0

我试图拒绝在根级别创建任何其他管理组。我启用了创建“租户根组”的管理组的功能。

出于治理目的,我在该 MG 下创建了更多 MG,但我不希望用户能够创建自己的。即使没有给他们任何特定的访问权限,看起来他们也可以(尽管对我来说这听起来很奇怪)。我在 IAM 面板中仔细检查过,没有任何具体内容。

Azure 门户中显示的内容是这样的:

Root Tenant Group 
  |--- ManagementGroup1
  |--- ManagementGroup2
  |--- etc.

“根租户组”是自动创建的,并且我现在正在尝试锁定,因为我创建了我的结构。

我想使用 Azure Policy,但每当我将其应用于该租户根组时,它都不会阻止创建另一个管理组。实际上,在 ARM 结构中,它们根本不被视为子项,而是被视为独立项。当我运行命令az account management-group show --name MyTenantRootGroup时,它说“孩子”为空。

不过,我的政策如下:

"if": {
    "source":"action",
    "equals":"Microsoft.Management/managementGroups/write"
},
"then": {
    "effect": "deny"
}

还有其他方法吗?

4

1 回答 1

1

由于外部限制,策略无法在管理组级别评估策略。我建议将您的想法提交给我们的UserVoice以获得适当的反馈和考虑。

于 2019-12-12T01:03:50.220 回答