O que são os grupos de gestão do Azure?

Se sua organização tiver muitas assinaturas do Azure, talvez você precise de uma maneira eficiente de gerenciar o acesso, as políticas e a conformidade dessas assinaturas. Os grupos de gerenciamento fornecem um escopo de governança acima das assinaturas. Quando você organiza assinaturas em grupos de gerenciamento, as condições de governança que você aplica cascata por herança a todas as assinaturas associadas.

Os grupos de gerenciamento oferecem gerenciamento de nível empresarial em escala, independentemente do tipo de assinatura que você possa ter. No entanto, todas as assinaturas dentro de um único grupo de gerenciamento devem confiar no mesmo locatário do Microsoft Entra.

Por exemplo, você pode aplicar uma política a um grupo de gerenciamento que limite as regiões disponíveis para a criação de máquinas virtuais (VM). Essa política seria aplicada a todos os grupos de gerenciamento aninhados, assinaturas e recursos para permitir a criação de VMs somente em regiões autorizadas.

Hierarquia de grupos de gestão e de subscrições

Pode criar uma estrutura flexível de grupos de gestão e de subscrições para organizar os seus recursos numa hierarquia para assegurar uma gestão unificada de acesso e política. O seguinte diagrama mostra um exemplo de criação de uma hierarquia de governação com grupos de gestão.

Diagrama de uma hierarquia de grupo de gerenciamento de exemplo.

Diagrama de um grupo de gerenciamento raiz que contém grupos de gerenciamento e assinaturas. Alguns grupos de gerenciamento de filhos possuem grupos de gerenciamento, alguns possuem assinaturas e outros mantêm ambos. Um dos exemplos na hierarquia de exemplo são quatro níveis de grupos de gerenciamento, com todas as assinaturas no nível filho.

Você pode criar uma hierarquia que aplique uma política, por exemplo, que limite os locais de VM para a região Oeste dos EUA no grupo de gerenciamento chamado Corp. Esta política herdará todas as subscrições do Enterprise Agreement (EA) que são descendentes desse grupo de gestão e aplicar-se-á a todas as VMs sob essas subscrições. O proprietário do recurso ou da subscrição não pode alterar esta política de segurança para permitir uma melhor governação.

Nota

Atualmente, não há suporte para grupos de gerenciamento de custos em recursos de gerenciamento de custos para assinaturas do Contrato de Cliente Microsoft (MCA).

Outro cenário em que utilizaria os grupos de gestão seria para fornecer acesso de utilizador a várias subscrições. Ao mover várias assinaturas em um grupo de gerenciamento, você pode criar uma atribuição de função do Azure no grupo de gerenciamento. A função herdará esse acesso a todas as assinaturas. Uma atribuição no grupo de gerenciamento pode permitir que os usuários tenham acesso a tudo o que precisam, em vez de criar scripts de RBAC (controle de acesso baseado em função) do Azure em assinaturas diferentes.

Factos importantes sobre grupos de gestão

  • Um único diretório pode suportar 10.000 grupos de gerenciamento.

  • Uma árvore de grupo de gestão pode suportar até seis níveis de profundidade.

    Este limite não inclui o nível de raiz ou o nível de subscrição.

  • Cada grupo de gestão e subscrição pode suportar apenas um elemento principal.

  • Cada grupo de gestão pode ter muitos subordinados.

  • Todos os grupos de gestão e subscrições estão contidos numa única hierarquia em cada diretório. Para obter mais informações, consulte Fatos importantes sobre o grupo de gerenciamento raiz mais adiante neste artigo.

Grupo de gestão de raiz para cada diretório

Cada diretório tem um único grupo de gerenciamento de nível superior chamado grupo de gerenciamento raiz . O grupo de gerenciamento raiz é incorporado à hierarquia para que todos os grupos de gerenciamento e assinaturas sejam dobrados para ele.

O grupo de gerenciamento raiz permite a aplicação de políticas globais e atribuições de função do Azure no nível de diretório. Inicialmente, o acesso Elevar para gerenciar todas as assinaturas e grupos de gerenciamento do Azure para a função de Administrador de Acesso de Usuário desse grupo raiz. Depois de elevar o acesso, o administrador pode atribuir qualquer função do Azure a outros usuários ou grupos de diretório para gerenciar a hierarquia. Como administrador, você pode atribuir sua conta como o proprietário do grupo de gerenciamento raiz.

Fatos importantes sobre o grupo de gerenciamento raiz

  • Por padrão, o nome de exibição do grupo de gerenciamento raiz é Grupo raiz do locatário e ele se opera como um grupo de gerenciamento. A ID é o mesmo valor que a ID de locatário do Microsoft Entra.
  • Para alterar o nome para exibição, sua conta deve ter a função de Proprietário ou Colaborador no grupo de gerenciamento raiz. Para obter mais informações, consulte Alterar o nome de um grupo de gerenciamento.
  • O grupo de gestão de raiz não pode ser movido nem eliminado, ao contrário de outros grupos de gestão.
  • Todas as assinaturas e grupos de gerenciamento se dobram em um grupo de gerenciamento raiz dentro do diretório.
    • Todos os recursos no diretório ficam associados ao grupo de gestão de raiz para gestão global.
    • As novas assinaturas são automaticamente padronizadas para o grupo de gerenciamento raiz quando são criadas.
  • Todos os clientes do Azure podem ver o grupo de gestão de raiz, mas nem todos os clientes têm acesso para gerir esse mesmo grupo de gestão de raiz.
    • Todos os utilizadores com acesso a uma subscrição podem ver o contexto em que essa subscrição se insere na hierarquia.
    • Ninguém tem acesso padrão ao grupo de gerenciamento raiz. Os Administradores Globais do Microsoft Entra são os únicos usuários que podem se elevar para obter acesso. Depois de terem acesso ao grupo de gerenciamento raiz, eles podem atribuir qualquer função do Azure a outros usuários para gerenciar o grupo.

Importante

Qualquer atribuição de acesso de usuário ou política no grupo de gerenciamento raiz se aplica a todos os recursos dentro do diretório. Devido a esse nível de acesso, todos os clientes devem avaliar a necessidade de ter itens definidos nesse escopo. O acesso do usuário e as atribuições de política devem ser "obrigatórios" somente neste escopo.

Configuração inicial dos grupos de gestão

Quando qualquer usuário começa a usar grupos de gerenciamento, um processo de configuração inicial acontece. O primeiro passo é a criação do grupo de gerenciamento raiz no diretório. Todas as assinaturas existentes no diretório se tornam filhas do grupo de gerenciamento raiz.

Este processo existe para garantir que existe apenas uma hierarquia de grupo de gestão num diretório. A única hierarquia dentro do diretório permite aos clientes administrativos aplicar o acesso global e políticas que os outros clientes não podem ignorar.

Qualquer coisa atribuída na raiz aplica-se a toda a hierarquia. Ou seja, ele se aplica a todos os grupos de gerenciamento, assinaturas, grupos de recursos e recursos dentro desse locatário do Microsoft Entra.

Acesso de grupo de gestão

Os grupos de gerenciamento do Azure dão suporte ao RBAC do Azure para todas as definições de função e acesso a recursos. Os recursos filho que existem na hierarquia herdam essas permissões. Qualquer função do Azure pode ser atribuída a um grupo de gerenciamento que herdará a hierarquia para os recursos.

Por exemplo, você pode atribuir o Colaborador da VM da função do Azure a um grupo de gerenciamento. Essa função não tem nenhuma ação no grupo de gerenciamento, mas herdará para todas as VMs desse grupo de gerenciamento.

A tabela seguinte mostra a lista de funções e as ações suportadas nos grupos de gestão.

Nome da função do Azure Criar Mudar o nome Mover** Delete Atribuir acesso Atribuir política Lida
Proprietário X X X X X X X
Contribuinte X X X X X
Colaborador do Grupo de Gestão* X X X X X
Leitor X
Leitor do Grupo de Gestão* X
Contribuidor de Política de Recursos X
Administrador de Acesso dos Utilizadores X X

*: Essas funções permitem que os usuários executem as ações especificadas somente no escopo do grupo de gerenciamento.

**: As atribuições de função no grupo de gerenciamento raiz não são necessárias para mover uma assinatura ou um grupo de gerenciamento de e para ele.

Para obter detalhes sobre como mover itens dentro da hierarquia, consulte Gerenciar seus recursos com grupos de gerenciamento.

Definição e atribuição de função personalizada do Azure

Você pode definir um grupo de gerenciamento como um escopo atribuível em uma definição de função personalizada do Azure. A função personalizada do Azure estará disponível para atribuição nesse grupo de gerenciamento e em qualquer grupo de gerenciamento, assinatura, grupo de recursos ou recurso sob ele. A função personalizada herdará a hierarquia como qualquer função interna.

Para obter informações sobre as limitações com funções personalizadas e grupos de gerenciamento, consulte Limitações mais adiante neste artigo.

Exemplo de definição

A definição e a criação de uma função personalizada não mudam com a inclusão de grupos de gerenciamento. Use o caminho completo para definir o grupo de gerenciamento: /providers/Microsoft.Management/managementgroups/{_groupId_}.

Use a ID do grupo de gerenciamento e não o nome para exibição do grupo de gerenciamento. Esse erro comum acontece porque ambos são campos personalizados na criação de um grupo de gerenciamento.

...
{
  "Name": "MG Test Custom Role",
  "Id": "id",
  "IsCustom": true,
  "Description": "This role provides members understand custom roles.",
  "Actions": [
    "Microsoft.Management/managementGroups/delete",
    "Microsoft.Management/managementGroups/read",
    "Microsoft.Management/managementGroups/write",
    "Microsoft.Management/managementGroups/subscriptions/delete",
    "Microsoft.Management/managementGroups/subscriptions/write",
    "Microsoft.resources/subscriptions/read",
    "Microsoft.Authorization/policyAssignments/*",
    "Microsoft.Authorization/policyDefinitions/*",
    "Microsoft.Authorization/policySetDefinitions/*",
    "Microsoft.PolicyInsights/*",
    "Microsoft.Authorization/roleAssignments/*",
    "Microsoft.Authorization/roledefinitions/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
        "/providers/microsoft.management/managementGroups/ContosoCorporate"
  ]
}
...

Problemas com a quebra da definição de função e do caminho da hierarquia de atribuição

As definições de função são escopos atribuíveis em qualquer lugar dentro da hierarquia do grupo de gerenciamento. Uma definição de função pode estar em um grupo de gerenciamento pai, enquanto a atribuição de função real existe na assinatura filho. Como há uma relação entre os dois itens, você receberá um erro se tentar separar a atribuição de sua definição.

Por exemplo, considere o exemplo a seguir de uma pequena seção de uma hierarquia.

Diagrama de um subconjunto da hierarquia do grupo de gerenciamento de exemplo.

O diagrama se concentra no grupo de gerenciamento raiz com zonas de aterrissagem filho e grupos de gerenciamento de área restrita. O grupo de gerenciamento para zonas de pouso tem dois grupos de gerenciamento filho chamados Corp e Online, enquanto o grupo de gerenciamento de área restrita tem duas assinaturas filhas.

Suponha que uma função personalizada seja definida no grupo de gerenciamento de área restrita. Essa função personalizada é então atribuída nas duas assinaturas de área restrita.

Se você tentar mover uma dessas assinaturas para ser um filho do grupo de gerenciamento Corp, interromperá o caminho da atribuição de função de assinatura para a definição de função para o grupo de gerenciamento de área restrita. Nesse cenário, você receberá um erro que diz que a movimentação não é permitida porque interromperá essa relação.

Para corrigir esse cenário, você tem estas opções:

  • Remova a atribuição de função da assinatura antes de movê-la para um novo grupo de gerenciamento pai.
  • Adicione a assinatura ao escopo atribuível da definição de função.
  • Altere o escopo atribuível dentro da definição de função. Neste exemplo, você pode atualizar os escopos atribuíveis do grupo de gerenciamento de área restrita para o grupo de gerenciamento raiz para que ambas as ramificações da hierarquia possam alcançar a definição.
  • Crie outra função personalizada definida na outra ramificação. Essa nova função também exige que você altere a função na assinatura.

Limitações

Há limitações para usar funções personalizadas em grupos de gerenciamento:

  • Você pode definir apenas um grupo de gerenciamento nos escopos atribuíveis de uma nova função. Essa limitação está em vigor para reduzir o número de situações em que as definições e atribuições de função são desconectadas. Esse tipo de situação acontece quando uma assinatura ou grupo de gerenciamento com uma atribuição de função é movido para um pai diferente que não tem a definição de função.
  • As funções personalizadas com DataActions não podem ser atribuídas no âmbito do grupo de gestão. Para obter mais informações, consulte Limites de função personalizados.
  • O Azure Resource Manager não valida a existência do grupo de gestão no âmbito atribuível da definição de função. Se houver um erro de digitação ou um ID de grupo de gerenciamento incorreto, a definição de função ainda será criada.

Mover grupos de gestão e subscrições

Para mover um grupo de gerenciamento ou assinatura para ser filho de outro grupo de gerenciamento, você precisa:

  • Permissões de gravação do grupo de gerenciamento e permissões de gravação de atribuição de função na assinatura filho ou no grupo de gerenciamento.
    • Exemplo de função incorporada: Proprietário
  • Acesso de gravação do grupo de gerenciamento no grupo de gerenciamento pai de destino.
    • Exemplo de função incorporada: Proprietário, Colaborador, Colaborador do Grupo de Gestão
  • Acesso de gravação do grupo de gerenciamento no grupo de gerenciamento pai existente.
    • Exemplo de função incorporada: Proprietário, Colaborador, Colaborador do Grupo de Gestão

Há uma exceção: se o destino ou o grupo de gerenciamento pai existente for o grupo de gerenciamento raiz, os requisitos de permissão não se aplicam. Como o grupo de gerenciamento raiz é o ponto de destino padrão para todos os novos grupos de gerenciamento e assinaturas, você não precisa de permissões nele para mover um item.

Se a função Proprietário na assinatura for herdada do grupo de gerenciamento atual, suas metas de movimentação serão limitadas. Pode mover a subscrição apenas para outro grupo de gestão onde tenha a função de Proprietário. Não pode mover a subscrição para um grupo de gestão onde é apenas um Colaborador porque perderia a propriedade da subscrição. Se você estiver diretamente atribuído à função Proprietário da assinatura, poderá movê-la para qualquer grupo de gerenciamento onde tenha a função de Colaborador.

Importante

O Azure Resource Manager armazena em cache detalhes da hierarquia do grupo de gerenciamento por até 30 minutos. Como resultado, o portal do Azure pode não mostrar imediatamente que você moveu um grupo de gerenciamento.

Auditando grupos de gerenciamento usando logs de atividades

Os grupos de gerenciamento têm suporte nos logs de atividades do Azure Monitor. Você pode consultar todos os eventos que acontecem a um grupo de gerenciamento no mesmo local central que outros recursos do Azure. Por exemplo, você pode ver todas as atribuições de função ou alterações de atribuição de política feitas em um grupo de gerenciamento específico.

Captura de ecrã de registos de atividades e operações relacionadas com um grupo de gestão selecionado.

Quando você deseja consultar grupos de gerenciamento fora do portal do Azure, o escopo de destino para grupos de gerenciamento se parece com "/providers/Microsoft.Management/managementGroups/{management-group-id}".

Nota

Usando a API REST do Azure Resource Manager, você pode habilitar as configurações de diagnóstico em um grupo de gerenciamento para enviar entradas relacionadas do log de atividades do Azure Monitor para um espaço de trabalho do Log Analytics, Armazenamento do Azure ou Hubs de Eventos do Azure. Para obter mais informações, consulte Configurações de diagnóstico do grupo de gerenciamento: criar ou atualizar.

Para saber mais sobre os grupos de gestão, veja: