Gerencie suas assinaturas do Azure em escala com grupos de gerenciamento
Se a sua organização tiver muitas subscrições, poderá precisar de uma forma de gerir o acesso, as políticas e a conformidade dessas subscrições. Os grupos de gestão do Azure fornecem um nível de âmbito acima das subscrições. Você organiza assinaturas em contêineres chamados grupos de gerenciamento e aplica suas condições de governança aos grupos de gerenciamento. Todas as subscrições num grupo de gestão herdam automaticamente as condições aplicadas ao grupo de gestão.
Os grupos de gerenciamento oferecem gerenciamento de nível empresarial em grande escala, independentemente do tipo de assinatura que você tenha. Para saber mais sobre grupos de gerenciamento, consulte Organizar seus recursos com grupos de gerenciamento do Azure.
Nota
Este artigo fornece passos sobre como eliminar dados pessoais do dispositivo ou serviço e pode ser utilizado para apoiar as suas obrigações ao abrigo do RGPD. Para obter informações gerais sobre o RGPD, consulte a secção RGPD do Centro de Confiança da Microsoft e a secção RGPD do Portal de Confiança do Serviço.
Importante
Os tokens de usuário e o cache do grupo de gerenciamento do Azure Resource Manager duram 30 minutos antes de serem forçados a atualizar. Qualquer ação, como mover um grupo de gerenciamento ou uma assinatura, pode levar até 30 minutos para aparecer. Para ver as atualizações mais cedo, você precisa atualizar seu token atualizando o navegador, entrando e saindo ou solicitando um novo token.
Para as ações do Azure PowerShell neste artigo, lembre-se de que AzManagementGroupos cmdlets relacionados mencionam que -GroupId é um alias do -GroupName parâmetro.
Você pode usar qualquer um deles para fornecer o ID do grupo de gerenciamento como um valor de cadeia de caracteres.
Alterar o nome de um grupo de gestão
Você pode alterar o nome do grupo de gerenciamento usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.
Alterar o nome no portal
Inicie sessão no portal do Azure.
Selecione Todos os grupos de gerenciamento de serviços>.
Selecione o grupo de gerenciamento que você deseja renomear.
Selecione detalhes.
Selecione a opção Renomear grupo na parte superior do painel.
No painel Renomear Grupo, insira o novo nome que você deseja exibir.
Selecione Guardar.
Alterar o nome no Azure PowerShell
Para atualizar o nome para exibição, use Update-AzManagementGroup no Azure PowerShell. Por exemplo, para alterar o nome de exibição de um grupo de gerenciamento de Contoso IT para Contoso Group, execute o seguinte comando:
Update-AzManagementGroup -GroupId 'ContosoIt' -DisplayName 'Contoso Group'
Alterar o nome na CLI do Azure
Para a CLI do Azure, use o update comando:
az account management-group update --name 'Contoso' --display-name 'Contoso Group'
Excluir um grupo de gerenciamento
Para excluir um grupo de gerenciamento, você deve atender aos seguintes requisitos:
Não há grupos de gerenciamento filho ou assinaturas no grupo de gerenciamento. Para mover uma assinatura ou grupo de gerenciamento para outro grupo de gerenciamento, consulte Mover grupos de gerenciamento e assinaturas mais adiante neste artigo.
Você precisa de permissões de gravação no grupo de gerenciamento (Proprietário, Colaborador ou Colaborador do Grupo de Gerenciamento). Para ver quais permissões você tem, selecione o grupo de gerenciamento e, em seguida, selecione IAM. Para saber mais sobre as funções do Azure, consulte O que é o controle de acesso baseado em função do Azure (Azure RBAC)?.
Excluir um grupo de gerenciamento no portal
Inicie sessão no portal do Azure.
Selecione Todos os grupos de gerenciamento de serviços>.
Selecione o grupo de gerenciamento que você deseja excluir.
Selecione detalhes.
Selecione Eliminar.
Gorjeta
Se o botão Excluir não estiver disponível, passar o mouse sobre o botão mostrará o motivo.
Uma caixa de diálogo é aberta e solicita que você confirme que deseja excluir o grupo de gerenciamento.
Selecione Yes (Sim).
Excluir um grupo de gerenciamento no Azure PowerShell
Para excluir um grupo de gerenciamento, use o Remove-AzManagementGroup comando no Azure PowerShell:
Remove-AzManagementGroup -GroupId 'Contoso'
Excluir um grupo de gerenciamento na CLI do Azure
Com a CLI do Azure, use o comando az account management-group delete:
az account management-group delete --name 'Contoso'
Ver grupos de gestão
Você pode exibir qualquer grupo de gerenciamento se tiver uma função direta ou herdada do Azure nele.
Ver grupos de gestão no portal
Inicie sessão no portal do Azure.
Selecione Todos os grupos de gerenciamento de serviços>.
A página para hierarquia do grupo de gerenciamento é exibida. Nesta página, você pode explorar todos os grupos de gerenciamento e assinaturas aos quais você tem acesso. Selecionar o nome do grupo leva você a um nível inferior na hierarquia. A navegação funciona da mesma forma que um explorador de ficheiros.
Para ver os detalhes do grupo de gerenciamento, selecione o link (detalhes) ao lado do título do grupo de gerenciamento. Se esse link não estiver disponível, você não terá permissões para exibir esse grupo de gerenciamento.
Exibir grupos de gerenciamento no Azure PowerShell
Use o Get-AzManagementGroup comando para recuperar todos os grupos. Para obter a lista completa de comandos do PowerShell para grupos de GET gerenciamento, consulte os módulos Az.Resources .
Get-AzManagementGroup
Para obter informações de um único grupo de gerenciamento, use o -GroupId parâmetro:
Get-AzManagementGroup -GroupId 'Contoso'
Para retornar um grupo de gerenciamento específico e todos os níveis da hierarquia sob ele, use os -Expand parâmetros e -Recurse :
PS C:\> $response = Get-AzManagementGroup -GroupId TestGroupParent -Expand -Recurse
PS C:\> $response
Id : /providers/Microsoft.Management/managementGroups/TestGroupParent
Type : /providers/Microsoft.Management/managementGroups
Name : TestGroupParent
TenantId : 00000000-0000-0000-0000-000000000000
DisplayName : TestGroupParent
UpdatedTime : 2/1/2018 11:15:46 AM
UpdatedBy : 00000000-0000-0000-0000-000000000000
ParentId : /providers/Microsoft.Management/managementGroups/00000000-0000-0000-0000-000000000000
ParentName : 00000000-0000-0000-0000-000000000000
ParentDisplayName : 00000000-0000-0000-0000-000000000000
Children : {TestGroup1DisplayName, TestGroup2DisplayName}
PS C:\> $response.Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestGroup1
Name : TestGroup1
DisplayName : TestGroup1DisplayName
Children : {TestRecurseChild}
PS C:\> $response.Children[0].Children[0]
Type : /managementGroup
Id : /providers/Microsoft.Management/managementGroups/TestRecurseChild
Name : TestRecurseChild
DisplayName : TestRecurseChild
Children :
Exibir grupos de gerenciamento na CLI do Azure
Use o list comando para recuperar todos os grupos:
az account management-group list
Para obter informações de um único grupo de gerenciamento, use o show comando:
az account management-group show --name 'Contoso'
Para retornar um grupo de gerenciamento específico e todos os níveis da hierarquia sob ele, use os -Expand parâmetros e -Recurse :
az account management-group show --name 'Contoso' -e -r
Mover grupos de gerenciamento e assinaturas
Um motivo para criar um grupo de gerenciamento é agrupar assinaturas. Somente grupos de gerenciamento e assinaturas podem se tornar filhos de outro grupo de gerenciamento. Uma assinatura que é movida para um grupo de gerenciamento herda todo o acesso de usuário e todas as políticas do grupo de gerenciamento pai.
Você pode mover assinaturas entre grupos de gerenciamento. Uma assinatura pode ter apenas um grupo de gerenciamento pai.
Quando você move um grupo de gerenciamento ou assinatura para ser filho de outro grupo de gerenciamento, três regras precisam ser avaliadas como verdadeiras.
Se você estiver executando a ação de movimentação, precisará de permissão em cada uma das seguintes camadas:
- Subscrição de criança ou grupo de gestão
Microsoft.management/managementgroups/writeMicrosoft.management/managementgroups/subscriptions/write(apenas para subscrições)Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/deleteMicrosoft.Management/register/action
- Grupo de gerenciamento pai alvo
Microsoft.management/managementgroups/write
- Grupo de gerenciamento pai atual
Microsoft.management/managementgroups/write
Há uma exceção: se o destino ou o grupo de gerenciamento pai existente for o grupo de gerenciamento raiz, os requisitos de permissão não se aplicam. Como o grupo de gerenciamento raiz é o ponto de destino padrão para todos os novos grupos de gerenciamento e assinaturas, você não precisa de permissões nele para mover um item.
Se a função Proprietário na assinatura for herdada do grupo de gerenciamento atual, suas metas de movimentação serão limitadas. Pode mover a subscrição apenas para outro grupo de gestão onde tenha a função de Proprietário. Não pode mover a subscrição para um grupo de gestão onde é apenas um Colaborador porque perderia a propriedade da subscrição. Se você estiver diretamente atribuído à função Proprietário da assinatura, poderá movê-la para qualquer grupo de gerenciamento onde tenha a função de Colaborador.
Para ver que permissões tem no portal do Azure, selecione o grupo de gestão e, em seguida, selecione IAM. Para saber mais sobre as funções do Azure, consulte O que é o controle de acesso baseado em função do Azure (Azure RBAC)?.
Adicionar uma subscrição existente a um grupo de gestão no portal
Inicie sessão no portal do Azure.
Selecione Todos os grupos de gerenciamento de serviços>.
Selecione o grupo de gerenciamento que você deseja que seja o pai.
Na parte superior da página, selecione Adicionar assinatura.
Selecione a assinatura na lista com o ID correto.
Selecione Guardar.
Remover uma subscrição de um grupo de gestão no portal
Inicie sessão no portal do Azure.
Selecione Todos os grupos de gerenciamento de serviços>.
Selecione o grupo de gerenciamento que é o pai atual.
Selecione as reticências (
...) no final da linha da subscrição na lista que pretende mover.
Selecione Mover.
No painel Mover , selecione o valor para Nova ID do grupo de gerenciamento pai.
Selecione Guardar.
Mover uma assinatura no Azure PowerShell
Para mover uma assinatura no PowerShell, use o New-AzManagementGroupSubscription comando:
New-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Para remover o link entre a assinatura e o grupo de gerenciamento, use o Remove-AzManagementGroupSubscription comando:
Remove-AzManagementGroupSubscription -GroupId 'Contoso' -SubscriptionId '12345678-1234-1234-1234-123456789012'
Mover uma assinatura na CLI do Azure
Para mover uma assinatura na CLI do Azure, use o add comando:
az account management-group subscription add --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Para remover a assinatura do grupo de gerenciamento, use o subscription remove comando:
az account management-group subscription remove --name 'Contoso' --subscription '12345678-1234-1234-1234-123456789012'
Mover uma assinatura em um modelo ARM
Para mover uma assinatura em um modelo do Azure Resource Manager (modelo ARM), use o seguinte modelo e implante-o no nível do locatário:
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/managementGroupDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"targetMgId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the management group that you want to move the subscription to."
}
},
"subscriptionId": {
"type": "string",
"metadata": {
"description": "Provide the ID of the existing subscription to move."
}
}
},
"resources": [
{
"scope": "/",
"type": "Microsoft.Management/managementGroups/subscriptions",
"apiVersion": "2020-05-01",
"name": "[concat(parameters('targetMgId'), '/', parameters('subscriptionId'))]",
"properties": {
}
}
],
"outputs": {}
}
Ou, use o seguinte arquivo Bicep:
targetScope = 'managementGroup'
@description('Provide the ID of the management group that you want to move the subscription to.')
param targetMgId string
@description('Provide the ID of the existing subscription to move.')
param subscriptionId string
resource subToMG 'Microsoft.Management/managementGroups/subscriptions@2020-05-01' = {
scope: tenant()
name: '${targetMgId}/${subscriptionId}'
}
Mover um grupo de gerenciamento no portal
Inicie sessão no portal do Azure.
Selecione Todos os grupos de gerenciamento de serviços>.
Selecione o grupo de gerenciamento que você deseja que seja o pai.
Na parte superior da página, selecione Adicionar grupo de gerenciamento.
No painel Adicionar grupo de gerenciamento, escolha se deseja usar um grupo de gerenciamento novo ou existente:
- Selecionar Criar novo cria um novo grupo de gerenciamento.
- Selecionar Usar existente apresenta uma lista suspensa de todos os grupos de gerenciamento que você pode mover para esse grupo de gerenciamento.
Selecione Guardar.
Mover um grupo de gerenciamento no Azure PowerShell
Para mover um grupo de gerenciamento para um grupo diferente, use o Update-AzManagementGroup comando no Azure PowerShell:
$parentGroup = Get-AzManagementGroup -GroupId ContosoIT
Update-AzManagementGroup -GroupId 'Contoso' -ParentId $parentGroup.id
Mover um grupo de gerenciamento na CLI do Azure
Para mover um grupo de gerenciamento na CLI do Azure, use o update comando:
az account management-group update --name 'Contoso' --parent ContosoIT
Auditar grupos de gerenciamento usando logs de atividades
Os grupos de gerenciamento têm suporte nos logs de atividades do Azure Monitor. Você pode consultar todos os eventos que acontecem a um grupo de gerenciamento no mesmo local central que outros recursos do Azure. Por exemplo, você pode ver todas as atribuições de função ou alterações de atribuição de política feitas em um grupo de gerenciamento específico.
Quando você deseja consultar grupos de gerenciamento fora do portal do Azure, o escopo de destino para grupos de gerenciamento se parece com "/providers/Microsoft.Management/managementGroups/{yourMgID}".
Grupos de gerenciamento de referência de outros provedores de recursos
Quando você estiver fazendo referência a grupos de gerenciamento de ações de outro provedor de recursos, use o caminho a seguir como escopo. Esse caminho se aplica quando você estiver usando o Azure PowerShell, a CLI do Azure e as APIs REST.
/providers/Microsoft.Management/managementGroups/{yourMgID}
Um exemplo de uso desse caminho é quando você está atribuindo uma nova função a um grupo de gerenciamento no Azure PowerShell:
New-AzRoleAssignment -Scope "/providers/Microsoft.Management/managementGroups/Contoso"
Use o mesmo caminho de escopo para recuperar uma definição de política para um grupo de gerenciamento:
GET https://management.azure.com/providers/Microsoft.Management/managementgroups/MyManagementGroup/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming?api-version=2019-09-01
Conteúdos relacionados
Para saber mais sobre os grupos de gestão, veja: