具有已啟用 Azure Arc 的伺服器的雲端原生清查和資源組織

雲端原生清查表示您的所有伺服器都會顯示在一個合併檢視中，而且您可以使用 Azure 的組織工具來排序和管理它們。您可以組織資源、將標籤套用為標籤，以及使用變更追蹤和 Azure Resource Graph 等工具進行即時清查。結果是從 Azure 清晰地檢視「無處不在的伺服器」，並具有彈性的分組來滿足您組織的需求。

Azure 中的資源組織

在 Azure 中管理伺服器清查，首先要了解 Azure 的資源階層，以及它與傳統 Active Directory （AD）組織的比較。在網域環境中，您可能有安全性群組、裝置集合、樹系、網域和 OU （組織單位）來分組伺服器，通常反映商務結構或位置。 Azure 有自己的階層來組織雲端資源，包括本節所述的概念。

Azure 租用戶

租用戶是 Microsoft Entra ID 實體，通常包含組織。您可以將租用戶視為所有 Azure 資源和身分識別的最上層容器，在某些方式上類似於 AD 樹系。這是您的訂用帳戶和使用者所在的信任界限。不過，Microsoft Entra 主要是身分識別存放區，而且不會依 OU 來組織伺服器。相反地，Azure 會使用訂用帳戶、管理群組和資源群組來組織資源。

訂用帳戶和管理群組

Azure 訂用帳戶 是租用戶內的計費和資源容器。例如，您可以針對不同的環境或部門使用個別的訂閱。

可以將多個訂用帳戶分組在 管理群組 下，以套用治理，類似於一起監督 AD 中的多個網域或月臺的方式。管理群組可讓您建立階層，以反映組織的結構，並跨訂用帳戶套用原則或存取控制。您可能會將管理群組視為較高層級的群組（例如整個公司或部門），並將訂用帳戶視為主要部署單位。

資源群組

在 Azure 中，資源群組是最接近資源組織單位（OU）的概念。它是訂用帳戶內的邏輯容器，可以保留相關資源，例如虛擬機器（VM）、已啟用 Arc 的伺服器和儲存體帳戶。

系統管理者可以使用資源群組，依應用程式、環境或位置將伺服器分組，然後在該群組層次指派原則及使用者角色。例如，就像您可能有一個具有委派系統管理員和特定 Active Directory 群組原則物件（GPO）的「HQ-Servers」OU 一樣，您可以有一個具有特定角色指派和 Azure 原則的「HQ-Servers」資源群組。在 Azure 中，伺服器一次只能屬於一個資源群組（類似於 OU 巢狀），但您可以視需要在資源群組之間移動它。

標籤可讓您跨資源群組甚至訂用帳戶靈活地將資源分組和篩選。您可以使用 Azure Resource Graph 查詢來列出或報告具有特定標籤的所有伺服器，類似於在 SCCM 中針對集合執行查詢。此功能提供不受單一階層約束的庫存檢視，這是靜態 OU 群組的優勢。

Azure 服務群組

Azure 服務群組是預覽版中的新概念，允許跨訂用帳戶和資源群組動態分組資源。請將其視為從租用戶中的任何位置建立自訂伺服器（或其他資源）群組，以一起監視或管理。

例如，您可以建立「所有 SQL Server」群組，以彙總多個資源群組的 SQL Server 執行個體，而不包含其他資源類型。服務群組可平行啟用多個階層（一個資源可以屬於多個群組），而不需要變更基礎資源組織。

雖然您無法將 Azure 原則或 Azure 角色型存取控制（Azure RBAC）套用至服務群組，但它們對於相關系統的清查檢視和匯總監視很有用。這些用途類似於您使用 SCCM 裝置集合或 AD 動態群組來監看一組機器的方式。

Azure 變更追蹤和清查

Azure 變更追蹤和清查會持續記錄 Azure VM 和已啟用 Arc 的伺服器上軟體、登錄、服務和檔案中的變更，就像您有永遠開啟的組態管理資料庫（CMDB）和變更稽核器一樣。詳細記錄顯示每部伺服器上安裝了哪些軟體以及何時進行更改，有助於故障排除和合規性。例如，您可以查看服務何時停止、套用更新或變更組態檔。

Azure Resource Graph

Azure Resource Graph 是功能強大的查詢引擎，可讓您使用 Kusto 查詢語言來查詢所有 Azure 資源（包括已啟用 Arc 的伺服器）。例如，您可以執行查詢，以尋找具有特定標籤的特定區域中所有已啟用 Arc 的伺服器，或即時執行 Windows Server 2012 的所有 VM。

隨著環境的擴展，建立自訂查詢的能力變得更加有用，可協助您保持所有伺服器的可見性。而且由於 Azure Arc 會將內部部署伺服器視為 Azure 資源，因此預設會包含這些伺服器，不需要個別的清查系統。

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-08-20