Azure管理群组功能正式上线，整合RBAC、Azure Policy管理更快速

导入公有云的企业，内部使用者众多，个别员工也有不同存取权限，让权限管理、政策设定成为一个挑战。在微软Azure上的管理群组服务中，管理员可以将多个账户汇整至单一管理群组，同时将管理规则套用至该群组的使用者。而近日Azure管理群组功能（Azure management groups）也正式上线了。

除了将多使用者划入单一群体进行管理，管理群组服务也可以结合Azure Policy、RBAC机制，将管理规则套用至该群组。在父管理群组的之下的子管理群组，也会继承上一层群组的管理原则。

这一次Azure管理群组功能正式上线后，其中之一的新功能是让系统管理员只需一次操作，就可以将Azure Policy、RBAC机制套用至多个订阅账户（subscriptions）。微软表示，管理员也可以定义每个群组有相异层级，让多个管理群组架构成一个多层次组织（hierachy）。目前管理群组功能，在单一目录下（driectory），最多可以支援1万个管理群组。为了避免继承规则错乱，每个子群组上只能有单一父管理群组。

微软举例，建立层多层次组织情境，像是限定VM资源只有基础架构管理团队能存取，一次套用资安管理政策、法遵规则，该群组下的子群组成员，都会继承同样的管理原则。或者，系统管理员让单一使用者能存取多项Azure订阅服务，而结合RBAC机制及继承原则，管理员不需要再手动撰写RBAC脚本，透过既有设定规则，系统就能限制该员能存取的资源、服务。该公司认为，利用管理群组功能，系统管理员可以减少规则重复指派的错误。

根据操作权限，目前在管理群组中，微软定义出7种角色，分别是拥有者、参与、读取者、资源原则参与者，以及使用者存取系统管理者等。每个用户按角色分类，会拥有不同存取权限。例如拥有者，拥有搬移、删除、读取等权限，不过为了避免权限设计失衡，该角色没有指派管理政策的权限。

管理员也可以定义每个群组有相异层级，让多个管理群组架构成一个多层次组织（hierachy）。目前管理群组功能，在单一目录下（driectory），最多可以支援1万个管理群组。为了避免继承规则错乱，每个子群组上只能有单一父管理群组 。图片来源：微软

 根据操作权限，目前在管理群组中，微软定义出7种角色，分别是拥有者、参与、读取者、资源原则参与者，以及使用者存取系统管理者等。每个用户按角色分类，会拥有不同存取权限。例如拥有者，拥有搬移、删除、读取等权限。图片来源：微软