Unidad 1: Introducción
Supongamos que trabaja como desarrollador para una empresa de fabricación de hardware exitosa, Tailwind Traders. El director de tecnología de la compañía recientemente ha decidido adoptar Azure como plataforma de informática en la nube. Actualmente se encuentra en la fase de planeamiento de la migración. Antes de comenzar el proceso de migración, decide estudiar los conceptos, recursos y terminología de Azure para asegurarse de que la migración se realice correctamente.
Unidad 2: Introducción a las suscripciones, los grupos de administración y los recursos de Azure
Como parte de su investigación para Tailwind Traders, debe aprender la estructura organizativa de los recursos en Azure, que consta de cuatro niveles: grupos de administración, suscripciones, grupos de recursos y recursos.
La imagen siguiente muestra la jerarquía vertical de la organización de estos niveles.
- Recursos: Los recursos son instancias de servicios que puede crear, como máquinas virtuales, almacenamiento o bases de datos SQL.
- Grupos de recursos: Los recursos se combinan en grupos de recursos, que actúan como contenedor lógico en el que se implementan y administran recursos de Azure como aplicaciones web, bases de datos y cuentas de almacenamiento.
- Suscripciones: Una suscripción agrupa las cuentas de usuario y los recursos que han creado esas cuentas de usuario. Para cada suscripción, hay límites o cuotas en la cantidad de recursos que se pueden crear y usar. Las organizaciones pueden usar las suscripciones para administrar los costos y los recursos creados por los usuarios, equipos o proyectos.
- Grupos de administración: Estos grupos le ayudan a administrar el acceso, las directivas y el cumplimiento de varias suscripciones. Todas las suscripciones de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo de administración.
Unidad 3: Zonas de disponibilidad, pares de regiones y regiones de Azure
- Los recursos se crean en regiones, que son diferentes ubicaciones geográficas de todo el mundo que contienen centros de datos de Azure.
- Azure está formado por centros de datos ubicados en todo el mundo. Al usar un servicio o crear un recurso como una máquina virtual (VM) o una base de datos SQL, usa equipamiento físico en una o varias de estas ubicaciones. Estos centros de datos específicos no se exponen directamente a los usuarios, sino que Azure los organiza en regiones.
Regiones de Azure
- Una región es un área geográfica del planeta que contiene al menos un centro de datos, aunque podrían ser varios centros de datos cercanos y conectados mediante una red de baja latencia.
- Azure asigna y controla los recursos de forma inteligente dentro de cada región para garantizar que las cargas de trabajo están bien compensadas.
- Al implementar un recurso en Azure, es habitual tener que elegir la región en la que quiere que se implemente el recurso.
- NOTA IMPORTANTE: Algunos servicios o características de las máquinas virtuales solo están disponibles en determinadas regiones, como, por ejemplo, tipos de almacenamiento o tamaños de VM específicos. También hay algunos servicios globales de Azure que no requieren que seleccione una región concreta, como Azure Active Directory, Azure Traffic Manager o Azure DNS.
- A continuación puede ver todas las regiones disponibles a fecha de junio de 2020.
¿Por qué son importantes las regiones?
- Azure cuenta con más regiones globales que cualquier otro proveedor de nube.
- Estas regiones le dan la flexibilidad necesaria para acercar las aplicaciones a los usuarios estén donde estén.
- Las regiones globales proporcionan una mejor escalabilidad y redundancia, y conservan la residencia de datos para los servicios.
Regiones de Azure especiales
- Azure tiene regiones especializadas que se pueden usar al crear las aplicaciones, en lo referente al cumplimiento normativo o a aspectos legales.
- Algunos ejemplos incluyen:
- US DoD (centro), US Gov Virginia, US Gov Iowa y más: Estas regiones son instancias físicas y lógicas con aislamiento de red de Azure para asociados y agencias de la administración pública de EE. UU. Estos centros de datos están operados por personal estadounidense sometido a evaluación e incluyen certificaciones de cumplimiento adicionales.
- Este de China, Norte de China y más: Estas regiones están disponibles gracias a una asociación exclusiva entre Microsoft y 21Vianet, por la cual Microsoft no mantiene directamente los centros de datos.
- Las regiones se utilizan para identificar la ubicación de los recursos, pero hay otros dos términos que también debe conocer: zonas geográficas y zonas de disponibilidad.
Zonas de disponibilidad de Azure
A fin de proteger la información en caso de error, deberá asegurarse de que los servicios y datos son redundantes. Si hospeda su infraestructura, configurar su propia redundancia requiere la creación de entornos de hardware duplicados. Azure puede ayudar a que la aplicación tenga alta disponibilidad a través de zonas de disponibilidad.
¿Qué es una zona de disponibilidad?
- Las zonas de disponibilidad son centros de datos separados físicamente dentro de una región de Azure.
- Cada zona de disponibilidad consta de uno o varios centros de datos equipados con alimentación, refrigeración y redes independientes.
- Una zona de disponibilidad se configura para constituir un límite de aislamiento.
- Si una zona deja de funcionar, la otra continúa trabajando.
- Las zonas de disponibilidad están conectadas a través de redes de fibra óptica de alta velocidad privadas.
Regiones admitidas
No todas las regiones son compatibles con las zonas de disponibilidad. Para obtener una lista actualizada, consulte Regiones que admiten Availability Zones en Azure.
Uso de las zonas de disponibilidad en sus aplicaciones
- Si quiere usar zonas de disponibilidad para ejecutar aplicaciones críticas y conseguir una alta disponibilidad en la arquitectura de sus aplicaciones, coloque sus recursos de proceso, almacenamiento, red y datos dentro de una zona y replíquelos en otras. Tenga en cuenta que la duplicación de los servicios y la transferencia de datos entre zonas podrían suponer un costo.
- Las zonas de disponibilidad son principalmente para las máquinas virtuales, los discos administrados, los equilibradores de carga y las bases de datos SQL. Los servicios de Azure que admiten zonas de disponibilidad se dividen en tres categorías:
- Servicios de zona: ancle el recurso a una zona específica (por ejemplo, máquinas virtuales, discos administrados, direcciones IP).
- Servicios de redundancia de zona: la plataforma se replica automáticamente entre zonas (por ejemplo, almacenamiento con redundancia de zona, SQL Database).
- Servicios no regionales: los servicios siempre están disponibles en regiones geográficas de Azure y son resistentes a las interrupciones de toda la zona, así como a las de toda la región.
Pares de regiones de Azure
Las zonas de disponibilidad se crean usando uno o varios centros de datos. Hay un mínimo de tres zonas en una sola región. Es posible que un desastre grande pueda provocar una interrupción tan grave como para afectar incluso a dos centros de datos. Por eso Azure también crea pares de regiones.
¿Qué es un par de regiones?
Cada región de Azure se empareja siempre con otra región de la misma zona geográfica (por ejemplo, EE. UU., Europa o Asia) que se encuentre como mínimo a 500 km de distancia. Este enfoque permite la replicación de recursos, como el almacenamiento en la máquina virtual, en una zona geográfica, lo que ayuda a reducir la probabilidad de que se produzcan interrupciones provocadas por eventos como desastres naturales, disturbios civiles, cortes del suministro eléctrico o interrupciones de la red física que afecten de forma simultánea a ambas regiones. Si una región de un par se ve afectada por un desastre natural, por ejemplo, los servicios conmutarán por error automáticamente a la otra región de su par de regiones.
Algunos pares de regiones de ejemplo en Azure son Oeste de EE. UU. y Este de EE. UU., o Sudeste Asiático y Asia Pacífico.
Video 1.3.4: Descripción de los beneficio y uso de Región y Par de regiones
- Azure funciona en varios centros de datos en el mundo donde se centran los recursos de hardware necesarios para la operación de los servicios
- Y los centros de datos se agrupan en regiones que contienen 1 o varios centros de datos que están conectados en una red de baja latencia
- Azure administra, asigna y controla los recursos de cada región para garantizar que la carga de trabajo esta balanceada dentro de cada región y esto proporciona mayor flexibilidad al permitir crear aplicaciones más cercanas a los usuarios y poder satisfacer cualquier propósito legal, cumplimiento normativo o fiscal
- Actualmente Azure cuenta con 60 Regiones que son más que las que ofrece cualquier proveedor de nube
- Y todas están para los clientes de Azure
- Aunque existen algunas especiales destinadas para el uso de los gobiernos
- Y otras «China» gracias a una asociación de Microsoft y otra empresa que se encarga de darle el mantenimiento
- ¿Por que una región tiene más de un centro de datos?
- Para asegurar la disponibilidad de los servicios ya que cada uno cuenta con su propia alimentación eléctrica y de enfriamiento, de forma que si un siniestro afecta a uno el o los otros puedan sumir sus servicios
- Ahora para garantizar que Microsoft pueda garantizar el SLA de los servicios existe también otro aspecto de la arquitectura de Azure que es la redundancia de los recursos
- Que es que 2 regiones están asociadas dentro de la misma ubicación geográfica replicando los servicios en dos regiones distintas es que en caso de ocurrir desastres naturales, disturbios civiles , cortes de suministro eléctricos o de la red de datos es poco probable que afecte a las dos regiones.
- Las características de estos pares de regiones es que están contempladas tener un aislamiento físico que consiste en tener al menos 300 millas de separación
- también proporciona replicación por la plataforma
- Para que las aplicaciones como por ejemplo la bases de datos se repliquen en las regiones emparejadas
- Tiene un orden de recuperación de región que encaso de producirse una interrupción más amplia cada región emparejada tiene mayor prioridad sobre otra para disminuir el tiempo de recuperación de los servicios
- Las actualizaciones son secuenciales, ya que son planeadas y se aplican de una a en las regiones para minimizar el tiempo de inactividad y el riesgo de interrupción de la aplicación
- Y tiene residencia de datos
Video 1.3.5: Descripción de los beneficios y uso de Zonas de disponibilidad
- Las zonas de disponibilidad permiten crear la alta disponibilidad
- Están constituidos por uno o más centros de datos
- Cada región cuenta con 3 zonas de disponibilidad por tanto si una falla la otra sigue funcionando
- Cuando el inquilino configura la alta disponibilidad se protege de posibles errores ofreciendo un SLA de 99.99%
- Los servicios de Azure que soportan zonas de disponibilidad se dividen en 2 categorías:
- Servicios de zona: en los que un recurso se ancla a una zona específica: Ejemplo: MV, Disco de almacenamiento o direcciones IP
- Servicios de redundancia de zona: donde la plataforma de Azure replica automáticamente entre distintas zonas, por ejemplo almacenamiento con redundancia de zona
- Es importante recordar que:
- No todas las regiones tienen compatibilidad con las zonas de disponibilidad
- No todos los servicios son compatibles con las zonas de disponibilidad
f
Unidad 4: Recursos de Azure y Azure Resource Manager
Antes de crear una suscripción para Tailwind Traders, deberá tenerlo todo preparado para crear recursos y almacenarlos en grupos de recursos. Teniendo esto en cuenta, es importante definir los siguientes términos:
- Recurso: elemento administrable que está disponible mediante Azure. Algunos ejemplos de recursos son las máquinas virtuales (VM), las cuentas de almacenamiento, las aplicaciones web, las bases de datos y las redes virtuales.
- Grupo de recursos: contenedor que incluye los recursos relacionados para una solución de Azure. El grupo de recursos incluye los recursos que se quieren administrar como grupo. Decida qué recursos pertenecen a un grupo de recursos según lo que más convenga a su organización.
Grupos de recursos de Azure
- Un grupo de recursos es un contenedor lógico para recursos implementados en Azure
- Todos los recursos deben estar en un grupo de recursos, y un recurso solo puede ser miembro de un único grupo de recursos.
- Muchos recursos pueden moverse entre grupos de recursos con algunos servicios que tengan limitaciones o requisitos determinados para mover.
- Los grupos de recursos no se pueden anidar.
- Antes de poder aprovisionar un recurso, necesita un grupo de recursos en el que colocarlo.
Agrupación lógica
- Los grupos de recursos existen para ayudar a administrar y organizar los recursos de Azure.
- Al colocar recursos de uso, tipo o ubicación similar en un grupo de recursos, puede proporcionar orden y organización a los recursos que cree en Azure
Ciclo de vida
- Si elimina un grupo de recursos, también se eliminarán todos los recursos que contenga.
- La organización de los recursos por ciclo de vida puede ser útil en entornos que no sean de producción, en los que puede probar un experimento y después descartarlo.
- Los grupos de recursos facilitan la tarea de quitar un conjunto de recursos a la vez.
Autorización
- Los grupos de recursos también son un ámbito para aplicar permisos de control de acceso basado en roles (RBAC).
- Al aplicar permisos RBAC a un grupo de recursos, puede facilitar la administración y limitar el acceso para permitir solo lo que sea necesario.
Azure Resource Manager
- Azure Resource Manager es el servicio de implementación y administración para Azure.
- Proporciona una capa de administración que le permite crear, actualizar y eliminar recursos de la cuenta de Azure.
- Puede usar características de administración como el control de acceso, los bloqueos y las etiquetas para proteger y organizar los recursos después de la implementación.
- Cuando un usuario envía una solicitud de cualquiera de las herramientas, las API o los SDK de Azure, Resource Manager recibe la solicitud. Autentica y autoriza la solicitud. Resource Manager envía la solicitud al servicio de Azure, que lleva a cabo la acción solicitada. Dado que todas las solicitudes se controlan mediante la misma API, verá resultados y funcionalidades coherentes en todas las distintas herramientas.
- En la imagen siguiente se muestra el rol que desempeña el Administrador de recursos en el control de solicitudes de Azure.
- Todas las funcionalidades que están disponibles en Azure Portal también lo están a través de PowerShell, la CLI de Azure, las API REST y los SDK de cliente. Las funcionalidades disponibles originalmente mediante las API se incluirán en el portal a los 180 días de su lanzamiento inicial.
Ventajas de usar Administrador de recursos
- Administrar la infraestructura mediante plantillas declarativas en lugar de scripts. Una plantilla de Resource Manager es un archivo JSON que define lo que quiere implementar en Azure.
- Implementar, administrar y supervisar todos los recursos de la solución en grupo, en lugar de controlarlos individualmente.
- Vuelva a implementar la solución a lo largo del ciclo de vida de desarrollo y tenga la seguridad de que los recursos se implementan en un estado coherente.
- Definir las dependencias entre recursos de modo que se implementen en el orden correcto.
- Aplique control de acceso a todos los servicios, puesto que RBAC se integra de forma nativa en la plataforma de administración.
- Aplicar etiquetas a los recursos para organizar de manera lógica todos los recursos de la suscripción.
- Comprenda la facturación de la organización viendo los costos de un grupo de recursos que comparten la misma etiqueta.
Video 1.3.3: Grupos de recursos de Azure
- Un recurso es un elemento administrable que se encuentra disponible a través de Azure
- Cada vez que creamos un servicio en Azure este puede crear varios recursos para funcionar, y todos estos se agrupan en un contenedor lógico de nombre «Grupo de recursos»
- Un recurso solo puede estar únicamente en un grupo de recursos
- Y tampoco es posible anidar grupos de recursos
- Antes que se pueda aprovisionar un recurso es necesario contar o crear un grupo de recursos
- Y si un grupo de recursos es eliminado serán eliminados todos los recursos que este contiene
- En los ciclos de vida crear grupos de recursos puede resultar útil ya que se puede crear un grupo de recursos para pruebas y una vez finalizadas se pueden eliminar
- Y también sirven para configurar accesos por roles
Consideraciones
- Ubicación única: un recursos solo puede existir en un único grupo de recursos
- Modificación: se puede agregar o eliminar un recursos en cualquier momento
- Migración: se puede mover un recurso de un grupo a otro
- Múltiples regiones: los recursos de un grupo se pueden encontrar en diferentes regiones
- Etiquetado: se pueden aplicar etiquetas a un grupo de recursos y los recursos dentro del él no heredan esas etiquetas
- Conexión: y los recursos de un grupo se pueden conectar con los de otro grupo
- Por tanto tenemos este niveles de ámbitos
Tabla 1.3.1: Niveles de ámbito
Unidad 5: Suscripciones y grupos de administración de Azure
A medida que Tailwind Traders empieza a utilizar Azure, uno de los primeros pasos será crear al menos una suscripción de Azure, que usará para crear los recursos basados en la nube en Azure.
Suscripciones de Azure
- El uso de Azure requiere una suscripción de Azure.
- Una suscripción le proporciona acceso autenticado y autorizado a los servicios y productos de Azure
- Permite aprovisionar los recursos.
- Una suscripción de Azure es una unidad lógica de servicios de Azure que está vinculada a una cuenta de Azure, que es una identidad en Azure Active Directory (Azure AD) o en un directorio en el que confía Azure AD
- Una cuenta puede tener una suscripción o varias suscripciones que con distintos modelos de facturación y a las que se aplican diferentes directivas de administración de acceso.
- Hay dos tipos de límites de suscripción que puede utilizar:
- Límite de facturación: Este tipo de suscripción determina cómo se factura una cuenta de Azure por el uso de Azure. Puede crear varias suscripciones para diferentes tipos de requisitos de facturación. Azure genera facturas e informes de facturación independientes para cada suscripción, de modo que pueda organizar y administrar los costos.
- Límite de control de acceso: Azure aplica las directivas de administración de acceso en el nivel de suscripción, por lo que puede crear suscripciones independientes para reflejar distintas estructuras organizativas. Por ejemplo, dentro de una empresa hay diferentes departamentos a los que se pueden aplicar directivas de suscripción de Azure distintas. Este modelo de facturación le permite administrar y controlar el acceso a los recursos que los usuarios aprovisionan con suscripciones específicas.
Creación de una suscripción de Azure adicional
Es posible que quiera crear suscripciones adicionales para fines de administración de facturación o de recursos. Por ejemplo, puede optar por crear suscripciones adicionales para separar lo siguiente:
- Entornos: cuando administra sus recursos, puede optar por crear suscripciones con el fin de configurar entornos independientes para el desarrollo y las pruebas, para seguridad o para aislar los datos por motivos de cumplimiento. Este diseño es especialmente útil porque el control de acceso a los recursos se produce en el nivel de suscripción.
- Estructuras organizativas: puede crear suscripciones para reflejar las distintas estructuras organizativas. Por ejemplo, podría limitar un equipo a recursos de bajo costo, al tiempo que permite que el departamento de TI tenga un alcance completo. Este diseño permite administrar y controlar el acceso a los recursos que los usuarios aprovisionan en cada suscripción.
- Facturación: es posible que también quiera crear suscripciones adicionales para fines de facturación. Dado que los costos se agregan primero en el nivel de suscripción, es posible que quiera crear suscripciones para administrar y realizar un seguimiento de los costos en función de sus necesidades. Por ejemplo, puede que quiera crear una suscripción para las cargas de trabajo de producción, y otra suscripción para las cargas de trabajo de desarrollo y pruebas.
Es posible que también necesite suscripciones adicionales debido a lo siguiente:
- Límites de suscripción: las suscripciones se enlazan a algunas limitaciones de hardware. Por ejemplo, el número máximo de circuitos de Azure ExpressRoute por cada suscripción es de 10. Esos límites se deben tener en consideración al crear suscripciones en la cuenta. Si en escenarios concretos hay que superar esos límites, es posible que se necesiten suscripciones adicionales.
Personalización de la facturación para satisfacer sus necesidades
Si tiene varias suscripciones, puede organizarlas en secciones de la factura. Cada sección de la factura es un elemento de línea en la factura que muestra los cargos en los que se incurre ese mes. Por ejemplo, puede que necesite una única factura para la organización, pero quiere organizar los cargos por departamento, equipo o proyecto.
En función de sus necesidades, se pueden configurar varias facturas dentro de la misma cuenta de facturación. Para ello, cree perfiles de facturación adicionales. Cada perfil de facturación contiene su propia factura mensual y método de pago.
En el diagrama siguiente se muestra información general sobre cómo se estructura la facturación. Si ya se ha suscrito a Azure o si su organización tiene un Contrato Enterprise, puede que la facturación esté configurada de forma distinta.
Grupos de administración de Azure
Si la organización tiene muchas suscripciones, es posible que necesite una forma de administrar con eficacia el acceso, las directivas y el cumplimiento para esas suscripciones. Los grupos de administración de Azure ofrecen un nivel de ámbito que está por encima de las suscripciones. Las suscripciones se organizan en contenedores llamados grupos de administración y las condiciones de gobernanza se aplican a los grupos de administración. Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo de administración. Los grupos de administración proporcionan capacidad de administración de nivel empresarial a gran escala con independencia del tipo de suscripciones que tenga.
Por ejemplo, puede aplicar directivas a un grupo de administración que limite las regiones disponibles para la creación de máquinas virtuales. Esta directiva se aplicaría a todos los grupos de administración, las suscripciones y los recursos de ese grupo de administración, al permitir únicamente que se creen máquinas virtuales en esa región.
Jerarquía de los grupos de administración y las suscripciones
Puede compilar una estructura flexible de grupos de administración y suscripciones para organizar los recursos en una jerarquía para una administración unificada de las directivas y el acceso. El diagrama siguiente muestra un ejemplo de creación de una jerarquía para la gobernanza mediante grupos de administración.
Puede crear una jerarquía que aplique una directiva. Por ejemplo, puede limitar las ubicaciones de las máquinas virtuales a la región oeste de EE. UU. en un grupo denominado Producción. Esta directiva se heredará en todas suscripciones de Contrato Enterprise que sean descendientes de ese grupo de administración y se aplicará a todas las máquinas virtuales de esas suscripciones. El propietario de los recursos o las suscripciones no puede modificar esta directiva de seguridad, lo que permite una gobernanza mejorada.
Otro escenario en el que se usarían grupos de administración es para proporcionar acceso de usuario a varias suscripciones. Al mover muchas suscripciones bajo ese grupo de administración, puede crear una asignación de control de acceso basado en rol (RBAC) en el grupo de administración que heredará ese acceso en todas las suscripciones. Una asignación en el grupo de administración puede permitir a los usuarios acceder a todo lo que necesitan en lugar de realizar scripting para proporcionar control de acceso basado en rol sobre las distintas suscripciones.
Hechos importantes acerca de los grupos de administración
- Se admiten 10 000 grupos de administración en un único directorio.
- Un árbol de grupo de administración puede admitir hasta seis niveles de profundidad. Este límite no incluye el nivel raíz ni el nivel de suscripción.
- Cada grupo de administración y suscripción solo puede admitir un elemento primario.
- Cada grupo de administración puede tener muchos elementos secundarios.
- Todas las suscripciones y grupos de administración están dentro de una única jerarquía en cada directorio.
Video 1.3.1: Descripción de los beneficios y uso de las Suscripciones
- Una suscripción de Azure es una unidad lógica de los servicios de Azure que se vinculan a una cuenta de Azure, que es una identidad dentro del API Directory
- Se puede tener una varias suscripciones con diferentes modelos de facturación y que se le aplican diferentes políticas de administración de acceso
- Son esenciales ya que cuando se crea un recurso en Azure identificar cual suscripción se asociara para la facturación de ese recurso
- También permite definir un límite de facturación para esa suscripción
- Hay 2 tipos de límites para las suscripciones:
- Límite de facturación: establecer el monto disponible, evitando que se den gastos no contemplados
- Límite de control de acceso: en este Azure aplica políticas de acceso y se pueden crear diferentes suscripciones para diferentes departamentos de la organización y limitar el tipo de servicios y recursos que pueden aprovisionar por departamento
- También se pueden crear suscripciones adicionales por diferentes entornos por ejemplo para desarrollo, producción, pruebas
- O se pueden hacer suscripciones por estructuras organizativas, permitiendo controlar el acceso de los recursos que le pertenecen a la suscripción
- También se puede separar la facturación por suscripciones ya que los costos se cargan a nivel de suscripción, y luego puede crear suscripciones hijas para aplicar políticas para la administración de recursos
- Permitiendo organizar la facturación y pudiendo modificar el envió de la factura a diferentes lugar ya que con cada suscripción se crea un perfil de facturación pero también se puede crear perfiles de facturación adicionales y así organizar los costos en varias facturas mensuales
- Ejemplo de factura con 2 suscripciones ingeniería y marketing
Video 1.3.2: Descripción de los beneficios y uso de Grupos de recursos
- Los grupos de administración ayudan a administrar los accesos, las directivas y cumplimiento de varias suscripciones y tienen un nivel mayor al de las suscripciones
- Por tanto las suscripciones se pueden organizar por grupos de administración y heredan todas las políticas que se aplican al grupo de administración que pertenecen
- Los beneficios es que proveen la capacidad de administración empresarial a gran escala e independiente del tipo de suscripciones que se tengan
- Por ejemplo puede configurar para que las suscripciones se limiten a ciertas regiones la creación de máquinas virtuales
- Se pueden crear grupos de administración de forma jerárquica
- Lo que permite organizar los recursos en cuanto a políticas y accesos
- Todos los grupos tienen un grupo de administración denominado raíz este contendrá todos grupos de administración y sus suscripciones
- El grupo de administración raíz:
- No se puede eliminar
- Todos los grupos de administración se agregan a él
- Las nueva suscripciones pertenecen por defecto a él
- Funciona como un grupo de administración
- Solo los administradores globales pueden acceder a él elevando sus propios permisos