我试图拒绝在根级别创建任何其他管理组。我启用了创建“租户根组”的管理组的功能。
出于治理目的,我在该 MG 下创建了更多 MG,但我不希望用户能够创建自己的。即使没有给他们任何特定的访问权限,看起来他们也可以(尽管对我来说这听起来很奇怪)。我在 IAM 面板中仔细检查过,没有任何具体内容。
Azure 门户中显示的内容是这样的:
Root Tenant Group
|--- ManagementGroup1
|--- ManagementGroup2
|--- etc.
“根租户组”是自动创建的,并且我现在正在尝试锁定,因为我创建了我的结构。
我想使用 Azure Policy,但每当我将其应用于该租户根组时,它都不会阻止创建另一个管理组。实际上,在 ARM 结构中,它们根本不被视为子项,而是被视为独立项。当我运行命令az account management-group show --name MyTenantRootGroup
时,它说“孩子”为空。
不过,我的政策如下:
"if": {
"source":"action",
"equals":"Microsoft.Management/managementGroups/write"
},
"then": {
"effect": "deny"
}
还有其他方法吗?