Microsoft Azure Management Groups

Inhaltsverzeichnis

Azure kann schnell unübersichtlich werden – das kann zu einem Risiko für Sicherheit und Kosten werden. Doch es gibt eine simple Möglichkeit, dieses Chaos zu bändigen: Microsoft Azure Management Groups. Das sind Ordner oder Verzeichnisse auf oberster Ebene in Azure, in denen Sie Ihre Abonnements gruppieren können. Durch die Verwendung dieser Gruppierungen schaffen Sie eine logische Struktur und steigern die Kontrolle über Ihre Cloud-Umgebung.

Azure Management Groups sind hierarchische Container auf der höchsten Ebene Ihrer Azure-Umgebung. Mit ihnen können Sie mehrere Azure-Abonnements zusammenfassen und als Einheit verwalten.

Als Organisationswerkzeug bündelt sie Abonnements, so dass Sie Regeln oder Berechtigungen einmalig oben definieren können und diese Regeln dann für alles darunter gelten. In einer großen Azure-Umgebung ist diese Möglichkeit Gold wert, da es Ihnen Transparenz, Konsistenz und Kontrolle bietet.

Einheitliche Regeln für alle Abonnements

Eine Verwaltungsgruppe wirkt wie ein Governance-Dach über Ihren Abonnements. Das bedeutet, dass alle Regeln oder Einstellungen – wie Sicherheitsrichtlinien oder Zugriffskontrollen -, die Sie auf der Ebene der Verwaltungsgruppe anwenden, automatisch auf alle darunter liegenden Abonnements und Ressourcen angewendet werden. Auf diese Weise wird sichergestellt, dass die unternehmensweite Compliance überall durchgesetzt wird, ohne dass die Regeln an 20 verschiedenen Stellen festgelegt werden müssen.

Zentralisierte Zugangsverwaltung

Azure verwendet eine sogenannte rollenbasierte Zugriffskontrolle (RBAC), um zu verwalten, wer was tun darf (z. B. eine Administratorrolle, Leserrolle usw.). Sie können eine RBAC-Rolle auf der Ebene der Verwaltungsgruppe zuweisen, die dann an alle Abonnements in dieser Gruppe weitergegeben wird. Damit erreichen Sie in Summe eine enorme Zeitersparnis, da Sie die Zuweisung nicht für jedes Abonnement wiederholen müssen.

Hierarchie und Vererbung

Sie können einen Baum von Verwaltungsgruppen erstellen, um eine logische Struktur abzubilden. Ganz oben befindet sich eine integrierte Root-Verwaltungsgruppe (Azure erstellt diese für jede Organisation – sie ist der Master-Container, unter dem sich alles befindet). Unterhalb der Root können Sie bis zu 6 Ebenen von Verwaltungsgruppen erstellen. Jede Verwaltungsgruppe bzw. jedes Abonnement kann nur ein übergeordnetes Element in der Baumstruktur haben, d. h. Sie können ein Abonnement nicht gleichzeitig in zwei verschiedenen Gruppen anlegen. Dank dieser Hierarchie können Sie eine Struktur entwerfen, die Ihren Bedürfnissen entspricht.

Wie sollten Sie Ihre Managementgruppen organisieren? Sollte sie das Organigramm Ihres Unternehmens widerspiegeln? Oder sollte sie auf funktionalen Aspekten wie Umgebungen (Prod/Test), Projekttypen oder Compliance-Anforderungen basieren?

Vorteile: Sie können die Richtlinien und den Zugriff auf der Grundlage der Art der Arbeitslast feinabstimmen. So können beispielsweise alle Produktionssysteme (unabhängig von der Abteilung) unter einer Verwaltungsgruppe „Produktion“ mit den strengsten Sicherheitsregeln zusammengefasst werden. Der Schwerpunkt liegt auf der Konsistenz der Umgebung: Jedes Produktionsabonnement hält sich stets an eine bestimmte Grundlinie.

Nachteile: Die Eigentumsgrenzen können verschwimmen. Wenn verschiedene Abteilungen sehr unterschiedliche Anforderungen haben, ist es vielleicht nicht ideal, sie nach Umgebung in einen Topf zu werfen (vielleicht brauchen die Produktionssysteme des Marketings andere Richtlinien als die der Finanzabteilung aufgrund unterschiedlicher gesetzlicher Anforderungen). Sicherlich können Sie das immer noch mit Untergruppen oder granularen Richtlinien regeln, aber das kann sehr komplex werden.

Fazit: Eine funktionale Gruppierung kann vom technischen Standpunkt aus effizient und sauber sein. Sie minimieren den doppelten Verwaltungsaufwand, indem Sie bestimmte Aspekte nur einmal verwalten (z. B. einen Satz von Prod-Regeln). Möglicherweise müssen Sie sich aber zusätzliche Gedanken darüber machen, wie Sie abteilungsspezifische Belange wie Kosten und Verantwortung mit anderen Mitteln (wie Tags oder Berichten) verfolgen.

In der Praxis entscheiden sich viele Organisationen für eine Mischform. Eine gängige Strategie besteht darin, eine Ebene für die wichtigsten Organisationseinheiten zu haben – um die Verantwortlichkeit getrennt zu halten -, aber nicht jede Ebene der Organisation abzubilden. Stattdessen geht man ab einem bestimmten Punkt zur funktionalen Gruppierung über. Oder umgekehrt: Beginnen Sie mit einer funktionalen Aufteilung (Entwicklung/Entwicklung) und haben Sie dann innerhalb jeder Abteilung Untergruppen für die Kostenverfolgung. Das Wichtigste ist, dass Sie sich Gedanken machen:

• Wer muss auf die Ressourcen zugreifen oder sie verwalten?
• Wer muss Kosten- oder Compliance-Berichte sehen?
• Wie unterschiedlich sind die Anforderungen in Ihrer Organisation?

Entscheidend ist, dass Sie planen, bevor Sie umsetzen. Es ist viel einfacher, zu Beginn eine gute Management-Gruppenstruktur zu schaffen, als später eine verworrene Struktur zu reorganisieren. Holen Sie den Input der Beteiligten ein, was sie von der Azure-Verwaltung erwarten. Oft führen diese Diskussionen von selbst zu einer sinnvollen Struktur.