💼 Management Samenvatting
Management Groepen bieden een logische groepering van Azure-abonnementen voor beleidstoewijzingen, op rollen gebaseerd toegangsbeheer en facturering op schaal binnen grote Azure-organisaties. Deze hiërarchische structuur vormt de fundamentele bouwsteen voor enterprise governance in Microsoft Azure en stelt organisaties in staat om consistente beveiligings- en compliance-beleidsregels centraal te beheren en automatisch toe te passen op honderden of zelfs duizenden abonnementen.
Aanbeveling
IMPLEMENTEER VOOR ENTERPRISE (10+ ABONNEMENTEN)
Risico zonder
Low
Risk Score
3/10
Implementatie
12u (tech: 8u)
Van toepassing op:
✓ Azure Tenant
Zonder Management Groepen ontstaan er aanzienlijke uitdagingen bij het schalen van Azure-governance. Organisaties moeten beleidstoewijzingen handmatig per abonnement configureren, wat een ware nachtmerrie wordt bij meer dan honderd abonnementen. Er is geen hiërarchische governance-structuur mogelijk, wat resulteert in inconsistente beveiligingsconfiguraties over verschillende omgevingen heen. Op rollen gebaseerd toegangsbeheer moet per abonnement worden ingesteld, wat tot complexe en moeilijk te onderhouden toegangsmatrixen leidt. Factureringstoewijzing wordt bemoeilijkt omdat kosten niet logisch kunnen worden gegroepeerd per bedrijfsonderdeel of omgeving. Compliance-afdwinging blijft volledig handmatig, wat foutgevoelig is en veel tijd kost bij audits. Met Management Groepen worden al deze problemen opgelost. Een enkele beleidstoewijzing op het niveau van een Management Group wordt automatisch toegepast op alle onderliggende child-abonnementen, waardoor configuratie-inspanning drastisch wordt verminderd. Hiërarchisch op rollen gebaseerd toegangsbeheer zorgt ervoor dat toegangsrechten automatisch worden overgenomen door onderliggende niveaus, waardoor toegangsbeheer centraal en consistent blijft. Automatische hiërarchische overerving zorgt ervoor dat alle configuraties, beleidsregels en tags van bovenliggende Management Groups automatisch worden toegepast op onderliggende niveaus. Een gecentraliseerd compliance-dashboard geeft real-time inzicht in de nalevingsstatus over alle abonnementen heen. De schaalbaarheid is indrukwekkend: een enkele Management Group hiërarchie kan tot tienduizend abonnementen omvatten. Een praktisch voorbeeld illustreert de kracht van deze aanpak: wanneer een organisatie het Azure Security Benchmark-beleid toewijst aan de 'Productie' Management Group, wordt dit beleid automatisch toegepast op alle vijftig productie-abonnementen die onder deze Management Group vallen. Zonder Management Groups zou deze configuratie vijftig keer handmatig moeten worden uitgevoerd, met alle risico's op fouten en inconsistenties van dien.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Resources
Implementatie
De ontwerpstructuur van Management Groups volgt een logische hiërarchie die de organisatiestructuur weerspiegelt. Op het rootniveau staat de organisatienaam, wat de top van de hiërarchie vormt. Op het tweede niveau worden bedrijfsonderdelen geplaatst, zoals Productie, Financiën en Informatietechnologie, waardoor logische scheidingen ontstaan tussen verschillende afdelingen of business units. Het derde niveau bevat omgevingen zoals Productie, Niet-Productie en Ontwikkeling, waardoor een duidelijke scheiding wordt aangebracht tussen verschillende fasen in de applicatielifecycle. Abonnementen vormen de leaf nodes van de hiërarchie, waar de daadwerkelijke Azure-resources worden geplaatst. Het overervingsmechanisme vormt het hart van de Management Group functionaliteit. Beleidsregels die worden toegewezen op het niveau van een Management Group worden automatisch overgenomen door alle onderliggende child Management Groups en abonnementen. Dit betekent dat een centrale security officer een beleidsregel eenmaal configureert en deze automatisch effectief is op honderden abonnementen. Op rollen gebaseerd toegangsbeheer dat wordt geconfigureerd op Management Group niveau wordt eveneens naar beneden overgenomen, waardoor gecentraliseerd toegangsbeheer mogelijk wordt zonder dat per abonnement individuele rollen moeten worden toegewezen. Tags die worden toegepast op Management Group niveau worden eveneens automatisch doorgegeven aan alle onderliggende resources. Best practices voor Management Group implementatie zijn essentieel om de hiërarchie beheersbaar te houden. Een maximum van zes niveaus diep wordt aanbevolen om complexiteit te voorkomen en de overzichtelijkheid te waarborgen. Elke Azure-abonnement moet zich in precies één Management Group bevinden, waardoor dubbele toewijzingen en conflicterende beleidsregels worden voorkomen. Abonnementen mogen niet zonder goedkeuring tussen Management Groups worden verplaatst, omdat dit ongewenste effecten kan hebben op toegepaste beleidsregels en toegangsrechten. Duidelijke naamgevingsconventies zijn cruciaal voor onderhoudbaarheid en auditbaarheid, waarbij namen duidelijk moeten aangeven welk bedrijfsonderdeel en welke omgeving worden vertegenwoordigd.
Implementatie
Gebruik PowerShell-script management-groups-hierarchy.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van een Management Group hiërarchie begint met het ontwerpen van de hiërarchische structuur die de organisatiestructuur weerspiegelt. De ideale hiërarchie volgt het patroon Organisatie → Bedrijfsonderdeel → Omgeving → Abonnementen, waarbij elk niveau een duidelijke functie en bevoegdheid heeft. Deze structuur zorgt ervoor dat governance-maatregelen logisch kunnen worden toegepast en dat resources eenvoudig kunnen worden georganiseerd volgens bedrijfslogica. Management Groepen kunnen worden aangemaakt via de Azure Portal, Azure Resource Manager templates of PowerShell-cmdlets. De Azure Portal biedt een gebruiksvriendelijke interface voor het visueel ontwerpen van de hiërarchie, terwijl ARM-templates en PowerShell geschikt zijn voor geautomatiseerde implementatie en herhaalbaarheid. Bij het aanmaken van Management Groups is het essentieel om duidelijke en beschrijvende namen te gebruiken die direct aangeven welk bedrijfsonderdeel of welke omgeving wordt vertegenwoordigd. Eenmaal de hiërarchische structuur is aangemaakt, moeten bestaande abonnementen worden verplaatst naar de juiste Management Groups. Deze verplaatsing moet zorgvuldig worden uitgevoerd omdat het invloed heeft op alle toegepaste beleidsregels en toegangsrechten. Het is aan te raden om eerst een testabonnement te verplaatsen om de effecten te verifiëren voordat alle productie-abonnementen worden gemigreerd. Beleidsregels worden toegewezen op Management Group niveau, waardoor ze automatisch worden toegepast op alle onderliggende resources. Een praktisch voorbeeld is het toewijzen van het Azure Security Benchmark-beleid op het niveau van de Productie Management Group, waardoor alle productie-abonnementen automatisch worden beschermd met dezelfde beveiligingsstandaarden. Deze aanpak elimineert de noodzaak om beleidsregels per abonnement te configureren en zorgt voor consistentie over de gehele organisatie. Op rollen gebaseerd toegangsbeheer wordt eveneens geconfigureerd op Management Group niveau voor gecentraliseerd toegangsbeheer. Wanneer een rol wordt toegewezen op Management Group niveau, wordt deze automatisch overgenomen door alle onderliggende Management Groups en abonnementen. Dit stelt organisaties in staat om toegangsrechten centraal te beheren zonder dat per abonnement individuele roltoewijzingen nodig zijn. De overervingsfunctionaliteit wordt automatisch ingeschakeld wanneer Management Groups worden gebruikt. Alle configuraties, beleidsregels, roltoewijzingen en tags van bovenliggende Management Groups worden automatisch doorgegeven aan onderliggende niveaus. Deze automatische overerving is het fundament van de schaalbaarheid en beheersbaarheid van Azure-governance via Management Groups. Het documenteren van Management Group doeleinden in de weergavenamen is essentieel voor onderhoudbaarheid en auditbaarheid. Duidelijke namen maken het voor administrators en auditors eenvoudig om te begrijpen welke functie elke Management Group vervult in de organisatiestructuur. Het is aan te raden om namen te gebruiken zoals 'Contoso-Production' of 'Contoso-IT-Development' in plaats van generieke namen zoals 'MG1' of 'MG2'. De diepte van de Management Group hiërarchie moet worden beperkt tot maximaal zes niveaus om complexiteit te voorkomen. Diepere hiërarchieën worden moeilijk te onderhouden en te begrijpen, wat kan leiden tot fouten in configuratie en governance. Een goed ontworpen hiërarchie met drie tot vier niveaus is meestal voldoende voor de meeste organisaties en biedt de juiste balans tussen flexibiliteit en beheersbaarheid.
Monitoring
Gebruik PowerShell-script management-groups-hierarchy.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van Management Groups en hun hiërarchische structuur is essentieel om te verzekeren dat governance-maatregelen effectief blijven en dat de organisatie voldoet aan compliance-vereisten. Het Azure Policy compliance-dashboard biedt een gecentraliseerd overzicht van de nalevingsstatus voor alle beleidsregels die zijn toegewezen op Management Group niveau. Dit dashboard maakt het mogelijk om per Management Group te volgen welke abonnementen voldoen aan de toegewezen beleidsregels en welke aandacht vereisen. De compliance-status wordt real-time bijgewerkt wanneer resources worden aangemaakt, gewijzigd of verwijderd, waardoor security officers direct inzicht krijgen in de actuele beveiligingspositie van de organisatie. Het monitoren van abonnementbewegingen binnen de Management Group hiërarchie is cruciaal om ongeautoriseerde of onbedoelde wijzigingen te detecteren. Wanneer een abonnement wordt verplaatst tussen Management Groups, heeft dit directe gevolgen voor alle toegepaste beleidsregels, roltoewijzingen en tags. Azure Activity Logs registreren alle bewegingen van abonnementen tussen Management Groups, inclusief wie de wijziging heeft uitgevoerd en wanneer deze heeft plaatsgevonden. Regelmatige monitoring van deze logs maakt het mogelijk om afwijkingen te detecteren en indien nodig corrigerende maatregelen te nemen. Het auditen van op rollen gebaseerd toegangsbeheer op Management Group niveau is essentieel om te verzekeren dat toegangsrechten correct zijn geconfigureerd en dat het principe van least privilege wordt nageleefd. Azure biedt uitgebreide auditmogelijkheden om roltoewijzingen te monitoren en te rapporteren. Het is aan te raden om regelmatig te controleren welke rollen zijn toegewezen op elk Management Group niveau en te verifiëren dat deze toewijzingen nog steeds noodzakelijk en gerechtvaardigd zijn. Excessieve roltoewijzingen kunnen leiden tot onnodige beveiligingsrisico's en moeten worden geïdentificeerd en gecorrigeerd. Een kwartaalreview van de Management Group hiërarchie is een best practice die zorgt voor continue optimalisatie en aanpassing aan veranderende organisatiebehoeften. Tijdens deze reviews moeten verschillende aspecten worden geëvalueerd: of de hiërarchische structuur nog steeds de organisatiestructuur weerspiegelt, of alle abonnementen zich in de juiste Management Groups bevinden, of toegewezen beleidsregels nog steeds relevant zijn, en of de naamgevingsconventies consistent worden toegepast. Deze periodieke evaluaties helpen organisaties om hun Azure-governance effectief en efficiënt te houden en maken het mogelijk om tijdig aanpassingen te maken wanneer de organisatie structuur verandert.
Compliance en Auditing
De implementatie van Management Groups en hiërarchische governance draagt significant bij aan het voldoen aan verschillende internationale en nationale compliance-standaarden die van toepassing zijn op Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige gegevens. De ISO 27001 standaard voor informatiebeveiligingsmanagementsystemen vereist in controle A.5.1.1 dat organisaties beleidsregels voor informatiebeveiliging moeten vaststellen en onderhouden. Management Groups faciliteren deze vereiste door het mogelijk te maken om beveiligingsbeleidsregels centraal te definiëren en automatisch toe te passen op alle relevante resources binnen de organisatie. De hiërarchische structuur zorgt ervoor dat beleidsregels consistent worden toegepast over verschillende bedrijfsonderdelen en omgevingen heen, wat essentieel is voor het behalen en behouden van ISO 27001 certificering. De automatische overerving van beleidsregels via de Management Group hiërarchie elimineert het risico op inconsistente implementatie en zorgt voor volledige traceerbaarheid van beleidstoepassingen, wat cruciaal is tijdens externe audits. De CIS Azure Benchmark, ontwikkeld door het Center for Internet Security, bevat organisatorische controles die vereisen dat cloud-omgevingen worden beheerd via gecentraliseerde governance-mechanismen. Management Groups zijn specifiek ontworpen om te voldoen aan deze vereisten door het mogelijk te maken om beveiligingscontroles centraal te implementeren en te monitoren. De CIS Azure Benchmark adviseert expliciet het gebruik van Management Groups voor het organiseren van Azure-abonnementen en het toepassen van beveiligingsbeleidsregels op organisatorisch niveau. De hiërarchische structuur maakt het mogelijk om CIS-aanbevelingen systematisch toe te passen over alle abonnementen heen, waardoor de algehele beveiligingspositie van de organisatie wordt verbeterd. De Baseline Informatiebeveiliging Overheid, ofwel BIO, is de Nederlandse standaard voor informatiebeveiliging binnen de overheid. Thema 05.01 van de BIO vereist dat organisaties een duidelijk en gedocumenteerd beveiligingsbeleid hebben dat wordt toegepast op alle informatiesystemen. Management Groups ondersteunen deze vereiste door het mogelijk te maken om beveiligingsbeleidsregels te definiëren op organisatorisch niveau en deze automatisch door te voeren naar alle onderliggende resources. Voor Nederlandse overheidsorganisaties is het gebruik van Management Groups daarom niet alleen een best practice, maar ook een praktische manier om te voldoen aan BIO-vereisten. De hiërarchische structuur maakt het mogelijk om beleidsregels toe te spitsen op specifieke bedrijfsonderdelen of omgevingen terwijl consistentie wordt gewaarborgd op organisatieniveau, wat essentieel is voor het behalen van BIO-compliance.
Remediatie
Gebruik PowerShell-script management-groups-hierarchy.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer een organisatie ontdekt dat de Management Group hiërarchie niet correct is geconfigureerd of dat abonnementen zich niet in de juiste Management Groups bevinden, is een gestructureerde remediatieaanpak essentieel om de governance-structuur te herstellen zonder de operationele continuïteit te verstoren. Het remediatieproces begint met een grondige analyse van de huidige staat van de hiërarchie, waarbij alle Management Groups worden geïnventariseerd en de locatie van elk abonnement wordt gedocumenteerd. Deze inventarisatie vormt de basis voor het ontwikkelen van een remediatieplan dat de gewenste eindtoestand beschrijft en de stappen omvat die nodig zijn om van de huidige naar de gewenste configuratie te komen. Het verplaatsen van abonnementen tussen Management Groups is een kritieke operatie die zorgvuldig moet worden uitgevoerd omdat deze actie directe gevolgen heeft voor alle toegepaste beleidsregels, roltoewijzingen en tags. Voordat een abonnement wordt verplaatst, moet een impactanalyse worden uitgevoerd om te bepalen welke beleidsregels en toegangsrechten zullen veranderen als gevolg van de verplaatsing. Deze analyse helpt organisaties om onverwachte effecten te voorkomen, zoals het verlies van toegangsrechten voor kritieke resources of het onbedoeld activeren of deactiveren van beveiligingsbeleidsregels. Het is aan te raden om eerst een testabonnement te verplaatsen om de effecten te verifiëren voordat productie-abonnementen worden gemigreerd. Wanneer abonnementen moeten worden verplaatst naar een nieuwe Management Group hiërarchie, moet dit proces worden uitgevoerd tijdens een geplande onderhoudsperiode om eventuele serviceonderbrekingen te minimaliseren. De verplaatsing zelf is een snelle operatie die binnen enkele minuten kan worden voltooid, maar de effecten op beleidsregels en toegangsrechten kunnen enige tijd in beslag nemen om volledig door te werken. Tijdens het verplaatsingsproces moeten alle betrokken stakeholders worden geïnformeerd, inclusief security officers, cloud administrators en applicatie-eigenaren, zodat zij kunnen anticiperen op mogelijke wijzigingen in toegangsrechten of beveiligingsconfiguraties. Na het verplaatsen van abonnementen moet een verificatieproces worden uitgevoerd om te bevestigen dat alle beleidsregels correct zijn toegepast en dat toegangsrechten nog steeds functioneren zoals verwacht. Het Azure Policy compliance-dashboard moet worden geraadpleegd om te verifiëren dat de nieuwe beleidsregels correct zijn toegepast op de verplaatste abonnementen. Roltoewijzingen moeten worden gecontroleerd om te verzekeren dat gebruikers nog steeds de benodigde toegangsrechten hebben om hun werkzaamheden uit te voeren. Eventuele problemen die tijdens deze verificatie worden ontdekt, moeten onmiddellijk worden aangepakt om te voorkomen dat de operationele continuïteit wordt verstoord. In situaties waarin de Management Group hiërarchie volledig moet worden herstructureerd, is een gefaseerde aanpak aan te raden om de complexiteit te beheersen en risico's te minimaliseren. De eerste fase omvat het ontwerpen van de nieuwe hiërarchische structuur en het documenteren van de gewenste eindtoestand. De tweede fase bestaat uit het aanmaken van nieuwe Management Groups volgens de nieuwe structuur, zonder dat abonnementen worden verplaatst. De derde fase omvat het geleidelijk verplaatsen van abonnementen van niet-kritieke omgevingen naar de nieuwe Management Groups, waarbij elke verplaatsing wordt geverifieerd voordat de volgende wordt uitgevoerd. De vierde en laatste fase omvat het verplaatsen van productie-abonnementen, wat de meest kritieke operatie is en daarom extra voorzichtigheid vereist. Wanneer Management Groups moeten worden verwijderd of samengevoegd, moet eerst worden gecontroleerd of er geen abonnementen meer aan deze Management Groups zijn toegewezen. Verwijdering van een Management Group die nog abonnementen bevat, is niet mogelijk en zal resulteren in een foutmelding. Alle abonnementen moeten eerst worden verplaatst naar andere Management Groups voordat een Management Group kan worden verwijderd. Bij het samenvoegen van Management Groups moeten alle beleidsregels en roltoewijzingen van beide Management Groups worden geëvalueerd om te bepalen welke configuraties behouden moeten blijven en welke kunnen worden verwijderd. Conflicterende beleidsregels moeten worden opgelost voordat de samenvoeging wordt voltooid. Het documenteren van alle remediatie-activiteiten is cruciaal voor auditdoeleinden en voor het begrijpen van de geschiedenis van wijzigingen in de Management Group hiërarchie. Alle verplaatsingen van abonnementen, wijzigingen in beleidsregels en aanpassingen in roltoewijzingen moeten worden vastgelegd in een changelog die duidelijk aangeeft wat er is gewijzigd, wanneer de wijziging heeft plaatsgevonden, wie de wijziging heeft geautoriseerd en wat de reden was voor de wijziging. Deze documentatie is essentieel tijdens externe audits en helpt organisaties om te verantwoorden waarom bepaalde governance-beslissingen zijn genomen. Bovendien maakt deze documentatie het mogelijk om in de toekomst terug te gaan naar eerdere configuraties indien dat nodig mocht zijn. Na voltooiing van het remediatieproces moet een post-implementatie review worden uitgevoerd om te evalueren of de gewenste doelen zijn bereikt en of er onbedoelde neveneffecten zijn opgetreden. Deze review moet worden uitgevoerd door een multidisciplinair team dat bestaat uit security officers, cloud administrators en vertegenwoordigers van de business units die zijn beïnvloed door de wijzigingen. Tijdens deze review moeten verschillende aspecten worden geëvalueerd: of de nieuwe hiërarchische structuur de organisatiestructuur correct weerspiegelt, of alle abonnementen zich nu in de juiste Management Groups bevinden, of de toegepaste beleidsregels effectief zijn en of er geen onbedoelde toegangsproblemen zijn ontstaan. De bevindingen van deze review moeten worden gedocumenteerd en gebruikt om toekomstige remediatie-activiteiten te verbeteren.
Compliance & Frameworks
- CIS M365: Control Organizational (L1) - Hiërarchische governance-structuur
- BIO: 05.01.01 - Informatiebeveiligingsbeleid - Hiërarchische structuur
- ISO 27001:2022: A.5.1.1 - Beleidsregels voor informatiebeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Management Groups Hierarchy
.DESCRIPTION
Controleert management groups hierarchy configuratie.
.NOTES
Filename: management-groups-hierarchy.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 10.7
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Management Groups Hierarchy"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$mgGroups = Get-AzManagementGroup -ErrorAction SilentlyContinue
$result = @{ TotalGroups = $mgGroups.Count }
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Management Groups: $($r.TotalGroups)" -ForegroundColor White
if ($r.TotalGroups -eq 0) {
Write-Host "`n⚠️ Geen management groups - overweeg hierarchy voor grote omgevingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nManagement Groups: $($r.TotalGroups)"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Management Groups: $($r.TotalGroups)" -ForegroundColor White
if ($r.TotalGroups -eq 0) {
Write-Host "`n⚠️ Geen management groups - overweeg hierarchy voor grote omgevingen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nManagement Groups: $($r.TotalGroups)"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Zonder Management Groups moet governance per abonnement worden uitgevoerd, wat niet schaalbaar is bij meer dan tien abonnementen. Organisaties moeten beleidstoewijzingen herhaaldelijk per abonnement configureren, waarbij elke configuratie handmatig moet worden uitgevoerd en onderhouden. Op rollen gebaseerd toegangsbeheer moet eveneens per abonnement worden geconfigureerd, wat leidt tot complexe en moeilijk te onderhouden toegangsmatrixen. Deze aanpak resulteert in inconsistente governance over verschillende abonnementen heen, waarbij het risico bestaat dat sommige abonnementen niet voldoen aan organisatiebrede beveiligingsstandaarden. Het risico is laag voor organisaties met minder dan vijf abonnementen, waar subscription-level governance voldoende kan zijn. Voor enterprise-organisaties met meer dan tien abonnementen is het risico hoog omdat governance op schaal essentieel is voor het behouden van beveiliging en compliance.
Management Samenvatting
Management Groups hiërarchie biedt governance op schaal door middel van een organisatorische structuur die de bedrijfsstructuur weerspiegelt, van organisatieniveau via bedrijfsonderdelen en omgevingen naar individuele abonnementen. Een enkele beleidstoewijzing op Management Group niveau wordt automatisch toegepast op alle onderliggende resources, waardoor een eenmalige configuratie effectief is op honderden abonnementen. Gecentraliseerde overerving van op rollen gebaseerd toegangsbeheer zorgt ervoor dat toegangsrechten consistent worden beheerd over de gehele organisatie. Activatie gebeurt via de Azure Portal onder Management Groups waar de hiërarchie kan worden aangemaakt. Deze service is zonder extra kosten beschikbaar. Implementatie vereist acht tot twaalf uur voor het ontwerpen en aanmaken van de hiërarchie. Essentieel voor enterprise-organisaties met meer dan tien abonnementen, optioneel voor kleine organisaties met minder abonnementen.
- Implementatietijd: 12 uur
- FTE required: 0.1 FTE