问题标签 [azure-management-groups]

我正在尝试在 Azure 的管理级别管理策略。我找到了一个创建管理组、设置策略并将策略分配给管理组的模板。问题是当我用它创建一个管理组时，我无法用“terraform destroy”进行破坏。所以现在我想编写一个引用现有管理组的代码并设置新的策略和分配。

这是我找到的代码。

天蓝色

我的帐户中有两个 AAD（Azure Active Directory）。

第一个 AAD 中的实体：['Tenant Root Group', 'group A', 'subGroup B', 'Microsoft Partner Network', 'subscription 2']

第二个 AAD 中的实体：['Tenant Root Group', 'subscription 3']

Python

我正在尝试使用 python azure SDK 来获取management groups和subscriptionsper directory.

下面的代码可以列出第一个目录中的实体，但第二个目录中的其他实体没有按我的预期列出。

有谁知道如何获取两个目录中的所有实体？

代码

输出

['Group A', 'subGroup B', 'subGroup C', 'subscription 1', 'subscription 2']

如何通过 ARM 模板在管理组下移动订阅？这应该可以通过以下资源提供程序实现：Microsoft.Management managementGroups/subscriptions 模板参考

我尝试以两种方式定义订阅子资源，但两种部署都失败并出现相同的错误：'error': {'code': 'InternalServerError', 'message': "(...) 500 - Internal server error. There is a problem with the resource you are looking for, and it cannot be displayed. (...)" } }.

选项1：

选项 2：

我们希望强制所有 Azure 访问分配通过我们的管理组而不是订阅级别。基本上，我们不希望能够为每个订阅分配访问权限，并且希望阻止该功能。这样，我们被迫改为在管理组级别授予访问权限。

有没有办法做到这一点，也许通过某种方式的政策？

感谢您的帮助！

我想确认在 MG 级别的 arm 模板部署期间无法动态获取管理组 id 的值。

我的意思是类似于 ARM 模板函数subscription()，它返回一个具有可在模板中使用的Id属性的对象。

我知道没有managementGroup()函数，但我想知道是否有任何其他技巧可以避免向模板添加参数。

我们正在考虑将 Azure 订阅转移到一个新的管理组下，我只是想看看对订阅上运行的工作负载是否有任何影响？订阅已经在一个管理组下，但是我们将它移动到一个新的管理组，这不会与当前管理组在同一个分支下，我需要将一些策略复制到新的管理组，但是这些政策限制了权限。

相当肯定这不会影响订阅中运行的任何工作负载，但只是想确认并确保我没有遗漏任何东西。

提前致谢 ：）

我想将 Azure 的内置策略之一分配给使用 Terraform 的管理组。我面临的问题是，虽然通过将范围正确设置为订阅 ID 或资源组或要应用策略的特定资源，可以相当轻松地使用 Terraform 分配策略，但将其更改为管理组会导致一个错误。我认为，这是因为策略定义位置需要是管理组，所以我们可以使azurerm_policy_assignment的范围等于所需的管理组。我能否就此获得一些帮助，以便如何定义策略，定义位置是 Terraform 中管理组的位置？例如，我尝试在资源 azurerm_policy_definition块在策略分配块之前，但我在那里得到“范围”是一个意想不到的关键字。设置“位置”也不起作用。

我还将分享我当前的解决方法。

由于我面临的问题，我目前正在做的是从门户复制策略的定义，将“定义位置”更改为等于管理组 ID，然后传递新策略在我的后续 Terraform 代码中将定义 id 和范围作为管理组，现在该策略已在管理组的相关位置定义，现在可以使用。

但我想取消这种手动干预，并打算仅使用 Terraform 脚本来完成它。作为该领域的新手，有没有办法可以将策略分配给 Terraform 中的特定管理组，首先在同一范围内适当地定义它，以免导致任何错误？

或者，我的问题也可以解释为如何仅使用 Terraform 脚本将 Azure 策略分配给特定的管理组范围（可以假设，管理组也将使用 Terraform 创建，尽管该部分已处理）。

如何在整个 Azure 管理组上运行 powershell 脚本以跨越多个订阅？我需要从多个订阅中导出资源清单，并在同一个文件中运行一次。

我正在做 AZ104 练习 Lab2 （链接在这里），我在清理资源第 9 步，它说将“az104-02-mg1”管理组下的订阅移动到其父级“租户根组” .

这是什么 - 如果我是对的？- 是管理组的当前层次结构 - 父管理组是“租户根组”，子管理组是“az104-02-mg1”管理组 - 如您所见，它与“Azure 订阅 1”相关联订阅。然后我单击了“Azure 订阅 1”右侧的省略号（即三个点），它显示了“移动”选项（见下面的屏幕截图）。

单击“移动”文本会显示一个新的侧边栏面板，其中显示“默认为我们的租户根组的新父管理组，这正是我们要将订阅移动到的位置。

我单击“保存”按钮来处理请求，期望操作成功。相反，我得到了这个错误。

我难住了。我使用我的主帐户登录来执行此操作。但以防万一，我想向你们展示订阅访问控制 (IAM) 页面的“角色分配”。截屏。它最初只显示“用户访问管理员”角色，我无法移动订阅，因此我将“所有者”添加到我的主账户的订阅 IAM 角色中。但它仍然无法正常工作。

我会错过什么？非常感谢 Azure 社区的帮助！

更新：我才注意到这一点很晚。为什么下图显示“父管理组”为az104-02-mg1？如果您回顾从顶部开始的第一个屏幕截图，我假设上面的第一个屏幕截图显示了管理组层次结构，其中“租户根组”是父管理组，“az104-02-mg1”是子管理组，我我对吗？还是我读错了第一个屏幕截图？

更新 2：如果我正确阅读了第一个屏幕截图作为管理组层次结构，这是我的下一个问题。我看到了与我的问题相关的以下 Azure 文档 - 红色框中的文本表示如果“现有父管理组是根管理组，则不需要权限” - 这不应该适用于我上面的情况吗？

很抱歉这个基本主题，但我对 azure 管理组和策略感到很困惑。

我有一个production订阅，我想拒绝所有手动创建资源，只允许将资源创建为代码。

这意味着，如果我尝试从门户创建或更改资源，则会出现错误，但如果我想使用 terraform 或二头肌创建资源，则能够使用终端执行此操作。

所以我做了什么，在我Management Groups的添加了一个子组并分配了订阅。在子组上，我创建了拒绝Microsoft.*以下所有内容的策略：

这工作得很好，但是我如何仍然能够使用终端创建具有 terraform 或二头肌的资源？或者也许有人可以建议我如何解决这个问题的更好方法？

非常感谢