Che cosa sono i gruppi di gestione di Azure?

Se l'organizzazione dispone di molte sottoscrizioni di Azure, potrebbe essere necessario gestire in modo efficiente l'accesso, i criteri e la conformità per tali sottoscrizioni. I gruppi di gestione offrono un ambito di governance superiore alle sottoscrizioni. Quando si organizzano le sottoscrizioni in gruppi di gestione, le condizioni di governance vengono applicate a cascata dall'ereditarietà a tutte le sottoscrizioni associate.

I gruppi di gestione offrono opzioni di gestione di livello aziendale su larga scala, indipendentemente dal tipo di sottoscrizioni a disposizione. Tuttavia, tutte le sottoscrizioni all'interno di un singolo gruppo di gestione devono considerare attendibile lo stesso tenant di Microsoft Entra.

Ad esempio, a un gruppo di gestione è possibile applicare un criterio che limita le aree disponibili per la creazione di macchine virtuali (VM). Questo criterio verrebbe applicato a tutti i gruppi di gestione annidati, le sottoscrizioni e le risorse per consentire la creazione di VM solo nelle aree autorizzate.

Gerarchia di gruppi di gestione e sottoscrizioni

È possibile creare una struttura flessibile di gruppi di gestione e sottoscrizioni, in modo da organizzare le risorse in una gerarchia per la gestione unificata di accesso e criteri. Il diagramma seguente mostra un esempio di creazione di una gerarchia per la governance tramite gruppi di gestione.

Diagramma di una gerarchia di gruppi di gestione di esempio.

Diagramma di un gruppo di gestione radice che contiene sia gruppi di gestione che sottoscrizioni. Alcuni gruppi di gestione figlio contengono gruppi di gestione, alcuni contengono sottoscrizioni e alcuni contengono entrambi. Uno degli esempi della gerarchia di esempio è costituito da quattro livelli di gruppi di gestione con tutte le sottoscrizioni al livello figlio.

È possibile creare una gerarchia che applica un criterio, ad esempio che limita le posizioni delle VM all'area Stati Uniti occidentali nel gruppo denominato Corp. Questo criterio erediterà da tutte le sottoscrizioni del Contratto Enterprise (EA) discendenti di tale gruppo di gestione e verrà applicato a tutte le VM all'interno di tali sottoscrizioni. Il proprietario della risorsa o della sottoscrizione non può alterare questo criterio di sicurezza per consentire una governance migliore.

Nota

I gruppi di gestione attualmente non sono supportati nelle funzionalità di gestione dei costi per le sottoscrizioni del Contratto del cliente Microsoft (MCA).

I gruppi di gestione sono utili anche per offrire agli utenti l'accesso a più sottoscrizioni. Spostando più sottoscrizioni all'interno del gruppo di gestione, è possibile creare un'assegnazione di ruolo di Azure nel gruppo di gestione. Il ruolo erediterà tale accesso a tutte le sottoscrizioni. Una sola assegnazione nel gruppo di gestione può consentire agli utenti di accedere a tutte le risorse necessarie invece di eseguire script di controllo degli accessi in base al ruolo (RBAC) di Azure per diverse sottoscrizioni.

Informazioni importanti sui gruppi di gestione

  • Una singola directory può supportare 10.000 gruppi di gestione.

  • L'albero di un gruppo di gestione può supportare fino a sei livelli di profondità.

    Questo limite non include il livello radice o il livello di sottoscrizione.

  • Ogni gruppo di gestione e sottoscrizione può supportare un solo elemento padre.

  • Ogni gruppo di gestione può avere molti elementi figlio.

  • Tutte le sottoscrizioni e i gruppi di gestione si trovano all'interno di una singola gerarchia in ogni directory. Per altre informazioni, vedere Informazioni importanti sul gruppo di gestione radice più avanti in questo articolo.

Gruppo di gestione radice per ogni directory

A ogni directory viene assegnato un gruppo di gestione di livello superiore denominato gruppo di gestione radice. Il gruppo di gestione radice è integrato nella gerarchia in modo che tutti i gruppi di gestione e le sottoscrizioni vi possano confluire.

Il gruppo di gestione radice consente l'applicazione di criteri globali e assegnazioni di ruolo di Azure a livello di directory. Inizialmente, l'opzione Eleva i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure al ruolo Amministratore accesso utenti di questo gruppo radice. Dopo aver elevato l'accesso, l'amministratore può assegnare qualsiasi ruolo di Azure ad altri utenti o gruppi della directory per gestire la gerarchia. Gli amministratori possono assegnare il proprio account come proprietario del gruppo di gestione radice.

Informazioni importanti sui gruppi di gestione radice

  • Per impostazione predefinita, il nome visualizzato del gruppo di gestione radice è Gruppo radice tenant e opera come gruppo di gestione. Il valore dell'ID è lo stesso dell'ID tenant di Microsoft Entra.
  • Per cambiare il nome visualizzato, all'account deve essere assegnato il ruolo Proprietario o Collaboratore per il gruppo di gestione radice. Per altre informazioni, vedere Modificare il nome di un gruppo di gestione.
  • A differenza degli altri gruppi di gestione, il gruppo di gestione radice non può essere spostato o eliminato.
  • Tutte le sottoscrizioni e i gruppi di gestione confluiscono in un unico gruppo di gestione radice all'interno della directory.
    • Tutte le risorse nella directory sono ricondotte al gruppo di gestione radice ai fini della gestione globale.
    • Le nuove sottoscrizioni vengono ripristinate automaticamente nel gruppo di gestione radice al momento della creazione.
  • Tutti i clienti di Azure possono vedere il gruppo di gestione radice, ma non tutti i clienti dispongono dell'accesso per gestire il gruppo di gestione radice.
    • Chiunque abbia accesso a una sottoscrizione può vedere il contesto in cui tale sottoscrizione si trova nella gerarchia.
    • A nessun utente viene assegnato l'accesso predefinito al gruppo di gestione radice. Gli amministratori globali di Microsoft Entra sono gli unici utenti che possono elevare i propri privilegi per ottenere l'accesso. Dopo avere ottenuto l'accesso al gruppo di gestione radice, possono assegnare qualsiasi ruolo di Azure agli altri utenti per gestire il gruppo.

Importante

Qualsiasi assegnazione di accesso utente o criteri nel gruppo di gestione radice si applica a tutte le risorse presenti nella directory. A causa di questo livello di accesso, tutti i clienti devono valutare la necessità di disporre di elementi definiti in quest'ambito. Le assegnazioni di criteri e accesso utente sono "indispensabili" solo in quest'ambito.

Configurazione iniziale dei gruppi di gestione

Quando un utente inizia a usare i gruppi di gestione, avviene un processo di configurazione iniziale. Il primo passaggio è la creazione del gruppo di gestione radice nella directory. Tutte le sottoscrizioni esistenti nella directory diventano elementi figlio del gruppo di gestione radice.

Lo scopo di questo processo è assicurarsi che esista un'unica gerarchia di gruppi di gestione all'interno di una directory. Un'unica gerarchia all'interno della directory consente ai clienti amministrativi di applicare i criteri e l'accesso globale per cui gli altri clienti all'interno della directory non possono eseguire il bypass.

Qualsiasi elemento assegnato nella radice si applica all'intera gerarchia. Vale a dire che si applica a tutti i gruppi di gestione, sottoscrizioni, gruppi di risorse e risorse all'interno del tenant di Microsoft Entra.

Accesso ai gruppi di gestione

I gruppi di gestione di Azure supportano il controllo degli accessi in base al ruolo (RBAC) di Azure per tutte le definizioni del ruolo e accesso alle risorse. Le risorse figlio esistenti nella gerarchia ereditano tali autorizzazioni. È possibile assegnare a un gruppo di gestione qualsiasi ruolo di Azure, che verrà ereditato lungo tutta la gerarchia fino alle risorse.

Ad esempio, è possibile assegnare il ruolo di Azure Collaboratore VM a un gruppo di gestione. Questo ruolo non comporta alcuna azione sul gruppo di gestione, ma viene ereditato da tutte le macchine virtuali del gruppo di gestione.

Il grafico seguente mostra l'elenco dei ruoli e delle azioni supportate per i gruppi di gestione.

Nome del ruolo di Azure Creazione Rinomina Spostamento** Elimina Assegnare l'accesso Assegnare al criterio Lettura
Proprietario X X X X X X X
Collaboratore X X X X X
Collaboratore gruppo di gestione* X X X X X
Lettore X
Lettore gruppo di gestione* X
Collaboratore per i criteri delle risorse X
Amministratore accessi utente X X

*: questi ruoli consentono agli utenti di eseguire le azioni specificate solo nell'ambito del gruppo di gestione.

**: le assegnazioni di ruolo nel gruppo di gestione radice non sono necessarie per spostare una sottoscrizione o un gruppo di gestione all'interno o all'esterno.

Per informazioni dettagliate sullo spostamento di elementi all'interno della gerarchia, vedere Gestire risorse con gruppi di gestione.

Definizione e assegnazione di un ruolo personalizzato di Azure

È possibile definire un gruppo di gestione come ambito assegnabile in una definizione del ruolo personalizzato di Azure. Il ruolo personalizzato di Azure sarà quindi disponibile per l'assegnazione in tale gruppo di gestione e in qualsiasi gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa al suo interno. Il ruolo personalizzato erediterà la gerarchia come qualsiasi ruolo predefinito.

Per informazioni sulle limitazioni con gruppi di gestione e ruoli personalizzati, vedere Limitazioni più avanti in quest'articolo.

Definizione di esempio

La definizione e la creazione di un ruolo personalizzato non cambiano con l'inclusione di gruppi di gestione. Usare il percorso completo per definire il gruppo di gestione: /providers/Microsoft.Management/managementgroups/{_groupId_}.

Usare l'ID del gruppo di gestione e non il nome visualizzato del gruppo di gestione. Questo errore comune si verifica poiché entrambi sono campi definiti personalizzati quando si crea un gruppo di gestione.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementGroups/delete",
    "Microsoft.Management/managementGroups/read",
    "Microsoft.Management/managementGroups/write",
    "Microsoft.Management/managementGroups/subscriptions/delete",
    "Microsoft.Management/managementGroups/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problemi di interruzione della definizione del ruolo e del percorso della gerarchia di assegnazione

Le definizioni del ruolo sono ambiti assegnabili ovunque all'interno della gerarchia del gruppo di gestione. Una definizione del ruolo può essere in un gruppo di gestione padre, mentre l'assegnazione di ruolo effettiva esiste nella sottoscrizione figlio. Poiché esiste una relazione tra i due elementi, si otterrà un errore durante il tentativo di separare l'assegnazione dalla relativa definizione.

Ad esempio, si consideri l'esempio seguente di una piccola sezione di una gerarchia.

Diagramma di un subset della gerarchia di gruppi di gestione di esempio.

Il diagramma è incentrato sul gruppo di gestione radice con zone di destinazione figlio e gruppi di gestione sandbox. Il gruppo di gestione delle zone di destinazione ha due gruppi di gestione figlio denominati Corp e Online, mentre il gruppo di gestione sandbox ha due sottoscrizioni figlio.

Si supponga che sia definito un ruolo personalizzato nel gruppo di gestione sandbox. Il ruolo personalizzato viene quindi assegnato nelle due sottoscrizioni sandbox.

Se si tenta di spostare una di queste sottoscrizioni in modo che diventi un elemento figlio del gruppo di gestione Corp, si interromperà il percorso dall'assegnazione di ruolo di sottoscrizione alla definizione del ruolo per il gruppo di gestione sandbox. In questo scenario, si otterrà un errore indicante che lo spostamento non è consentito poiché interromperà questa relazione.

Per risolvere questo scenario, sono disponibili le opzioni seguenti:

  • Rimuovere l'assegnazione di ruolo dalla sottoscrizione prima di spostare la sottoscrizione in un nuovo gruppo di gestione padre.
  • Aggiungere la sottoscrizione all'ambito assegnabile della definizione del ruolo.
  • Modificare l'ambito assegnabile all'interno della definizione del ruolo. In questo esempio, è possibile aggiornare gli ambiti assegnabili dal gruppo di gestione sandbox al gruppo di gestione radice in modo che entrambi i rami della gerarchia possano raggiungere la definizione.
  • Creare un altro ruolo personalizzato definito nell'altro ramo. Questo nuovo ruolo richiede anche di modificare il ruolo nella sottoscrizione.

Limiti

Esistono alcune limitazioni all'uso di ruoli personalizzati nei gruppi di gestione:

  • È possibile definire un solo gruppo di gestione negli ambiti assegnabili di un nuovo ruolo. Questa limitazione è prevista per ridurre il numero di situazioni in cui le definizioni del ruolo e le assegnazioni di ruolo sono disconnesse. Questo tipo di situazione si verifica quando una sottoscrizione o un gruppo di gestione con un'assegnazione di ruolo viene spostato in un elemento padre diverso che non contiene la definizione del ruolo.
  • I ruoli personalizzati con DataActions non possono essere assegnati all'ambito del gruppo di gestione. Per altre informazioni, vedere Limiti dei ruoli personalizzati.
  • Azure Resource Manager non convalida l'esistenza del gruppo di gestione nell'ambito assegnabile della definizione del ruolo. Se è presente un errore di digitazione o un ID gruppo di gestione non corretto, la definizione del ruolo verrà comunque creata.

Spostamento di gruppi di gestione e sottoscrizioni

Per spostare un gruppo di gestione o una sottoscrizione in modo che sia un elemento figlio di un altro gruppo di gestione, sono necessarie:

  • Autorizzazioni di scrittura per il gruppo di gestione e autorizzazioni di scrittura per l'assegnazione di ruolo nel gruppo di gestione o nella sottoscrizione figlio.
    • Esempio di ruolo predefinito: Proprietario
  • Accesso in scrittura del gruppo di gestione nel gruppo di gestione padre di destinazione.
    • Esempio di ruolo predefinito: Proprietario, Collaboratore, Collaboratore gruppo di gestione
  • Accesso in scrittura del gruppo di gestione nel gruppo di gestione padre esistente.
    • Esempio di ruolo predefinito: Proprietario, Collaboratore, Collaboratore gruppo di gestione

Esiste un'eccezione: se il gruppo di gestione padre di destinazione o esistente corrisponde al gruppo di gestione radice, i requisiti dell'autorizzazione non si applicano. Poiché il gruppo di gestione radice è il punto di destinazione predefinito per tutti i nuovi gruppi di gestione e le sottoscrizioni, non sono necessarie autorizzazioni per spostare un elemento.

Se il ruolo Proprietario nella sottoscrizione viene ereditato dal gruppo di gestione corrente, le destinazioni di spostamento sono limitate. È possibile spostare la sottoscrizione solo in un altro gruppo di gestione in cui si dispone del ruolo di Proprietario. Non è possibile spostare la sottoscrizione in un gruppo di gestione in cui si dispone solo del ruolo di Collaboratore perché si perderebbe la proprietà della sottoscrizione. Se si è assegnati direttamente al ruolo di Proprietario per la sottoscrizione, è possibile spostarlo in qualsiasi gruppo di gestione in cui si dispone del ruolo di Collaboratore.

Importante

Azure Resource Manager memorizza nella cache i dettagli della gerarchia dei gruppi di gestione per un periodo massimo di 30 minuti. Di conseguenza, il portale di Azure potrebbe non mostrare immediatamente che è stato spostato un gruppo di gestione.

Controllo dei gruppi di gestione tramite log attività

I gruppi di gestione sono supportati nei log attività di Monitoraggio di Azure. È possibile eseguire una query di tutti gli eventi che si verificano per un gruppo di gestione nella stessa posizione centrale delle altre risorse di Azure. Ad esempio, è possibile visualizzare tutte le modifiche delle assegnazioni di ruolo o dei criteri apportate in un determinato gruppo di gestione.

Screenshot dei log attività e delle operazioni correlate a un gruppo di gestione selezionato.

Quando si desidera eseguire query sui gruppi di gestione all'esterno del portale di Azure, l'ambito di destinazione per i gruppi di gestione è simile a "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Nota

Usando l'API REST di Azure Resource Manager, è possibile abilitare le impostazioni di diagnostica in un gruppo di gestione per l'invio delle voci del log attività di Monitoraggio di Azure correlate a un'area di lavoro Log Analytics, Archiviazione di Azure o Hub eventi di Azure. Per altre informazioni, vedere Impostazioni di diagnostica del gruppo di gestione - Creazione o aggiornamento.

Per altre informazioni sui gruppi di gestione, vedere: