快速入门：使用 .NET Core 创建管理组

项目
08/16/2024

管理组是一些容器，可以帮助跨多个订阅管理访问权限、策略和符合性。可以创建这些容器来构建可以与 Azure Policy 和 Azure 基于角色的访问控制配合使用的有效且高效的层次结构。若要详细了解管理组，请参阅使用 Azure 管理组整理资源。

在目录中创建的第一个管理组可能需要最多 15 分钟才能完成。一些进程会首次运行以在 Azure 中为目录设置管理组服务。在进程完成后将显示通知。有关详细信息，请参阅管理组的初始设置。

先决条件

如果没有 Azure 订阅，请在开始前创建一个试用版订阅帐户。
Azure 服务主体，包括 clientId 和 clientSecret 。如果你没有与 Azure Policy 一起使用的服务主体，或想要创建一个新的服务主体，请参阅用于 .NET 身份验证的 Azure 管理库。跳到安装 .NET Core 包的步骤，我们将在接下来的步骤中执行此安装。
如果未启用层次结构保护，则租户中的任何 Microsoft Entra ID 用户都可在未分配有管理组写入权限的情况下创建管理组。这个新的管理组将成为根管理组的子级或默认管理组，并将为创建者分配“所有者”角色。管理组服务允许此功能，因此不需要在根级别分配角色。创建根管理组时，用户没有访问权限。为避免在查找 Microsoft Entra ID 全局管理员以开始使用管理组方面遇到阻碍，我们允许在根级别创建初始管理组。

应用程序设置

若要使 .NET Core 能够管理管理组，请创建新的控制台应用程序并安装所需的包。

请确保安装最新的 .NET Core（至少为 3.1.8）。如果尚未安装，请前往 dotnet.microsoft.com 下载。
初始化名为“mgCreate”的新 .NET Core 控制台应用程序：
```
dotnet new console --name "mgCreate"
```

将目录切换到新项目文件夹，并安装 Azure Policy 所需的包：

# Add the Azure Policy package for .NET Core
dotnet add package Microsoft.Azure.Management.ManagementGroups --version 1.1.1-preview

# Add the Azure app auth package for .NET Core
dotnet add package Microsoft.Azure.Services.AppAuthentication --version 1.6.1

用以下代码替换默认的 program.cs，并保存更新的文件：

using System;
using System.Collections.Generic;
using System.Threading.Tasks;
using Microsoft.IdentityModel.Clients.ActiveDirectory;
using Microsoft.Rest;
using Microsoft.Azure.Management.ManagementGroups;
using Microsoft.Azure.Management.ManagementGroups.Models;

namespace mgCreate
{
   class Program
   {
       static async Task Main(string[] args)
       {
           string strTenant = args[0];
           string strClientId = args[1];
           string strClientSecret = args[2];
           string strGroupId = args[3];
           string strDisplayName = args[4];

           var authContext = new AuthenticationContext($"https://login.chinacloudapi.cn/{strTenant}");
           var authResult = await authContext.AcquireTokenAsync(
                  "https://management.core.chinacloudapi.cn",
                  new ClientCredential(strClientId, strClientSecret));

           using (var client = new ManagementGroupsAPIClient(new TokenCredentials(authResult.AccessToken)))
           {
               var mgRequest = new CreateManagementGroupRequest
               {
                   DisplayName = strDisplayName
               };
               var response = await client.ManagementGroups.CreateOrUpdateAsync(strGroupId, mgRequest);
           }
       }
   }
}

生成并发布 mgCreate 控制台应用程序：
```
dotnet build
dotnet publish -o {run-folder}
```

创建管理组

在本快速入门中，你将在根管理组中创建一个新的管理组。

将目录更改为使用先前的 dotnet publish 命令定义的 {run-folder}。

在终端中输入以下命令：

mgCreate.exe `
  "{tenantId}" `
  "{clientId}" `
  "{clientSecret}" `
  "{groupID}" `
  "{displayName}"

上述命令使用以下信息：

{tenantId} - 替换为租户 ID
{clientId} -替换为服务主体的客户端 ID
{clientSecret} -替换为服务主体的客户端机密
{groupID} - 替换为新的管理组的 ID
{displayName} - 替换为新的管理组的易记名称

结果是根管理组中的一个新的管理组。

清理资源

通过门户删除新的资源组。
如果要删除 .NET Core 控制台应用程序和已安装的包，可以删除 mgCreate 项目文件夹。

后续步骤

在本快速入门中，你创建了一个管理组来整理资源层次结构。管理组可以包含订阅或其他管理组。

要详细了解管理组以及如何管理资源层次结构，请继续执行以下操作：

使用管理组管理资源

通过