Az - Basic Information

Organization Hierarchy

Management Groups

Ikiwa shirika lako lina michango mingi ya Azure, unaweza kuhitaji njia ya kusimamia ufikiaji, sera, na uzingatiaji kwa ufanisi kwa michango hiyo. Management groups hutoa upeo wa utawala juu ya michango.

Kumbuka kuwa vikundi vya usimamizi 10,000 vinaweza kuungwa mkono katika saraka moja na mti wa kikundi cha usimamizi unaweza kuunga mkono hadi viwango sita vya kina.

Kutoka kwa nyaraka: Kila saraka inapewa kikundi cha usimamizi cha juu kinachoitwa kikundi cha mizizi. Kikundi cha usimamizi cha mizizi kimejengwa katika uongozi ili kuwa na vikundi vyote vya usimamizi na michango kuunganishwa kwake. Kikundi hiki cha usimamizi cha mizizi huruhusu sera za kimataifa na ugawaji wa majukumu ya Azure kutumika katika kiwango cha saraka. Azure AD Global Administrator anahitaji kujipandisha hadi User Access Administrator role ya kikundi hiki cha mizizi mwanzoni. Baada ya kupandisha ufikiaji, msimamizi anaweza kugawa jukumu lolote la Azure kwa watumiaji wengine wa saraka au vikundi kusimamia uongozi. Kama msimamizi, unaweza kugawa akaunti yako mwenyewe kama mmiliki wa kikundi cha mizizi.

Kikundi cha usimamizi cha mizizi hakiwezi kuhamishwa au kufutwa, tofauti na vikundi vingine vya usimamizi.

Vikundi vya usimamizi vinakupa usimamizi wa kiwango cha biashara bila kujali aina ya michango unayoweza kuwa nayo. Hata hivyo, michango yote ndani ya kikundi kimoja cha usimamizi lazima iamini tenant ya Azure Active Directory (Azure AD) sawa.

Azure Subscriptions

Katika Azure, subscription hutumika kama kontena la kimantiki kwa madhumuni ya kuandaa rasilimali za biashara au kiufundi. Kontena hili linadumisha maelezo ya rasilimali kama vile mashine za kawaida (VMs), hifadhidata, miongoni mwa zingine. Baada ya kuunda rasilimali ya Azure, kama VM, subscription inayohusishwa nayo inatajwa. Muundo huu unarahisisha ugawaji wa ufikiaji, kwa kutumia mifumo ya udhibiti wa ufikiaji wa majukumu.

Resource Groups

Kutoka kwa nyaraka: Kikundi cha rasilimali ni kontena kinachoshikilia rasilimali zinazohusiana kwa suluhisho la Azure. Kikundi cha rasilimali kinaweza kujumuisha rasilimali zote za suluhisho, au tu zile rasilimali unazotaka kusimamia kama kikundi. Kwa ujumla, ongeza rasilimali zinazoshiriki mzunguko wa maisha sawa kwenye kikundi kimoja cha rasilimali ili uweze kuzituma, kuzisasisha, na kuzifuta kwa urahisi kama kikundi.

Rasilimali zote lazima ziwe ndani ya kikundi cha rasilimali na zinaweza kuwa tu kwa kikundi kimoja na ikiwa kikundi cha rasilimali kitafutwa, rasilimali zote ndani yake pia zitafutwa.

Administrative Units

Kutoka kwa nyaraka: Vitengo vya utawala vinakuruhusu kugawanya shirika lako katika kitengo chochote unachotaka, na kisha kugawa wasimamizi maalum ambao wanaweza kusimamia tu wanachama wa kitengo hicho. Kwa mfano, unaweza kutumia vitengo vya utawala kugawa ruhusa kwa wasimamizi wa kila shule katika chuo kikuu kikubwa, ili waweze kudhibiti ufikiaji, kusimamia watumiaji, na kuweka sera tu katika Shule ya Uhandisi.

Ni watumiaji, vikundi na vifaa tu vinaweza kuwa wanachama wa kitengo cha utawala.

Kwa hivyo, kitengo cha utawala kitakuwa na baadhi ya wanachama na wakuu wengine watapewa ruhusa juu ya kitengo cha utawala ambacho wanaweza kutumia kusimamia wanachama wa kitengo cha utawala.

Azure vs Azure AD vs Azure AD Domain Services

Ni muhimu kutambua kuwa Azure AD ni huduma ndani ya Azure. Azure ni jukwaa la wingu la Microsoft wakati Azure AD ni huduma ya utambulisho ya biashara ndani ya Azure. Zaidi ya hayo, Azure AD si kama Windows Active Directory, ni huduma ya utambulisho inayofanya kazi kwa njia tofauti kabisa. Ikiwa unataka kuendesha Domain Controller katika Azure kwa mazingira yako ya Windows Active Directory unahitaji kutumia Azure AD Domain Services.

Principals

Azure inasaidia aina tofauti za wakuu:

• User: Mtu wa kawaida mwenye sifa za kuingia.

• Group: Kikundi cha wakuu kinachosimamiwa pamoja. Ruhusa zilizotolewa kwa vikundi hurithiwa na wanachama wake.

• Service Principal/Enterprise Applications: Ni utambulisho ulioundwa kwa matumizi na programu, huduma zilizohifadhiwa, na zana za kiotomatiki kufikia rasilimali za Azure. Ufikiaji huu umezuiliwa na majukumu yaliyotolewa kwa service principal, kukupa udhibiti juu ya rasilimali gani zinaweza kufikiwa na kwa kiwango gani. Kwa sababu za usalama, inashauriwa kila wakati kutumia service principals na zana za kiotomatiki badala ya kuwaruhusu kuingia na utambulisho wa mtumiaji.

Unapounda service principal unaweza kuchagua kati ya uthibitishaji wa nenosiri au uthibitishaji wa cheti.

• Ukichagua nenosiri (kwa chaguo-msingi), hifadhi nenosiri lililotolewa kwani hutaweza kulifikia tena.

• Ukichagua uthibitishaji wa cheti, hakikisha programu itakuwa na ufikiaji wa ufunguo wa kibinafsi.

• Managed Identity (Metadata Creds): Managed identities katika Azure Active Directory hutoa suluhisho kwa kusimamia kiotomatiki utambulisho wa programu. Utambulisho huu hutumiwa na programu kwa madhumuni ya kuunganisha na rasilimali zinazooana na uthibitishaji wa Azure Active Directory (Azure AD). Kwa kutumia managed identities, programu zinaweza kupata tokeni za Azure AD huku zikiweka kando hitaji la kushughulikia sifa moja kwa moja. Kuna aina mbili za managed identities:

• System-assigned. Baadhi ya huduma za Azure zinakuruhusu kuwezesha managed identity moja kwa moja kwenye mfano wa huduma. Unapowezesha system-assigned managed identity, utambulisho unaundwa katika Azure AD. Utambulisho unahusishwa na mzunguko wa maisha wa mfano wa huduma hiyo. Wakati rasilimali inafutwa, Azure inafuta utambulisho kwa ajili yako kiotomatiki. Kwa muundo, ni rasilimali hiyo ya Azure pekee inayoweza kutumia utambulisho huu kuomba tokeni kutoka Azure AD.

• User-assigned. Unaweza pia kuunda managed identity kama rasilimali ya Azure inayojitegemea. Unaweza kuunda user-assigned managed identity na kuigawa kwa moja au zaidi ya mifano ya huduma ya Azure (rasilimali nyingi). Kwa user-assigned managed identities, utambulisho unasimamiwa kando na rasilimali zinazoutumia.

Roles & Permissions

Roles zinatolewa kwa wakuu kwenye upeo: principal -[HAS ROLE]->(scope)

Roles zilizotolewa kwa vikundi hurithiwa na wanachama wote wa kikundi.

Kulingana na upeo ambao jukumu lilitolewa, jukumu linaweza kurithiwa kwa rasilimali nyingine ndani ya kontena la upeo. Kwa mfano, ikiwa mtumiaji A ana jukumu kwenye subscription, atakuwa na jukumu hilo kwenye vikundi vyote vya rasilimali ndani ya subscription na kwenye rasilimali zote ndani ya kikundi cha rasilimali.

Classic Roles

Built-In roles

Kutoka kwa nyaraka: Azure role-based access control (Azure RBAC) ina majukumu kadhaa ya Azure built-in ambayo unaweza kugawa kwa watumiaji, vikundi, service principals, na managed identities. Ugawaji wa majukumu ndio njia unayodhibiti ufikiaji wa rasilimali za Azure. Ikiwa majukumu ya built-in hayakidhi mahitaji maalum ya shirika lako, unaweza kuunda Azure custom roles.

Built-In roles zinatumika tu kwa rasilimali ambazo zinalenga, kwa mfano angalia mifano hii 2 ya Built-In roles juu ya Compute resources:

Majukumu haya yanaweza pia kutolewa juu ya kontena za kimantiki (kama vile management groups, subscriptions na resource groups) na wakuu walioathiriwa watakuwa nayo juu ya rasilimali ndani ya kontena hizo.

• Pata hapa orodha ya majina yote ya Azure built-in.

• Pata hapa orodha ya majina yote ya Azure AD built-in.

Custom Roles

Azure pia inaruhusu kuunda custom roles na ruhusa ambazo mtumiaji anahitaji.

Permission Denied

• Ili mkuu awe na ufikiaji juu ya rasilimali anahitaji ruhusa ya wazi kutolewa kwake (kwa njia yoyote) inayompa ruhusa hiyo.

• Ugawaji wa ruhusa ya wazi ya kukataa unachukua nafasi juu ya jukumu linalotoa ruhusa.

Global Administrator

Watumiaji wenye jukumu la Global Administrator wana uwezo wa 'kupandisha' hadi User Access Administrator Azure role kwa kikundi cha usimamizi cha mizizi. Hii inamaanisha kuwa Global Administrator ataweza kusimamia ufikiaji wa michango yote ya Azure na vikundi vya usimamizi. Kupandisha huku kunaweza kufanywa mwishoni mwa ukurasa: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties

Azure Policies

Sera za Azure ni seti ya sheria na kanuni katika Microsoft Azure, huduma ya kompyuta ya wingu, ambayo husaidia kusimamia na kutekeleza viwango vya shirika na kutathmini uzingatiaji kwa kiwango kikubwa. Sera hizi zinatetea sheria tofauti juu ya rasilimali za Azure, kuhakikisha kuwa rasilimali hizo zinabaki kufuata viwango vya shirika na makubaliano ya kiwango cha huduma.

Sera za Azure ni muhimu kwa utawala wa wingu na usalama, kusaidia kuhakikisha kuwa rasilimali zinatumiwa ipasavyo na kwa ufanisi, na kwamba zinakubaliana na kanuni za nje na sera za ndani. Mifano kadhaa:

1. Kuhakikisha Uzingatiaji na Maeneo Maalum ya Azure: Sera hii inahakikisha kuwa rasilimali zote zinatumwa katika maeneo maalum ya Azure. Kwa mfano, kampuni inaweza kutaka kuhakikisha data yake yote inahifadhiwa Ulaya kwa uzingatiaji wa GDPR.

2. Kutetea Viwango vya Uwekaji Majina: Sera zinaweza kutetea kanuni za uwekaji majina kwa rasilimali za Azure. Hii husaidia katika kupanga na kutambua rasilimali kwa urahisi kulingana na majina yao, ambayo ni muhimu katika mazingira makubwa.

3. Kuzuia Aina Fulani za Rasilimali: Sera hii inaweza kuzuia uundaji wa aina fulani za rasilimali. Kwa mfano, sera inaweza kuwekwa kuzuia uundaji wa aina za rasilimali ghali, kama vile ukubwa fulani wa VM, kudhibiti gharama.

4. Kutetea Sera za Uwekaji Lebo: Lebo ni jozi za thamani muhimu zinazohusishwa na rasilimali za Azure zinazotumiwa kwa usimamizi wa rasilimali. Sera zinaweza kutetea kwamba lebo fulani lazima ziwepo, au ziwe na thamani maalum, kwa rasilimali zote. Hii ni muhimu kwa ufuatiliaji wa gharama, umiliki, au uainishaji wa rasilimali.

5. Kuzuia Ufikiaji wa Umma kwa Rasilimali: Sera zinaweza kutetea kwamba rasilimali fulani, kama vile akaunti za kuhifadhi au hifadhidata, hazina ncha za umma, kuhakikisha kuwa zinapatikana tu ndani ya mtandao wa shirika.

6. Kutetea Kiotomatiki Mipangilio ya Usalama: Sera zinaweza kutumika kutetea kiotomatiki mipangilio ya usalama kwa rasilimali, kama vile kutetea kikundi maalum