Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Use grupos de gerenciamento para organizar e controlar suas assinaturas do Azure. À medida que o número de assinaturas aumenta, os grupos de gerenciamento fornecem estrutura crítica ao seu ambiente do Azure e facilitam o gerenciamento de suas assinaturas. Use as diretrizes a seguir para estabelecer uma hierarquia de grupo de gerenciamento eficaz e organizar suas assinaturas de acordo com as práticas recomendadas.
Considerações sobre o design do grupo de gerenciamento
Estruturas de grupo de gerenciamento em um locatário do Microsoft Entra dão suporte ao mapeamento organizacional. Considere sua estrutura de grupo de gerenciamento minuciosamente quando sua organização planeja sua adoção do Azure em escala.
Determine como sua organização separa os serviços que as equipes específicas possuem ou operam.
Determine se você tem funções específicas que precisa manter separadas por motivos como requisitos de negócios, requisitos operacionais, requisitos regulatórios, residência de dados, segurança de dados ou conformidade de soberania de dados.
Use grupos de gerenciamento para agregar atribuições de política e iniciativa por meio do Azure Policy.
Habilite a autorização do RBAC (controle de acesso baseado em função) do Azure para operações de grupo de gerenciamento para substituir a autorização padrão. Por padrão, qualquer entidade de segurança, como uma entidade de de usuário ou entidade de serviço, em um locatário do Microsoft Entra pode criar grupos de gerenciamento. Para obter mais informações, consulte Como proteger sua hierarquia de recursos.
Considere também os seguintes fatores:
Uma árvore de grupos de gerenciamento pode dar suporte a até seis níveis de profundidade. Esse limite não inclui o nível raiz do locatário nem o nível de assinatura.
Todas as novas assinaturas são colocadas no grupo de gerenciamento raiz do locatário por padrão.
Para obter mais informações, consulte Grupos de gerenciamento.
Recomendações do grupo de gerenciamento
Mantenha a hierarquia do grupo de gerenciamento razoavelmente simples, idealmente com no máximo três a quatro níveis. Essa restrição reduz a sobrecarga e a complexidade do gerenciamento.
Não duplique sua estrutura organizacional em uma hierarquia de grupos de gerenciamento profundamente aninhada. Use grupos de gerenciamento para fins de atribuição de políticas em oposição a cobrança e RBAC. Para essa abordagem, use grupos de gerenciamento para a finalidade pretendida na arquitetura conceitual da zona de destino do Azure. Essa arquitetura fornece políticas do Azure para cargas de trabalho que exigem o mesmo tipo de segurança e conformidade no mesmo nível de grupo de gerenciamento.
Não atribua permissões de equipes de aplicativos por meio de RBAC nos escopos do grupo de gerenciamento. Em vez disso, atribua permissões nos escopos individuais da assinatura ou do grupo de recursos aos quais eles exigem acesso. Normalmente, isso é tratado durante o processo de venda de assinaturas. Isso não é recomendado devido a riscos de excesso de permissão e segurança e risco adicional de herança. Em vez disso, use grupos de gerenciamento para atribuir políticas e iniciativas do Azure que se aplicam a todas as assinaturas no grupo de gerenciamento que exigem as mesmas configurações de segurança, governança e conformidade.
- Você pode atribuir permissões por meio do RBAC nos escopos do grupo de gerenciamento, permitindo que as equipes de plataforma tenham acesso fácil a todas as assinaturas para realizar tarefas diárias e solucionar problemas. No entanto, isso deve ser controlado por meio do PIM (privileged identity management) para garantir que as permissões só sejam concedidas quando necessário.
Use marcas de recurso para consultar e navegar horizontalmente pela hierarquia do grupo de gerenciamento. Você pode usar o Azure Policy para impor ou acrescentar marcas de recurso. Em seguida, você pode agrupar recursos para necessidades de pesquisa sem precisar usar uma hierarquia de grupo de gerenciamento complexa.
Crie um grupo de gerenciamento de área restrita para que você possa experimentar imediatamente os recursos antes de movê-los para ambientes de produção. A área restrita fornece isolamento dos ambientes de desenvolvimento, teste e produção.
Crie um grupo de gerenciamento de plataforma no grupo de gerenciamento raiz para dar suporte a políticas comuns de plataforma e atribuições de função do Azure. Essa estrutura de agrupamento garante que você possa aplicar várias políticas às assinaturas em sua fundação do Azure. Essa abordagem também centraliza a cobrança de recursos comuns em um conjunto de assinaturas fundamentais.
Crie grupos de gerenciamento em seu grupo de gerenciamento de zona de destino para representar os tipos de cargas de trabalho que você hospeda. Esses grupos se baseiam nas necessidades de segurança, conformidade, conectividade e recursos das cargas de trabalho. Com essa estrutura de agrupamento, você pode ter um conjunto de políticas do Azure aplicadas no nível do grupo de gerenciamento. Use essa estrutura de agrupamento para todas as cargas de trabalho que exigem as mesmas configurações de segurança, conformidade, conectividade e recursos.
- Use grupos de gerenciamento para organizar assinaturas por tipo de carga de trabalho, como online, corporativo ou área restrita. Essa organização ajuda você a aplicar políticas e funções RBAC específicas ao tipo de carga de trabalho. Para obter mais informações, consulte Personalizar a arquitetura da zona de destino do Azure para atender aos requisitos.
Limite o número de atribuições do Azure Policy no escopo do grupo de gerenciamento raiz. Essa limitação minimiza a depuração de políticas herdadas em grupos de gerenciamento de nível inferior.
Use políticas para impor requisitos de conformidade no grupo de gerenciamento ou no escopo da assinatura para obter a governança orientada por políticas.
Verifique se somente usuários privilegiados podem operar grupos de gerenciamento no locatário. Habilite a autorização do RBAC do Azure nas configurações de hierarquia do grupo de gerenciamento para refinar privilégios de usuário. Por padrão, todos os usuários podem criar seus próprios grupos de gerenciamento no grupo de gerenciamento raiz.
Configure um grupo de gerenciamento dedicado padrão para novas assinaturas. Esse grupo garante que nenhuma assinatura fique no grupo de gerenciamento raiz. Esse grupo é especialmente importante se os usuários tiverem o MSDN (Microsoft Developer Network) ou as assinaturas e benefícios do Visual Studio. Um bom candidato para esse tipo de grupo de gerenciamento é um grupo de gerenciamento de sandbox. Para obter mais informações, consulte Definir um grupo de gerenciamento padrão.
Não crie grupos de gerenciamento para ambientes de produção, teste e desenvolvimento. Se necessário, separe esses grupos em assinaturas diferentes no mesmo grupo de gerenciamento. Para obter mais informações, consulte:
Recomendamos que você use a estrutura padrão do grupo de gerenciamento de zona de destino do Azure para implantações de várias regiões. Não crie grupos de gerenciamento apenas para modelar diferentes regiões do Azure. Não altere nem expanda sua estrutura de grupo administrativo com base no uso de uma região ou várias regiões.
Se você tiver requisitos regulatórios baseados em localização, como residência de dados, segurança de dados ou soberania de dados, deverá criar uma estrutura de grupo de gerenciamento com base no local. Você pode implementar essa estrutura em vários níveis. Para obter mais informações, consulte Modificar uma arquitetura de zona de destino do Azure.
Grupos de gerenciamento na arquitetura da zona de destino do Azure
Veja a seguir a hierarquia do grupo de gerenciamento de arquitetura de zonas de destino do Azure.
| Grupo de gerenciamento | Descrição |
|---|---|
| Grupo intermediário de gerenciamento de base | Esse grupo de gerenciamento está diretamente no grupo raiz do locatário. A organização fornece a esse grupo de gerenciamento um prefixo para que eles não precisem usar o grupo raiz. A organização pode mover assinaturas existentes do Azure para a hierarquia. Essa abordagem também configura cenários futuros. Esse grupo de gerenciamento é pai de todos os outros grupos de gerenciamento criados pelo acelerador de zona de destino do Azure. |
| Plataforma | Esse grupo de gerenciamento contém todos os grupos de gerenciamento filho da plataforma, como gerenciamento, conectividade e identidade. |
| Segurança | Esse grupo de gerenciamento contém uma assinatura dedicada para ferramentas de equipe de segurança/SIEM. Esta assinatura hospeda o Microsoft Sentinel, coletores de syslog e outras ferramentas relacionadas à segurança/SIEM. |
| Gestão | Esse grupo de gerenciamento contém uma assinatura dedicada para gerenciamento, monitoramento e segurança. Essa assinatura hospeda um espaço de trabalho de Logs do Azure Monitor, incluindo soluções associadas. |
| Conectividade | Esse grupo de gerenciamento contém uma assinatura dedicada para conectividade. Essa assinatura hospeda os recursos de rede do Azure, como WAN Virtual do Azure, Firewall do Azure e zonas privadas do DNS do Azure, que a plataforma exige. Você pode usar vários grupos de recursos para conter recursos, como redes virtuais, instâncias de firewall e gateways de rede virtual, que são implantados em regiões diferentes. Algumas implantações grandes podem ter restrições de cota de assinatura para recursos de conectividade. Você pode criar assinaturas dedicadas em cada região para seus recursos de conectividade. |
| Identidade | Este grupo de gerenciamento contém uma assinatura dedicada para identidade. Esta assinatura é um espaço reservado para VMs (máquinas virtuais) do AD DS (Active Directory Domain Services) ou do Microsoft Entra Domain Services. Você pode usar vários grupos de recursos para conter recursos, como redes virtuais e VMs, que são implantados em regiões diferentes. A assinatura também habilita AuthN ou AuthZ para cargas de trabalho nas zonas de destino. Atribua políticas específicas do Azure para proteger e gerenciar os recursos na assinatura de identidade. Algumas implantações grandes podem ter restrições de cota de assinatura para recursos de conectividade. Você pode criar assinaturas dedicadas em cada região para seus recursos de conectividade. |
| Zonas de destino | O grupo de gerenciamento pai que contém todos os grupos de gerenciamento filho da zona de destino. Ele tem políticas do Azure independentes de carga de trabalho atribuídas para garantir que as cargas de trabalho sejam seguras e estejam em conformidade. |
| Online | O grupo de gerenciamento dedicado para zonas de destino online. Esse grupo destina-se a cargas de trabalho que podem exigir conectividade direta de entrada ou saída da Internet ou para cargas de trabalho que podem não exigir uma rede virtual. |
| Corp | O grupo de gerenciamento dedicado para zonas de destino corporativas. Esse grupo destina-se a cargas de trabalho que exigem conectividade ou conectividade híbrida com a rede corporativa por meio do hub na assinatura de conectividade. |
| Sandboxes | O grupo de gerenciamento dedicado para assinaturas. Uma organização usa áreas restritas para teste e exploração. Essas assinaturas são isoladas com segurança das zonas de destino corporativas e online. As áreas restritas também têm um conjunto menos restritivo de políticas atribuídas para habilitar o teste, a exploração e a configuração dos serviços do Azure. |
| Descomissionado | O grupo de gerenciamento dedicado para zonas de destino canceladas. Você move zonas de destino canceladas para esse grupo de gerenciamento e, em seguida, o Azure as exclui após 30 a 60 dias. |
Observação
Para muitas organizações, os grupos padrão Corp e Online de gerenciamento fornecem um ponto de partida ideal.
Algumas organizações precisam adicionar mais grupos de gerenciamento.
Se você quiser alterar a hierarquia do grupo de gerenciamento, consulte Personalizar a arquitetura da zona de destino do Azure para atender aos requisitos.
Próxima etapa
Saiba como usar assinaturas ao planejar uma adoção do Azure em larga escala.