我试图拒绝在根级别创建任何其他管理组。我启用了创建“ Tenant Root Group”的管理组的功能。
出于我的治理目的,我在该名称下创建了更多MG,但我不希望用户能够创建自己的。即使没有给他们任何特定的访问权限,他们似乎仍然可以(即使这对我来说很奇怪)。我在IAM面板中仔细检查了一下,没有什么特别的。
Azure门户中显示的内容是这样的:
Root Tenant Group
|--- ManagementGroup1
|--- ManagementGroup2
|--- etc.
“根租户组”是一个自动创建的组,创建结构后我正试图锁定该组。
我想使用Azure策略,但是每当我将其应用于该“租户根组”时,它都不会阻止创建另一个管理组。实际上,在ARM结构中看起来,它们根本不被视为子项,而是被视为独立项。当我运行命令az account management-group show --name MyTenantRootGroup时,它说“ children”为空。
仍然,我的政策如下:
"if": {
"source":"action",
"equals":"Microsoft.Management/managementGroups/write"
},
"then": {
"effect": "deny"
}
还有其他方法吗?