Laboratório Técnico: Configure management groups
Questões
Questão 1 — Múltipla Escolha
Uma organização possui a seguinte estrutura no Azure:
- Tenant Root Group
- MG-Produção
- MG-FinanceiroUS
- MG-FinanceiroBR
- MG-Desenvolvimento
- MG-Produção
Um administrador aplica uma Azure Policy diretamente no grupo de gerenciamento MG-Produção com efeito Deny. Qual é o comportamento esperado para as assinaturas dentro de MG-FinanceiroUS?
A) A policy não se aplica, pois policies só afetam assinaturas diretamente associadas ao grupo onde foram definidas.
B) A policy se aplica, pois a herança flui do grupo pai para todos os grupos filhos e assinaturas descendentes.
C) A policy se aplica apenas se MG-FinanceiroUS não tiver nenhuma policy própria definida.
D) A policy se aplica, mas pode ser substituída por uma policy de efeito Audit definida em MG-FinanceiroUS.
Questão 2 — Cenário Técnico
Um administrador tenta mover uma assinatura do grupo de gerenciamento MG-Legado para MG-Corporativo usando o seguinte comando:
az account management-group subscription add \
--name "MG-Corporativo" \
--subscription "sub-id-xyz"
A operação falha com erro de permissão, mesmo que o administrador tenha a role Contributor em ambos os grupos de gerenciamento. Qual é a causa mais provável da falha?
A) O comando está incorreto; a sintaxe correta exige o parâmetro --source-group para especificar o grupo de origem.
B) A role Contributor não concede permissão para mover assinaturas entre grupos de gerenciamento; essa operação exige a role Management Group Contributor ou superior no grupo de destino e Owner na assinatura.
C) Assinaturas só podem ser movidas entre grupos de gerenciamento pelo portal do Azure; operações via CLI não são suportadas para essa ação.
D) O administrador precisa remover a assinatura do grupo MG-Legado antes de adicioná-la ao MG-Corporativo em uma operação separada.
Questão 3 — Verdadeiro ou Falso
Um grupo de gerenciamento pode conter tanto outros grupos de gerenciamento quanto assinaturas do Azure no mesmo nível hierárquico. Portanto, é possível que uma assinatura seja membro direto de dois grupos de gerenciamento distintos simultaneamente, desde que ambos pertençam ao mesmo tenant.
Questão 4 — Cenário Técnico
Uma equipe de governança precisa garantir que nenhuma região fora de Brazil South e East US seja usada para criar recursos em todas as assinaturas da empresa. A empresa possui 47 assinaturas organizadas sob um único grupo de gerenciamento raiz corporativo chamado MG-Empresa. O analista propõe a seguinte abordagem:
Aplicar manualmente uma policy de restrição de região em cada uma das 47 assinaturas individualmente, para evitar que uma policy no grupo raiz afete futuras assinaturas de sandbox que serão criadas fora desse grupo.
Qual é o principal problema com essa abordagem?
A) Não há problema; essa é a abordagem recomendada quando se deseja controle granular por assinatura.
B) A abordagem ignora que novas assinaturas adicionadas ao MG-Empresa não herdarão automaticamente a policy, exigindo reconfiguração manual recorrente, enquanto uma policy no grupo de gerenciamento cobriria todas as assinaturas descendentes automaticamente.
C) Policies de restrição de região não podem ser aplicadas no nível de assinatura; elas obrigatoriamente precisam ser definidas em grupos de gerenciamento.
D) O número de assinaturas excede o limite suportado para aplicação manual de policies via portal, tornando a operação tecnicamente inviável.
Questão 5 — Múltipla Escolha
Qual das afirmações abaixo descreve corretamente um limite ou comportamento fixo da hierarquia de grupos de gerenciamento no Azure?
A) O Tenant Root Group pode ser excluído e recriado por um Administrador Global caso a estrutura precise ser reorganizada do zero.
B) Um tenant suporta até 10.000 grupos de gerenciamento, com profundidade máxima de seis níveis abaixo do Tenant Root Group, não contando o nível da assinatura.
C) Assinaturas de tipo Free Trial não podem ser associadas a grupos de gerenciamento e permanecem sempre diretamente sob o Tenant Root Group.
D) Cada grupo de gerenciamento pode conter no máximo 100 assinaturas diretamente associadas, independentemente do número de grupos filhos.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
Explique:
- A herança de policies em grupos de gerenciamento flui de cima para baixo na hierarquia. Uma policy aplicada em
MG-Produçãoé herdada automaticamente por todos os grupos filhos (MG-FinanceiroUS,MG-FinanceiroBR) e por todas as assinaturas e recursos contidos neles. - A alternativa A descreve um comportamento que não existe: o isolamento de escopo não funciona dessa forma em management groups.
- A alternativa C confunde o comportamento de herança com o conceito de precedência. A ausência de uma policy própria não é condição para que a herança ocorra.
- A alternativa D representa um equívoco comum: uma policy de efeito
Auditem um nível filho não substitui nem bloqueia uma policy de efeitoDenyherdada do pai. Efeitos não se cancelam por hierarquia; o efeito mais restritivo prevalece na avaliação combinada.
Gabarito — Questão 2
Resposta: B
Explique:
- Mover assinaturas entre grupos de gerenciamento é uma operação privilegiada que exige permissões específicas:
Microsoft.Management/managementGroups/writeno grupo de destino eMicrosoft.Management/managementGroups/subscriptions/writena assinatura. A roleManagement Group Contributorcobre o grupo; a roleOwnercobre a assinatura. - A role
Contributoré uma role de plano de dados que não inclui permissões de gerenciamento de estrutura organizacional como movimentação de assinaturas. - A alternativa A é falsa: o comando
az account management-group subscription addé sintaticamente correto e não requer um parâmetro--source-group. - A alternativa C é falsa: operações de movimentação via CLI são totalmente suportadas.
- A alternativa D é falsa: não é necessário remover antes de adicionar; a operação de mover é atômica do ponto de vista do Azure quando as permissões estão corretas.
Gabarito — Questão 3
Resposta: Falso
Explique:
- Uma assinatura no Azure pertence a exatamente um grupo de gerenciamento por vez. Não existe associação múltipla ou compartilhada entre grupos de gerenciamento diferentes, mesmo dentro do mesmo tenant.
- Esse comportamento é intencional: a hierarquia de management groups é uma árvore, não um grafo. Cada nó (grupo ou assinatura) tem um único pai, o que garante que a herança de policies e RBAC seja determinística e sem ambiguidade.
- O equívoco representado pela afirmação confunde a liberdade de mover uma assinatura entre grupos com a possibilidade de ela pertencer a múltiplos grupos simultaneamente, o que nunca é o caso.
Gabarito — Questão 4
Resposta: B
Explique:
- O principal problema é operacional e de escalabilidade de governança: aplicar policies individualmente em 47 assinaturas cria um processo manual que não escala e é propenso a inconsistências. Mais importante, novas assinaturas adicionadas ao tenant no futuro não herdarão a restrição automaticamente.
- A preocupação com assinaturas de sandbox é legítima, mas a solução correta é organizar essas assinaturas em um grupo de gerenciamento separado (por exemplo,
MG-Sandbox) e excluí-las do escopo da policy, não abrir mão da política centralizada. - A alternativa A ignora os riscos de manutenção e a falta de cobertura automática para novas assinaturas.
- A alternativa C é falsa: policies de localização podem ser aplicadas tanto em assinaturas quanto em grupos de gerenciamento e no nível do grupo de recursos.
- A alternativa D é falsa: não há limite técnico que impeça aplicação manual de policies em 47 assinaturas via portal ou CLI.
Gabarito — Questão 5
Resposta: B
Explique:
- O Azure suporta até 10.000 grupos de gerenciamento por tenant, com uma profundidade máxima de seis níveis abaixo do Tenant Root Group (não contando o próprio Root Group, nem o nível das assinaturas). Esse é um limite documentado e fixo da plataforma.
- A alternativa A é falsa: o Tenant Root Group não pode ser excluído. Ele é criado automaticamente pelo Azure e representa a raiz absoluta do tenant. Sua existência é obrigatória e permanente.
- A alternativa C é falsa: assinaturas de qualquer tipo, incluindo
Free Trial, podem ser associadas a grupos de gerenciamento, desde que o usuário tenha as permissões necessárias. - A alternativa D é falsa: não existe limite de 100 assinaturas por grupo de gerenciamento. O limite real é de 10.000 grupos de gerenciamento no total por tenant, mas o número de assinaturas por grupo não é limitado dessa forma fixa.