Gestire le sottoscrizioni di Azure su larga scala con i gruppi di gestione

Se l'organizzazione ha molte sottoscrizioni, potrebbe essere necessario trovare una modalità di gestione efficiente dell'accesso, dei criteri e della conformità per tali sottoscrizioni. I gruppi di gestione di Azure offrono un livello di ambito superiore alle sottoscrizioni. Le sottoscrizioni vengono organizzate in contenitori denominati gruppi di gestione e le condizioni di governance vengono applicate ai gruppi di gestione. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente le condizioni applicate al gruppo di gestione.

I gruppi di gestione offrono gestione di livello aziendale su larga scala, indipendentemente dal tipo di sottoscrizione posseduta. Per altre informazioni sui gruppi di gestione, vedere Organizzare le risorse con i gruppi di gestione di Azure.

Nota

Questo articolo descrive le procedure per l'eliminazione dei dati personali dal dispositivo o dal servizio e può essere usato per adempiere gli obblighi del Regolamento generale sulla protezione dei dati (GDPR). Per informazioni generali sul GDPR, vedi la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.

Importante

I token utente di Azure Resource Manager e la cache del gruppo di gestione durano 30 minuti prima di essere aggiornati in modo forzato. Qualsiasi azione, ad esempio lo spostamento di un gruppo di gestione o di una sottoscrizione, può richiedere fino a 30 minuti per essere visualizzata. Per visualizzare prima gli aggiornamenti, è necessario aggiornare il token tramite una revisione del browser, eseguendo l'accesso e la disconnessione o richiedendo un nuovo token.

Per le azioni di Azure PowerShell riportate in questo articolo, tenere presente che i cmdlet correlati a AzManagementGroup ricordano che -GroupId è un alias del parametro -GroupName. È possibile usarli entrambi per specificare l'ID del gruppo di gestione come valore stringa.

Modificare il nome di un gruppo di gestione

È possibile modificare il nome del gruppo di gestione tramite il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Modificare il nome nel portale

  1. Accedere al portale di Azure.

  2. Selezionare Tutti i servizi. Nel riquadro di testo Filtra servizi, immettere Gruppi di gestione ed effettuare la selezione dall'elenco.

  3. Selezionare il gruppo di gestione da rinominare.

  4. Selezionare dettagli.

  5. Selezionare l'opzione Rinomina gruppo nella parte superiore del riquadro.

    Screenshot della barra delle azioni e del pulsante Rinomina gruppo nella pagina del gruppo di gestione.

  6. Nel riquadro Rinomina gruppo, immettere il nuovo nome da visualizzare.

    Screenshot delle opzioni per rinominare un gruppo di gestione.

  7. Seleziona Salva.

Modificare il nome in Azure PowerShell

Per aggiornare il nome visualizzato, usare Update-AzManagementGroup in Azure PowerShell. Ad esempio, per modificare il nome visualizzato di un gruppo di gestione da Contoso IT a Gruppo Contoso, eseguire il comando seguente:

Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'

Modificare il nome nell'interfaccia della riga di comando di Azure

Per l'interfaccia della riga di comando di Azure usare il comando update:

az account management-group update --name 'Contoso' --display-name 'Contoso Group'

Eliminare un gruppo di gestione

Per eliminare un gruppo di gestione, è necessario soddisfare i requisiti seguenti:

  • Nel gruppo di gestione non esistono gruppi di gestione o sottoscrizioni figlio. Per spostare una sottoscrizione o un gruppo di gestione in un altro gruppo di gestione, vedere Spostare gruppi di gestione e sottoscrizioni nella gerarchia più avanti in questo articolo.

  • Sono necessarie autorizzazioni di scrittura per il gruppo di gestione (Proprietario o Collaboratore o Collaboratore del gruppo di gestione). Per controllare le proprie autorizzazioni, selezionare il gruppo di gestione e quindi selezionare IAM. Per ulteriori informazioni sui ruoli di Azure, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?.

Eliminare un gruppo di gestione nel portale

  1. Accedere al portale di Azure.

  2. Selezionare Tutti i servizi. Nel riquadro di testo Filtra servizi, immettere Gruppi di gestione ed effettuare la selezione dall'elenco.

  3. Selezionare il gruppo di gestione da eliminare.

  4. Selezionare dettagli.

  5. Selezionare Elimina.

    Screenshot della pagina del gruppo di gestione con il pulsante Elimina.

    Suggerimento

    Se il pulsante Elimina non è disponibile, passando il mouse su di esso è possibile visualizzarne il motivo.

  6. Viene visualizzata una finestra di dialogo che chiede di confermare di voler eliminare il gruppo di gestione.

    Screenshot della finestra di dialogo per la conferma dell'eliminazione di un gruppo di gestione.

  7. Selezionare .

Eliminare un gruppo di gestione in Azure PowerShell

Per eliminare un gruppo di gestione, usare il comando Remove-AzManagementGroup in Azure PowerShell:

Remove-AzManagementGroup -GroupId 'Contoso'

Eliminare un gruppo di gestione nell’interfaccia della riga di comando di Azure

Per l'interfaccia della riga di comando di Azure, usare il comando az account management-group delete:

az account management-group delete --name 'Contoso'

Visualizzare i gruppi di gestione

Se si dispone di un ruolo di Azure diretto o ereditato, è possibile visualizzare tutti i gruppi di gestione.

Visualizzare i gruppi di gestione nel portale

  1. Accedere al portale di Azure.

  2. Selezionare Tutti i servizi. Nel riquadro di testo Filtra servizi, immettere Gruppi di gestione ed effettuare la selezione dall'elenco.

  3. Viene visualizzata la pagina relativa alla gerarchia dei gruppi di gestione. In questa pagina è possibile esplorare tutti i gruppi di gestione e le sottoscrizioni a cui si ha accesso. La selezione del nome del gruppo consente di passare a un livello inferiore nella gerarchia. Le funzioni di spostamento sono le stesse di Esplora file.

  4. Per visualizzare i dettagli del gruppo di gestione, selezionare il collegamento (dettagli) accanto al titolo del gruppo di gestione. Se questo collegamento non è disponibile, non si hanno le autorizzazioni per visualizzare il gruppo di gestione.

    Screenshot della pagina dei gruppi di gestione che illustra le sottoscrizioni e i gruppi di gestione figlio.

Visualizzare i gruppi di gestione in Azure PowerShell

Per recuperare tutti i gruppi, usare il comando Get-AzManagementGroup. Per l'elenco completo dei GETcomandi di PowerShell per i gruppi di gestione, vedere i moduli Az.Resources.

Get-AzManagementGroup

Per ottenere le informazioni su un singolo gruppo di gestione, usare il parametro -GroupId:

Get-AzManagementGroup -GroupId 'Contoso'

Per restituire un gruppo di gestione specifico e tutti i livelli della gerarchia al suo interno, usare i parametri -Expand e -Recurse:

PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response

Id                : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type              : /providers/Microsoft.Management/managementGroups
Name              : TestGroupParent
TenantId          : 00000000-0000-0000-0000-000000000000
DisplayName       : TestGroupParent
UpdatedTime       : 2/1/2018 11:15:46 AM
UpdatedBy         : 00000000-0000-0000-0000-000000000000
ParentId          : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName        : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children          : {TestGroup1DisplayName, TestGroup2DisplayName}

PS C:\> $response.Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestGroup1
Name        : TestGroup1
DisplayName : TestGroup1DisplayName
Children    : {TestRecurseChild}

PS C:\> $response.Children[0].Children[0]

Type        : /managementGroup
Id          : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name        : TestRecurseChild
DisplayName : TestRecurseChild
Children    :

Visualizzare i gruppi di gestione nell’interfaccia della riga di comando di Azure

Per recuperare tutti i gruppi, usare il comando list:

az account management-group list

Per ottenere le informazioni su un singolo gruppo di gestione, usare il comando show:

az account management-group show --name 'Contoso'

Per restituire un gruppo di gestione specifico e tutti i livelli della gerarchia al suo interno, usare i parametri -Expand e -Recurse:

az account management-group show --name 'Contoso' -e -r

Spostare i gruppi di gestione e le sottoscrizioni

Uno dei motivi per creare un gruppo di gestione è l'accorpamento delle sottoscrizioni. Solo i gruppi di gestione e le sottoscrizioni possono diventare elementi figlio di un altro gruppo di gestione. Una sottoscrizione che viene spostata in un gruppo di gestione eredita tutti i criteri e le autorizzazioni di accesso utente dal gruppo di gestione padre.

È possibile spostare le sottoscrizioni tra gruppi di gestione. Una sottoscrizione può disporre di un solo gruppo di gestione padre.

Quando si sposta un gruppo di gestione o una sottoscrizione in modo che diventi figlio di un altro gruppo di gestione, è necessario che siano soddisfatte tre regole.

Se si esegue l'azione di spostamento, è necessaria l'autorizzazione a ognuno dei livelli seguenti:

  • Sottoscrizione figlio o gruppo di gestione
    • Microsoft.management/managementgroups/write
    • Microsoft.management/managementgroups/subscriptions/write (solo per le sottoscrizioni)
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    • Microsoft.Management/register/action
  • Gruppo di gestione padre di destinazione
    • Microsoft.management/managementgroups/write
  • Gruppo di gestione padre attuale
    • Microsoft.management/managementgroups/write

È prevista un'eccezione: se il gruppo di gestione padre di destinazione o esistente corrisponde al gruppo di gestione radice, i requisiti dell'autorizzazione non sono applicabili. Poiché il gruppo di gestione radice è il punto di destinazione predefinito per tutti i nuovi gruppi di gestione e le sottoscrizioni, non sono necessarie autorizzazioni per spostare un elemento.

Se il ruolo Proprietario nella sottoscrizione viene ereditato dal gruppo di gestione corrente, le destinazioni di spostamento sono limitate. È possibile spostare la sottoscrizione solo in un altro gruppo di gestione in cui si dispone del ruolo di Proprietario. Non è possibile spostare la sottoscrizione in un gruppo di gestione in cui si dispone solo del ruolo di Collaboratore perché si perderebbe la proprietà della sottoscrizione. Se si è direttamente assegnati al ruolo di Proprietario per la sottoscrizione, è possibile spostarlo in qualsiasi gruppo di gestione in cui si dispone del ruolo di Collaboratore.

Per controllare le proprie autorizzazioni nel portale di Azure, selezionare il gruppo di gestione e quindi selezionare IAM. Per ulteriori informazioni sui ruoli di Azure, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?.

Aggiungere una sottoscrizione esistente a un gruppo di gestione nel portale

  1. Accedere al portale di Azure.

  2. Selezionare Tutti i servizi. Nel riquadro di testo Filtra servizi, immettere Gruppi di gestione ed effettuare la selezione dall'elenco.

  3. Selezionare il gruppo di gestione da considerare come elemento padre.

  4. Nella parte superiore della pagina selezionare Aggiungi sottoscrizione.

  5. Da Aggiungi sottoscrizione, selezionare la sottoscrizione nell'elenco con l'ID corretto.

    Screenshot della casella per la selezione di una sottoscrizione esistente da aggiungere a un gruppo di gestione.

  6. Seleziona Salva.

Rimuovere una sottoscrizione da un gruppo di gestione nel portale

  1. Accedere al portale di Azure.

  2. Selezionare Tutti i servizi. Nel riquadro di testo Filtra servizi, immettere Gruppi di gestione ed effettuare la selezione dall'elenco.

  3. Selezionare il gruppo di gestione che attualmente funge da elemento padre.

  4. Selezionare i puntini di sospensione (...) alla fine della riga per la sottoscrizione nell'elenco da spostare.

    Screenshot del menu che include l'opzione di spostamento per una sottoscrizione.

  5. Seleziona Sposta.

  6. Nel riquadro Sposta, selezionare il valore per Nuovo ID del gruppo di gestione padre.

    Screenshot del riquadro per lo spostamento di una sottoscrizione in un gruppo di gestione diverso.

  7. Seleziona Salva.

Spostare una sottoscrizione in Azure PowerShell

Per spostare una sottoscrizione in PowerShell, usare il comando New-AzManagementGroupSubscription:

New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Per rimuovere il collegamento tra la sottoscrizione e il gruppo di gestione, usare il comando Remove-AzManagementGroupSubscription:

Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'

Spostare una sottoscrizione nell'interfaccia della riga di comando di Azure

Per spostare una sottoscrizione nell'interfaccia della riga di comando di Azure, usare il comando add:

az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Per rimuovere la sottoscrizione dal gruppo di gestione, usare il comando subscription remove:

az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'

Spostare una sottoscrizione in un modello di Resource Manager

Per spostare una sottoscrizione in un modello di Azure Resource Manager ,usare il modello seguente e distribuirlo a livello di tenant:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "targetMgId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the management group that you want to move the subscription to."
            }
        },
        "subscriptionId": {
            "type": "string",
            "metadata": {
                "description": "Provide the ID of the existing subscription to move."
            }
        }
    },
    "resources": [
        {
            "scope": "/",
            "type": "Microsoft.Management/managementGroups/subscriptions",
            "apiVersion": "2020-05-01",
            "name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
            "properties": {
            }
        }
    ],
    "outputs": {}
}

Oppure, in alternativa, usare il file Bicep seguente:

targetScope = 'managementGroup'

@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string

@description('Provide the ID of the existing subscription to move.')
param subscriptionId string

resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
  scope: tenant()
  name: '${targetMgId}/${subscriptionId}'
}

Spostare un gruppo di gestione nel portale

  1. Accedere al portale di Azure.

  2. Selezionare Tutti i servizi. Nel riquadro di testo Filtra servizi, immettere Gruppi di gestione ed effettuare la selezione dall'elenco.

  3. Selezionare il gruppo di gestione da considerare come elemento padre.

  4. Nella parte superiore della pagina selezionare Crea.

  5. Nel riquadro Crea gruppo di gestione, scegliere se si vuole usare un gruppo di gestione nuovo o esistente:

    • Selezionando Crea nuovo viene creato un nuovo gruppo di gestione.
    • Selezionando Usa esistente viene visualizzato un elenco a discesa di tutti i gruppi di gestione che è possibile spostare in tale gruppo.

    Screenshot del riquadro per l'aggiunta di un gruppo di gestione.

  6. Seleziona Salva.

Spostare un gruppo di gestione in Azure PowerShell

Per spostare un gruppo di gestione in un gruppo diverso, usare il comando Update-AzManagementGroup in Azure PowerShell:

$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id

Spostare un gruppo di gestione nell'interfaccia della riga di comando di Azure

Per spostare un gruppo di gestione nell'interfaccia della riga di comando di Azure, usare il comando update:

az account management-group update --name 'Contoso' --parent ContosoIT

Controllare i gruppi di gestione tramite i log attività

I gruppi di gestione sono supportati nei log attività di Monitoraggio di Azure. È possibile eseguire una query di tutti gli eventi che si verificano per un gruppo di gestione nella stessa posizione centrale delle altre risorse di Azure. Ad esempio, è possibile visualizzare tutte le modifiche delle assegnazioni di ruolo o dei criteri apportate in un determinato gruppo di gestione.

Screenshot dei log attività e delle operazioni correlate a un gruppo di gestione selezionato.

Quando si vuole eseguire query sui gruppi di gestione all'esterno del portale di Azure, l'ambito di destinazione per i gruppi di gestione è simile a "/providers/Microsoft.Management/managementGroups/{yourMgID}".

Riferimento a gruppi di gestione da altri provider di risorse

Quando si fa riferimento a gruppi di gestione di altre azioni del provider di risorse, usare il percorso seguente come ambito. Questo percorso si applica quando si usa Azure PowerShell, l'interfaccia della riga di comando di Azure e le API REST.

/providers/Microsoft.Management/managementGroups/{yourMgID}

Un esempio d'uso di questo percorso consiste nell'assegnazione di un nuovo ruolo a un gruppo di gestione in Azure PowerShell:

New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"

Si usa lo stesso percorso dell’ambito per recuperare una definizione di criteri per un gruppo di gestione:

GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01

Per altre informazioni sui gruppi di gestione, vedere: