Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Grupy usług platformy Azure oferują elastyczny sposób organizowania zasobów i zarządzania nimi w subskrypcjach i grupach zasobów równolegle z dowolną istniejącą hierarchią zasobów platformy Azure. Są one idealne w scenariuszach wymagających grupowania krzyżowego, minimalnych uprawnień i agregacji danych między zasobami. Te funkcje umożliwiają zespołom tworzenie dostosowanych kolekcji zasobów, które są zgodne z potrzebami operacyjnymi, organizacyjnymi lub osobowymi. Ten artykuł zawiera omówienie grup usług, scenariuszy ich użycia i ważnych faktów.
Important
Grupy usług platformy Azure są obecnie dostępne w publicznej wersji zapoznawczej. Zobacz dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Kluczowe możliwości
- Wiele hierarchii: grupy usług umożliwiają scenariusze, w których zasoby można grupować w różnych widokach na wiele celów.
- Elastyczne członkostwo: grupy usług umożliwiają grupowanie zasobów z różnych subskrypcji, zapewniając ujednolicony widok i możliwości zarządzania. Umożliwiają one również grupowanie subskrypcji, grup zasobów i zasobów. Te same zasoby można połączyć z wieloma różnymi grupami usług, co umożliwia tworzenie i korzystanie z różnych osób i scenariuszy klientów.
- Zarządzanie niskimi uprawnieniami: grupy usług zostały zaprojektowane tak, aby działały z minimalnymi uprawnieniami, dzięki czemu użytkownicy mogą zarządzać zasobami bez konieczności nadmiernego dostępu.
Przykładowe scenariusze
Klienci mogą tworzyć wiele różnych widoków, które obsługują sposób organizowania zasobów.
Ujednolicony widok zasobów
- Organizacje z wieloma aplikacjami i środowiskami mogą używać grup usług do tworzenia scentralizowanego widoku informacji o zasobach w różnych środowiskach. Zasoby członkowskie lub kontenery zasobów z różnych środowisk w różnych grupach zarządzania lub subskrypcjach mogą być połączone z pojedynczą grupą usług, zapewniając ujednolicony punkt odniesienia dla szczegółów zasobów.
- Ponieważ grupy usług nie dziedziczą uprawnień od swoich członków, klienci mogą stosować zasady najniższych uprawnień w celu przypisania uprawnień do grup usług, które umożliwiają wyświetlanie informacji o zasobach. Ta funkcja umożliwia korzystanie ze scenariuszy, w których dwóch użytkowników może uzyskać dostęp do tej samej grupy usług, ale tylko jeden z nich może zobaczyć niektóre zasoby.
Tworzenie spisu
- Klienci mogą łączyć zasoby z grupami usług, aby uzyskać skonsolidowany widok wszystkich zasobów określonego typu lub funkcji w całym środowisku.
- Różne osoby
- Dzięki Grupom Serwisowym organizacje mają możliwość zarządzania wieloma hierarchiami nad tymi samymi zasobami dla różnych użytkowników i ich indywidualnych widoków. Klienci mogą używać tych samych zasobów, aby być członkami grupy usług obciążeń, grupy usług działów i grupy usług ze wszystkimi zasobami produkcyjnymi.
Jak to działa
Grupy usług platformy Azure to równoległa hierarchia na poziomie dzierżawy, która umożliwia grupowanie zasobów. Rozdzielenie grup zarządzania, subskrypcji i grup zasobów umożliwia wiele razy łączenie grup usług z różnymi zasobami i kontenerami zasobów bez wpływu na istniejące struktury.
Informacje o grupach usług
- Grupa usług jest tworzona w ramach dostawcy zasobów Microsoft.Management.
- Grupy usług umożliwiają samodzielne zagnieżdżanie w celu utworzenia do 10 "poziomów" głębokości grupowania. Zarządzanie zagnieżdżaniem można realizować za pomocą właściwości "nadrzędnej" w zasobie Service Group.
- Przypisania ról w grupie usług można dziedziczyć tylko do podrzędnych grup usług. Nie ma dziedziczenia za pośrednictwem członkostwa w zasobach lub kontenerach zasobów.
- Istnieje limit 2000 członków grupy usług pochodzących z tej samej subskrypcji.
- W oknie podglądu istnieje limit 10 000 grup usług w jednej dzierżawie.
- Grupy usług i identyfikatory członków grupy usług obsługują maksymalnie 250 znaków. Mogą to być znaki alfanumeryczne i specjalne: - _ ( ). ~
- Grupy usług wymagają globalnie unikatowego identyfikatora. Dwa dzierżawcy Microsoft Entra nie mogą mieć Grupy usług z identycznymi identyfikatorami.
- Członkostwo w Grupach Usług jest zarządzane przez "Microsoft.Relationship/ServiceGroupMember" dla żądanego członka (zasobu, grupy zasobów lub subskrypcji) przy wskazaniu żądanej Grupy Usług.
Grupowania usługi Azure Resource Manager
Platforma Azure oferuje szeroką gamę kontenerów zasobów, które umożliwiają naszym klientom zarządzanie zasobami w wielu różnych skalach. Grupy usług to tylko najnowsze z rodziny kontenerów usługi Azure Resource Manager (ARM) używanych do organizowania środowiska.
W tej tabeli przedstawiono podsumowanie różnic między grupami.
Porównanie scenariuszy
| Scenario | Grupa zasobów | Subscription | Grupa zarządzania | Grupa usług | Tags |
|---|---|---|---|---|---|
| Wymagaj dziedziczenia przypisania do zakresu dla każdego zasobu członkowskiego lub podrzędnego. | Supported* | Supported | Supported | Nie jest obsługiwany | Nie jest obsługiwany |
| Konsolidacja zasobów w celu zmniejszenia przypisań ról/przypisań zasad | Supported | Supported | Supported | Nie jest obsługiwany | Nie jest obsługiwany |
| Grupowanie zasobów współdzielonych pomiędzy różnymi zakresami. Ex. Globalne zasoby sieciowe w jednej subskrypcji/grupie zasobów, które są współużytkowane przez wiele aplikacji, które mają własne subskrypcje/grupy zasobów. | Nie jest obsługiwany | Nie jest obsługiwany | Nie jest obsługiwany | Supported | Supported |
| Tworzenie oddzielnych grup, które umożliwiają oddzielne agregacje metryk | Nie jest obsługiwany | Supported | Supported | Supported | Supported** |
| Wymuszanie ograniczeń lub konfiguracji organizacyjnych w całym przedsiębiorstwie obejmujących wiele zasobów. | Supported* | Supported* | Supported* | Nie jest obsługiwany | Supported*** |
*: Gdy zasady są stosowane do zakresu, wymuszanie dotyczy wszystkich członków w zakresie. Na przykład w grupie zasobów dotyczy tylko zasobów w ramach tej grupy.
**: Tagi można stosować w różnych zakresach i są dodawane indywidualnie do zasobów. Usługa Azure Policy ma wbudowane zasady, które mogą ułatwić zarządzanie tagami.
: Tagi platformy Azure mogą być używane jako kryteria w usłudze Azure Policy, aby zastosować zasady do niektórych zasobów. Tagi platformy Azure podlegają ograniczeniom.
Ważne fakty dotyczące grup usług
- Jedna dzierżawa może obsługiwać 10 000 grup usług.
- Drzewo grup usług może obsługiwać maksymalnie 10 poziomów głębokości. Ten limit nie obejmuje poziomu głównego.
- Każda grupa usług może mieć wiele elementów podrzędnych.
- Nazwa/identyfikator pojedynczej grupy usług może mieć maksymalnie 250 znaków.
- Nie ma żadnych limitów liczby członków grup usług, ale istnieje limit 2000 relacji (w tym ServiceGroupMember) w ramach subskrypcji
Główna grupa usług
Grupy usług, podobnie jak grupy zarządzania, mają jedną główną grupę usług, która jest głównym elementem nadrzędnym wszystkich grup usług w tym najemcy. Identyfikator Grupy Usług Głównej jest taki sam jak identyfikator Najemcy.
Grupy usług tworzą główną grupę usług przy pierwszym żądaniu otrzymanym w tenantcie, a użytkownicy nie mogą tworzyć ani aktualizować głównej grupy usług. "/providers/microsoft.management/servicegroups/[tenantId]"
Dostęp do katalogu głównego musi być udzielany użytkownikowi z uprawnieniami "microsoft.authorization/roleassignments/write" na poziomie dzierżawy. Na przykład globalny administrator dzierżawy może rozszerzyć swoje uprawnienia w obrębie dzierżawy, aby uzyskać te dodatkowe uprawnienia. Szczegółowe informacje na temat podnoszenia poziomu dostępu administratora globalnego dzierżawy
Kontrola dostępu oparta na rolach
Istnieją trzy wbudowane definicje ról do obsługi grup usług w wersji zapoznawczej.
Note
Niestandardowe kontrole dostępu oparte na rolach nie są obsługiwane w wersji zapoznawczej.
Administrator grupy usług: Ta wbudowana rola zarządza wszystkimi aspektami grup usług i relacji i jest rolą domyślną nadaną użytkownikom podczas tworzenia grupy usług.
Współautor grupy usług: ta wbudowana rola powinna być podawana użytkownikom, gdy muszą utworzyć cykl życia grupy usług lub zarządzać nim. Ta rola umożliwia wykonywanie wszystkich akcji z wyjątkiem funkcji przypisywania ról.
Czytelnik grupy usług: Ta wbudowana rola zapewnia dostęp tylko do odczytu do informacji o grupie usług i może zostać przypisany do innych zasobów w celu wyświetlenia połączonych relacji.
Każda osoba z prawidłowymi uprawnieniami w dzierżawie może utworzyć grupę usług pod rootem. Użytkownik, który tworzy grupę usług, staje się "administratorem grupy usług". Aby można było edytować grupę usług lub utworzyć grupy usług podrzędnych, użytkownik musi mieć "Kontrybutor grupy usług" w tej grupie usług. Aby dodać członków, użytkownicy muszą mieć "Współautor grupy usług" w grupie usług i Microsoft.Relationship/write w zasobie.