Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os Grupos de Serviços do Azure oferecem uma maneira flexível de organizar e gerenciar recursos entre assinaturas e grupos de recursos, paralelamente a qualquer hierarquia de recursos existente do Azure. Eles são ideais para cenários que exigem agrupamento entre limites, permissões mínimas e agregações de dados entre recursos. Esses recursos capacitam as equipes a criar coleções de recursos personalizadas que se alinham às necessidades operacionais, organizacionais ou baseadas em persona. Este artigo ajuda a fornecer uma visão geral do que são os Grupos de Serviços, os cenários para os quais usá-los e fatos importantes.
Important
O Azure Service Groups está atualmente em visualização pública. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Principais recursos
- Várias hierarquias: os Grupos de Serviços habilitam cenários em que os recursos podem ser agrupados em diferentes modos de exibição para várias finalidades.
- Associação Flexível: os Grupos de Serviços permitem que recursos de assinaturas diferentes sejam agrupados, fornecendo uma exibição unificada e recursos de gerenciamento. Eles também permitem o agrupamento de assinaturas, grupos de recursos e recursos. Os mesmos recursos podem ser conectados a vários grupos de serviços diferentes, permitindo que diferentes personas e cenários de clientes sejam criados e usados.
- Gerenciamento de privilégios baixos: os Grupos de Serviços foram projetados para operar com permissões mínimas, garantindo que os usuários possam gerenciar recursos sem precisar de direitos de acesso excessivos.
Cenários de Exemplo
Os clientes podem criar muitas exibições diferentes que dão suporte à forma como organizam seus recursos.
Exibição unificada de recursos
- Organizações com vários aplicativos e ambientes podem usar Grupos de Serviços para criar uma exibição centralizada das informações de recursos em diferentes ambientes. Os recursos de membro ou contêineres de recursos de vários ambientes em diferentes grupos de gerenciamento ou assinaturas podem ser vinculados a um único Grupo de Serviços, fornecendo um ponto de referência unificado para detalhes do recurso.
- Como os Grupos de Serviços não herdam permissões de seus membros, os clientes podem aplicar princípios de privilégios mínimos para atribuir permissões nos Grupos de Serviços que permitem a exibição de informações de recursos. Essa funcionalidade permite cenários em que dois usuários podem acessar o mesmo Grupo de Serviços, mas apenas um tem permissão para ver determinados recursos.
Criando inventário
- Os clientes podem conectar recursos aos Grupos de Serviços para obter uma exibição consolidada de todos os recursos de um determinado tipo ou função em todo o ambiente.
- Personas variadas
- Com os Grupos de Serviço, as organizações têm a capacidade de gerenciar diversas hierarquias sobre os mesmos recursos para diferentes personas e suas próprias visões individuais. Os clientes podem usar os mesmos recursos para serem membros de um Grupo de Serviços de Carga de Trabalho, um Grupo de Serviços de Departamento e um Grupo de Serviços com todos os recursos de produção.
Como funciona
Os Grupos de Serviços do Azure são uma hierarquia de nível de locatário paralela que permite o agrupamento de recursos. A separação de Grupos de Gerenciamento, Assinaturas e Grupos de Recursos permite que os Grupos de Serviços sejam conectados muitas vezes a diferentes recursos e contêineres de recursos sem afetar as estruturas existentes.
Informações sobre grupos de serviços
- Um Grupo de Serviços é criado no Provedor de Recursos Microsoft.Management.
- Os Grupos de Serviços permitem que o aninhamento automático crie até 10 "níveis" de profundidade de agrupamento. O aninhamento pode ser gerenciado por meio da propriedade "pai" dentro do recurso grupo de serviços.
- As atribuições de funções no Grupo de Serviço podem ser herdadas apenas para os Grupos de Serviço filhos. Não há herança por meio das associações aos recursos ou contêineres de recursos.
- Há um limite de 2.000 membros do grupo de serviços provenientes da mesma assinatura.
- Na janela de visualização, há um limite de 10.000 Grupos de Serviços em um único locatário.
- Os Grupos de Serviços e as IDs de Membro do Grupo de Serviços dão suporte a até 250 caracteres. Eles podem ser caracteres alfanuméricos e especiais: - _ ( ). ~
- Os Grupos de Serviços exigem uma ID global exclusiva. Dois locatários do Microsoft Entra não podem ter um Grupo de Serviços com IDs idênticas.
- A associação aos Grupos de Serviços é gerenciada pelo "Microsoft.Relationship/ServiceGroupMember" no membro desejado (um recurso, grupo de recursos ou assinatura) ao direcionar o Grupo de Serviços desejado.
Agrupamentos do Azure Resource Manager
O Azure oferece uma ampla variedade de contêineres de recursos que permitem que nossos clientes gerenciem recursos em várias escalas diferentes. Os Grupos de Serviços são apenas os mais recentes em uma família de contêineres do ARM (Azure Resource Manager) usados para organizar seu ambiente.
Esta tabela mostra um resumo das diferenças entre os grupos.
Comparação de cenários
| Scenario | Grupo de recursos | Subscription | Grupo de Gerenciamento | Grupo de Serviços | Tags |
|---|---|---|---|---|---|
| Exigir herança da atribuição no escopo para cada recurso membro/descendente | Supported* | Supported | Supported | Sem suporte | Sem suporte |
| Consolidação de recursos para redução de atribuições de função/atribuições de política | Supported | Supported | Supported | Sem suporte | Sem suporte |
| Agrupamento de recursos que são compartilhados entre limites de escopo. Ex. Recursos globais de rede em uma assinatura/grupo de recursos que são compartilhados entre vários aplicativos que têm suas próprias assinaturas/grupos de recursos. | Sem suporte | Sem suporte | Sem suporte | Supported | Supported |
| Criar agrupamentos separados que permitem agregações separadas de métricas | Sem suporte | Supported | Supported | Supported | Supported** |
| Impor restrições corporativas ou configurações organizacionais sobre diversos recursos | Supported* | Supported* | Supported* | Sem suporte | Supported*** |
*: quando uma política é aplicada a um escopo, a imposição é para todos os membros dentro do escopo. Por exemplo, em um Grupo de Recursos, ele só se aplica aos recursos sob ele.
**: As tags podem ser aplicadas abrangendo escopos e são adicionadas individualmente aos recursos. O Azure Policy tem políticas integradas que podem ajudar a gerenciar tags.
Tags do Azure podem ser usadas como critérios no Azure Policy para aplicar políticas a determinados recursos. As marcas do Azure estão sujeitas a limitações.
Fatos importantes sobre grupos de serviços
- Um único locatário pode dar suporte a 10.000 grupos de serviços.
- A árvore do grupo de serviços pode dar suporte a até 10 níveis de profundidade. Esse limite não inclui o nível raiz.
- Cada grupo de serviços pode ter muitos filhos.
- Um único nome/ID do grupo de serviços pode ter até 250 caracteres.
- Não há limites de número de membros de grupos de serviços, mas há um limite de 2.000 relações (incluindo ServiceGroupMember) em uma assinatura
O Grupo de Serviços Root
Os Grupos de Serviços, da mesma forma que os Grupos de Gerenciamento, têm um Grupo de Serviços raiz, que é o principal pai de todos os grupos de serviços nesse locatário. O ID do grupo de serviços raiz é o mesmo que seu ID do locatário.
Os Grupos de Serviços criam o Grupo de Serviços Raiz na primeira solicitação recebida dentro do Locatário e os usuários não podem criar ou atualizar o grupo de serviços raiz. "/providers/microsoft.management/servicegroups/[tenantId]"
O acesso à raiz deve ser concedido por um usuário com permissões "microsoft.authorization/roleassignments/write" no nível do locatário. Por exemplo, o Administrador Global do Locatário pode aumentar seu nível de acesso no sistema do locatário para obter essas permissões. Detalhes sobre como elevar os acessos de administrador global do locatário
Controles de acesso baseados em função
Há três definições de funções internas para dar suporte a Grupos de Serviços na versão prévia.
Note
Não há suporte para controles de acesso baseados em função personalizados durante a versão prévia.
Administrador do Grupo de Serviços: essa função interna gerencia todos os aspectos de Grupos de Serviços e Relações e é a função padrão fornecida aos usuários ao criar um Grupo de Serviços.
Colaborador do Grupo de Serviços: essa função interna deve ser fornecida aos usuários quando eles precisarem criar ou gerenciar o ciclo de vida de um Grupo de Serviços. Essa função permite todas as ações, exceto as ações de Atribuição de Função.
Leitor de Grupo de Serviços: essa função interna fornece acesso somente leitura às informações do grupo de serviços e pode ser atribuída a outros recursos para exibir as relações conectadas.
Qualquer pessoa com permissões válidas dentro do locatário pode criar um grupo de serviços na raiz. O usuário que cria o grupo de serviços se torna o "Administrador do Grupo de Serviços". Para editar o grupo de serviços ou criar grupos de serviços filho, um usuário deve ter a função "Colaborador do Grupo de Serviços" no respectivo grupo de serviços. Para adicionar membros, os usuários devem ter 'Colaborador do Grupo de Serviços' no grupo de serviços e Microsoft.Relationship/write no recurso.