Я пытаюсь запретить создание какой-либо дополнительной группы управления на корневом уровне. Я включил возможности групп управления, которые создали «Корневую группу арендатора».
Я создал еще несколько MG для моих целей управления, но я не хочу, чтобы пользователи могли создавать свои собственные. Кажется, что даже без предоставления им какого-либо конкретного доступа они могут (хотя для меня это звучит странно). Я перепроверил в панели IAM, ничего конкретного нет.
На портале Azure отображается следующее:
Root Tenant Group
|--- ManagementGroup1
|--- ManagementGroup2
|--- etc.
«Корневая группа клиентов» - это группа, которая была создана автоматически и которую я пытаюсь заблокировать сейчас, когда я создал свою структуру.
Я хотел использовать политику Azure, но всякий раз, когда я применяю ее к этой корневой группе клиентов, она не препятствует созданию другой группы управления. Собственно, похоже, что в структуре ARM они вообще не считаются дочерними, а как самостоятельные элементы. Когда я запускаю команду az account management-group show --name MyTenantRootGroup
, она говорит, что «children» равно нулю.
Тем не менее, моя политика была следующей:
"if": {
"source":"action",
"equals":"Microsoft.Management/managementGroups/write"
},
"then": {
"effect": "deny"
}
Есть ли другой способ сделать это?