拒绝在根级别创建新的管理组
Deny the creation of a new management group at root level
我试图拒绝在根级别创建任何其他管理组。我启用了创建 "Tenant Root Group" 的管理组的功能。
出于管理目的,我在该 MG 下创建了更多 MG,但我不希望用户能够创建他们自己的 MG。即使没有给他们任何特定的访问权限,看起来他们也可以(尽管这对我来说听起来很奇怪)。我在 IAM 面板中仔细检查过,没有任何具体内容。
Azure 门户中显示的内容是这样的:
Root Tenant Group
|--- ManagementGroup1
|--- ManagementGroup2
|--- etc.
"Root Tenant Group" 是自动创建的,我在创建结构后试图锁定它。
我想使用 Azure Policy,但每当我将它应用于该租户根组时,它都不会阻止创建另一个管理组。实际上在 ARM 结构中,它们根本不被视为子项,而是独立的项。当我 运行 命令 az account management-group show --name MyTenantRootGroup
它说 "children" 是空的。
不过,我的政策如下:
"if": {
"source":"action",
"equals":"Microsoft.Management/managementGroups/write"
},
"then": {
"effect": "deny"
}
还有其他方法吗?
由于外部限制,策略无法在管理组级别评估策略。我建议将您的想法提交给我们的 UserVoice,以获得适当的反馈和考虑。
我试图拒绝在根级别创建任何其他管理组。我启用了创建 "Tenant Root Group" 的管理组的功能。
出于管理目的,我在该 MG 下创建了更多 MG,但我不希望用户能够创建他们自己的 MG。即使没有给他们任何特定的访问权限,看起来他们也可以(尽管这对我来说听起来很奇怪)。我在 IAM 面板中仔细检查过,没有任何具体内容。
Azure 门户中显示的内容是这样的:
Root Tenant Group
|--- ManagementGroup1
|--- ManagementGroup2
|--- etc.
"Root Tenant Group" 是自动创建的,我在创建结构后试图锁定它。
我想使用 Azure Policy,但每当我将它应用于该租户根组时,它都不会阻止创建另一个管理组。实际上在 ARM 结构中,它们根本不被视为子项,而是独立的项。当我 运行 命令 az account management-group show --name MyTenantRootGroup
它说 "children" 是空的。
不过,我的政策如下:
"if": {
"source":"action",
"equals":"Microsoft.Management/managementGroups/write"
},
"then": {
"effect": "deny"
}
还有其他方法吗?
由于外部限制,策略无法在管理组级别评估策略。我建议将您的想法提交给我们的 UserVoice,以获得适当的反馈和考虑。