O que são grupos de gerenciamento do Azure?

Se a sua organização tiver muitas assinaturas do Azure, talvez seja necessário uma maneira de gerenciar com eficiência o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gerenciamento fornecem um nível de escopo de governança acima das assinaturas. Quando você organiza assinaturas em grupos de gerenciamento, as condições de governança aplicadas são propagadas por herança a todas as assinaturas associadas.

Os grupos de gerenciamento fornecem gerenciamento de nível empresarial em escala, independentemente do tipo de assinaturas que você possa ter. No entanto, todas as assinaturas em um único grupo de gerenciamento devem confiar no mesmo locatário do Microsoft Entra.

Por exemplo, você pode aplicar uma política a um grupo de gerenciamento que limita as regiões disponíveis para a criação de VM (máquina virtual). Essa política seria aplicada a todos os grupos de gerenciamento aninhados, assinaturas e recursos para permitir a criação de VM somente em regiões autorizadas.

Hierarquia de grupos de gerenciamento e assinaturas

É possível compilar uma estrutura flexível de grupos de gerenciamento e assinaturas para organizar seus recursos em uma hierarquia para políticas unificadas e gerenciamento de acesso. O diagrama a seguir mostra um exemplo de criação de uma hierarquia de governança usando grupos de gerenciamento.

Diagrama de uma hierarquia de grupo de gerenciamento de exemplo.

Diagrama de um grupo de gerenciamento raiz que contém grupos de gerenciamento e assinaturas. Alguns grupos de gerenciamento filho contêm grupos de gerenciamento, uns contêm assinaturas e outros contêm ambos. Um dos exemplos na hierarquia de exemplo são quatro níveis de grupos de gerenciamento, com todas as assinaturas no nível filho.

Você pode criar uma hierarquia que aplique uma política, por exemplo, que limite os locais de VM à região Oeste dos EUA no grupo de gerenciamento chamado Corp. Essa política herdará todas as assinaturas do EA (Contrato Enterprise) que são descendentes desse grupo de gerenciamento e se aplicará a todas as VMs nessas assinaturas. O proprietário do recurso ou da assinatura não pode alterar essa política de segurança para permitir uma governança aprimorada.

Observação

No momento, não há suporte para grupos de gerenciamento em recursos de gerenciamento de custos para assinaturas do MCA (Contrato de Cliente da Microsoft).

Outro cenário em que você usaria grupos de gerenciamento é fornecer acesso de usuário a várias assinaturas. Ao mover várias assinaturas em um grupo de gerenciamento, você pode criar uma atribuição de função do Azure no grupo de gerenciamento. A função herdará esse acesso a todas as assinaturas. Uma atribuição no grupo de gerenciamento pode permitir que os usuários tenham acesso a tudo o que precisam, em vez de criar scripts de RBAC (controle de acesso baseado em função) do Azure em diferentes assinaturas.

Fatos importantes sobre os grupos de gerenciamento

  • Um único diretório pode dar suporte a 10.000 grupos de gerenciamento.

  • Uma árvore do grupo de gerenciamento pode dar suporte a até seis níveis de profundidade.

    Esse limite não inclui o nível raiz nem o nível da assinatura.

  • Cada grupo de gerenciamento e assinatura podem dar suporte a somente um pai.

  • Cada grupo de gerenciamento pode ter vários elementos filhos.

  • Todas as assinaturas e todos os grupos de gerenciamento estão em uma única hierarquia em cada diretório. Para obter mais informações, consulte Fatos importantes sobre o grupo de gerenciamento raiz mais adiante neste artigo.

Grupo de gerenciamento raiz para cada diretório

Cada diretório tem um único grupo de gerenciamento de nível superior chamado grupo de gerenciamento raiz. O grupo de gerenciamento raiz é compilado na hierarquia para que todos os grupos de gerenciamento e assinaturas sejam dobrados nele.

O grupo de gerenciamento raiz permite a aplicação de políticas globais e atribuições de função do Azure no nível do diretório. Inicialmente, o Acesso elevado para gerenciar todas as assinaturas e grupos de gerenciamento do Azure à função de administrador de acesso do usuário desse grupo raiz. Após elevar o acesso, o administrador poderá atribuir qualquer função do Azure a outros usuários ou grupos do diretório para gerenciar a hierarquia. Como administrador, você pode atribuir sua conta como proprietária do grupo de gerenciamento raiz.

Fatos importantes sobre o grupo de gerenciamento raiz

  • Por padrão, o nome de exibição do grupo de gerenciamento raiz é Grupo raiz do locatário e ele opera como um grupo de gerenciamento. A ID é o mesmo valor que a ID do locatário do Microsoft Entra.
  • Para alterar o nome de exibição, sua conta deve ter a função Proprietário ou Colaborador no grupo de gerenciamento raiz. Para obter mais informações, consulte Alterar o nome de um grupo de gerenciamento.
  • O grupo de gerenciamento raiz não pode ser movido nem excluído, ao contrário de outros grupos de gerenciamento.
  • Todas as assinaturas e todos os grupos de gerenciamento estão inseridos em um único grupo de gerenciamento raiz dentro do diretório.
    • Todos os recursos do diretório estão inseridos no grupo de gerenciamento raiz para o gerenciamento global.
    • Novas assinaturas são automaticamente padronizadas para o grupo de gerenciamento raiz quando são criadas.
  • Todos os clientes do Azure podem ver o grupo de gerenciamento raiz, mas nem todos os clientes têm acesso para gerenciá-lo.
    • Qualquer pessoa que tenha acesso a uma assinatura pode ver o contexto no qual essa assinatura está na hierarquia.
    • Ninguém tem acesso padrão ao grupo de gerenciamento raiz. Os Administradores Globais do Microsoft Entra são os únicos usuários que podem se elevar para obter acesso. Depois de ter acesso ao grupo de gerenciamento raiz, eles podem atribuir qualquer função do Azure a outros usuários para gerenciar o grupo.

Importante

Qualquer atribuição de acesso de usuário ou política no grupo de gerenciamento raiz se aplica a todos os recursos do diretório. Devido a esse nível de acesso, todos os clientes devem avaliar a necessidade de ter itens definidos nesse escopo. O acesso do usuário e as atribuições de política devem ser "obrigatórios" somente nesse escopo.

Configuração inicial dos grupos de gerenciamento

Quando qualquer usuário começa a usar grupos de gerenciamento, ocorre um processo de configuração inicial. A primeira etapa é a criação do grupo de gerenciamento raiz no diretório. Todas as assinaturas existentes no diretório tornam-se filhos do grupo de gerenciamento raiz.

O motivo para esse processo é verificar se há apenas uma hierarquia de grupo de gerenciamento em um diretório. A única hierarquia dentro do diretório permite que os clientes administrativos apliquem políticas e o acesso global que outros clientes no diretório não podem ignorar.

Qualquer coisa atribuída na raiz se aplica a toda a hierarquia. Ou seja, ele se aplica a todos os grupos de gerenciamento, assinaturas, grupos de recursos e recursos dentro desse locatário do Microsoft Entra.

Acesso do grupo de gerenciamento

Os grupos de gerenciamento do Azure dão suporte RBAC do Azure para todas as definições de acesso e função de recursos. Os recursos filho que existem na hierarquia herdam essas permissões. Qualquer função do Azure pode ser atribuída a um grupo de gerenciamento que herdará a hierarquia para os recursos.

Por exemplo, você pode atribuir a função Colaborador de VM da função Azure a um grupo de gerenciamento. Essa função não tem nenhuma ação no grupo de gerenciamento, mas herdará de todas as VMs nesse grupo de gerenciamento.

O gráfico a seguir mostra a lista de funções e as ações compatíveis nos grupos de gerenciamento.

Nome da função do Azure Criar Renomear Mover** Excluir Atribuir acesso Atribuir política Ler
Proprietário X X X X X X X
Colaborador X X X X X
Colaborador do Grupo de Gerenciamento* X X X X X
Leitor X
Leitor do Grupo de Gerenciamento* X
Colaborador da política de recurso X
Administrador de Acesso do Usuário X X

*: essas funções permitem que os usuários executem as ações especificadas somente no escopo do grupo de gerenciamento.

**: as atribuições de função no grupo de gerenciamento raiz não são necessárias para mover uma assinatura ou um grupo de gerenciamento de e para ele.

Para obter detalhes sobre como mover itens dentro da hierarquia, consulte Gerenciar seus recursos com grupos de gerenciamento.

Atribuição e definição de função personalizada do Azure

Você pode definir um grupo de gerenciamento como um escopo atribuível em uma definição de função personalizada do Azure. A função personalizada do Azure estará então disponível para atribuição nesse grupo de gerenciamento e em qualquer grupo de gerenciamento, assinatura, grupo de recursos ou recurso abaixo dele. A função personalizada herdará a hierarquia como qualquer função interna.

Para obter informações sobre as limitações com funções personalizadas e grupos de gerenciamento, consulte Limitações mais adiante neste artigo.

Definição de exemplo

A opção Definir e criar uma função personalizada não será alterada com a inclusão de grupos de gerenciamento. Use o caminho completo para definir o grupo de gerenciamento: /providers/Microsoft.Management/managementgroups/{_groupId_}.

Use a ID do grupo de gerenciamento, e não o nome de exibição do grupo de gerenciamento. Esse erro comum ocorre porque ambos são campos personalizados na criação de um grupo de gerenciamento.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementGroups/delete",
    "Microsoft.Management/managementGroups/read",
    "Microsoft.Management/managementGroups/write",
    "Microsoft.Management/managementGroups/subscriptions/delete",
    "Microsoft.Management/managementGroups/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problemas com a interrupção da definição de função e o caminho da hierarquia de atribuição

As definições de função são escopos atribuíveis em qualquer lugar dentro da hierarquia do grupo de gerenciamento. Uma definição de função pode estar em um grupo de gerenciamento pai, enquanto a atribuição de função real existe na assinatura filho. Como há uma relação entre os dois itens, você receberá um erro se tentar separar a atribuição de sua definição.

Por exemplo, considere o exemplo a seguir de uma pequena seção de uma hierarquia.

Diagrama de um subconjunto da hierarquia de grupo de gerenciamento de exemplo.

O diagrama se concentra no grupo de gerenciamento raiz com zonas de destino filho e grupos de gerenciamento de área restrita. O grupo de gerenciamento para zonas de destino tem dois grupos de gerenciamento filho chamados Corp e Online, enquanto o grupo de gerenciamento de área restrita tem duas assinaturas filho.

Suponha que uma função personalizada seja definida no grupo de gerenciamento de área restrita. Essa função personalizada é atribuída nas duas assinaturas de área restrita.

Se você tentar mover uma dessas assinaturas para ser um filho do grupo de gerenciamento Corp, interromperá o caminho da atribuição de função de assinatura para a definição de função do grupo de gerenciamento de área restrita. Nesse cenário, você receberá um erro informando que a movimentação não é permitida porque interromperá essa relação.

Para corrigir esse cenário, você tem estas opções:

  • Remova a atribuição de função da assinatura antes de movê-la para um novo grupo de gerenciamento pai.
  • Adicione a assinatura ao escopo atribuível da definição de função.
  • Altere o escopo atribuível dentro da definição de função. Neste exemplo, você pode atualizar os escopos atribuíveis do grupo de gerenciamento de área restrita para o grupo de gerenciamento raiz para que ambas as ramificações da hierarquia possam alcançar a definição.
  • Crie outra função personalizada definida na outra ramificação. Essa nova função também exige que você altere a função na assinatura.

Limitações

Há limitações para o uso de funções personalizadas em grupos de gerenciamento:

  • Você pode definir apenas um grupo de gerenciamento nos escopos atribuíveis de uma nova função. Essa limitação está em vigor para reduzir o número de situações em que as definições de função e as atribuições de função são desconectadas. Esse tipo de situação acontece quando uma assinatura ou grupo de gerenciamento com uma atribuição de função é movido para um pai diferente que não tem a definição de função.
  • Funções personalizadas com DataActions não podem ser atribuídas no escopo do grupo de gerenciamento. Para obter mais informações, confira Limites de funções personalizadas.
  • O Azure Resource Manager não valida a existência do grupo de gerenciamento no escopo atribuível da definição de função. Se houver um erro de digitação ou uma ID de grupo de gerenciamento incorreta, a definição de função ainda será criada.

Como mover grupos de gerenciamento e assinaturas

Para mover um grupo de gerenciamento ou assinatura para ser filho de outro grupo de gerenciamento, você precisa:

  • Permissões de gravação do grupo de gerenciamento e permissões de gravação de atribuição de função na assinatura filho ou no grupo de gerenciamento.
    • Exemplo de função interna: Proprietário
  • Acesso de gravação do grupo de gerenciamento no grupo de gerenciamento pai alvo.
    • Exemplo de função interna: Proprietário, Colaborador, Colaborador do Grupo de Gerenciamento
  • Acesso de gravação do grupo de gerenciamento no grupo de gerenciamento pai existente.
    • Exemplo de função interna: Proprietário, Colaborador, Colaborador do Grupo de Gerenciamento

Há uma exceção: se o destino ou o grupo de gerenciamento pai existente for o grupo de gerenciamento raiz, os requisitos de permissão não se aplicarão. Como o grupo de gerenciamento raiz é o local de destino padrão para todos os novos grupos de gerenciamento e assinaturas, você não precisa de permissões nele para mover um item.

Se a função Proprietário na assinatura for herdada do grupo de gerenciamento atual, seus destinos de movimentação serão limitados. Você pode mover a assinatura apenas para outro grupo de gerenciamento em que tenha a função Proprietário. Você não pode mover a assinatura para um grupo de gerenciamento em que você é apenas um Colaborador porque perderia a propriedade da assinatura. Se você estiver diretamente atribuído à função Proprietário da assinatura, poderá movê-la para qualquer grupo de gerenciamento em que tenha a função Colaborador.

Importante

O Azure Resource Manager armazena em cache os detalhes da hierarquia do grupo de gerenciamento por até 30 minutos. Como resultado, o portal do Azure pode não mostrar imediatamente que você moveu um grupo de gerenciamento.

Auditoria de grupos de gerenciamento usando logs de atividades

Há suporte para grupos de gerenciamento em logs de atividades do Azure Monitor. Você pode pesquisar todos os eventos que ocorrem para um grupo de gerenciamento no mesmo local central que os outros recursos do Azure. Por exemplo, você pode ver todas as alterações de atribuições de função ou de política feitas em um grupo de gerenciamento específico.

Captura de tela de logs de atividades e operações relacionadas a um grupo de gerenciamento selecionado.

Quando você deseja consultar grupos de gerenciamento fora do portal do Azure, o escopo de destino para grupos de gerenciamento é semelhante a "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Observação

Usando a API REST do Azure Resource Manager, você pode habilitar as configurações de diagnóstico em um grupo de gerenciamento para enviar entradas de log de atividades relacionadas do Azure Monitor para um workspace do Log Analytics, Armazenamento do Azure ou Hubs de Eventos do Azure. Para obter mais informações, consulte Configurações de diagnóstico do grupo de gerenciamento: criar ou atualizar.

Para saber mais sobre grupos de gerenciamento, consulte: