management/managementgroups/settings/write
• Microsoft.Management/managementgroups/settings/read

Queste operazioni rappresentano le autorizzazioni di controllo degli accessi in base al ruolo di Azure. In particolare, consentono a un solo utente di leggere e aggiornare le impostazioni della gerarchia. Non forniscono nessun altro accesso alla gerarchia del gruppo di gestione o alle risorse nella gerarchia.

Entrambe le operazioni sono disponibili nel ruolo Amministratore impostazioni gerarchia di Azure predefinito.

Impostazione: definire il gruppo di gestione predefinito

Per impostazione predefinita, una nuova sottoscrizione aggiunta in un tenant diventa membro del gruppo di gestione radice. Se si attribuiscono assegnazioni di criteri, controllo degli accessi in base al ruolo di Azure e altri costrutti di governance al gruppo di gestione radice, influiscono immediatamente su queste nuove sottoscrizioni. Per questo motivo, molte organizzazioni non applicano questi costrutti al gruppo di gestione radice, anche se si tratta dell’ambiente desiderato per la loro assegnazione. In altri casi, un'organizzazione preferisce una serie di controlli più restrittivi per le nuove sottoscrizioni, ma non vuole assegnarli a tutte le sottoscrizioni. Questa impostazione supporta entrambi i casi d'uso.

Consentendo la definizione del gruppo di gestione predefinito per le nuove sottoscrizioni, è possibile applicare i costrutti di governance a livello di organizzazione al gruppo di gestione radice. È possibile definire un gruppo di gestione separato con assegnazioni di criteri o assegnazioni di ruolo di Azure più adatte a una nuova sottoscrizione.

Definire il gruppo di gestione predefinito nel portale

1. Accedere al portale di Azure.

2. Usare la barra di ricerca per cercare e selezionare Gruppi di gestione.

3. Selezionare il gruppo di gestione radice.

4. Sul lato sinistro della pagina, selezionare Impostazioni.

5. Selezionare il pulsante Cambia gruppo di gestione predefinito.

   Se il pulsante Cambia gruppo di gestione predefinito non è disponibile, la causa è riconducibile a una delle condizioni seguenti:

   • Il gruppo di gestione visualizzato non è il gruppo di gestione radice.
   • L'entità di sicurezza non dispone delle autorizzazioni necessarie per modificare le impostazioni della gerarchia.

6. Selezionare un gruppo di gestione dalla gerarchia e quindi scegliere il pulsante Seleziona.

Definire il gruppo di gestione predefinito usando l'API REST

Per definire il gruppo di gestione predefinito tramite l'API REST, è necessario chiamare l'endpoint Impostazioni gerarchia. Usare il formato di URI dell'API REST e del corpo seguente. Sostituire {rootMgID} con l'ID del gruppo di gestione radice. Sostituire {defaultGroupID} con l'ID del gruppo di gestione che diventerà il gruppo di gestione predefinito.

• URI DELL'API REST:

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Testo della richiesta:

  {
      "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
      }
  }
  

Per impostare il gruppo di gestione predefinito di nuovo come gruppo di gestione radice, usare lo stesso endpoint e impostare defaultManagementGroup su un valore di /providers/Microsoft.Management/managementGroups/{rootMgID}.

Impostazione: richiedere l'autorizzazione

Per impostazione predefinita, qualsiasi utente può creare nuovi gruppi di gestione in un tenant. Gli amministratori di un tenant potrebbero voler fornire queste autorizzazioni solo a utenti specifici per mantenere la coerenza e la conformità nella gerarchia del gruppo di gestione. Per creare gruppi di gestione figlio, l'utente richiede l'operazione Microsoft.Management/managementGroups/write nel gruppo di gestione principale.

Richiedere l'autorizzazione nel portale

1. Accedere al portale di Azure.

2. Usare la barra di ricerca per cercare e selezionare Gruppi di gestione.

3. Selezionare il gruppo di gestione radice.

4. Sul lato sinistro della pagina, selezionare Impostazioni.

5. Attivare l'interruttore Autorizzazioni per la creazione di nuovi gruppi di gestione.

   Se l'interruttore Richiedi autorizzazioni di scrittura per la creazione di nuovi gruppi di gestione non è disponibile, la causa è riconducibile a una delle condizioni seguenti:

   • Il gruppo di gestione visualizzato non è il gruppo di gestione radice.
   • L'entità di sicurezza non dispone delle autorizzazioni necessarie per modificare le impostazioni della gerarchia.

Richiedere l'autorizzazione tramite l'API REST

Per richiedere l'autorizzazione tramite l'API REST, chiamare l'endpoint Impostazioni gerarchia. Usare il formato di URI dell'API REST e del corpo seguente. Si tratta di un valore booleano, per cui è necessario specificare true o false per il valore. Il valore di true abilita questo metodo di protezione della gerarchia del gruppo di gestione.

• URI DELL'API REST:

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Testo della richiesta:

  {
      "properties": {
          "requireAuthorizationForGroupCreation": true
      }
  }
  

Per disattivare l'impostazione, usare lo stesso endpoint e impostare requireAuthorizationForGroupCreation su un valore di false.

Esempio di Azure PowerShell

Azure PowerShell non dispone di un comando Az per definire il gruppo di gestione predefinito o per richiedere l'autorizzazione. Come soluzione alternativa, è possibile usare l'API REST con l'esempio di Azure PowerShell seguente:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Contenuto correlato

Per altre informazioni sui gruppi di gestione, vedere:

• Creare gruppi di gestione per organizzare le risorse di Azure
• Modificare, eliminare o gestire i gruppi di gestione