設計領域: Azure のガバナンス

Azure のガバナンスを使用すると、クラウド ガバナンス、コンプライアンス監査、自動ガードレールをサポートするために必要なツールを確立できます。

デザイン領域のレビュー

ロールまたは機能: Azure のガバナンスは、クラウド ガバナンスに由来します。 一部の技術面の要件を定義して適用するには、クラウド プラットフォームまたはクラウドのセンター オブ エクセレンスを適用しなければならない場合があります。 ガバナンスでは運用とセキュリティの要件の適用に重点を置くため、クラウド セキュリティ、中央 IT、またはクラウド運用が必要になる場合もあります。

スコープ:ID、ネットワーク、セキュリティ、および管理の設計領域のレビュー中に行ったレビューにより、決定事項を検討します。 チームは、Azure ランディング ゾーン アクセラレータの一部である自動ガバナンスからの複数のレビューの意思決定を比較することができます。 決定をレビューすることで、監査したり施行したりする対象と、自動的に展開するポリシーを決定するのに役立ちます。

スコープ外: Azure のガバナンスでは、ネットワークの基盤が確立されます。 ただし、ネットワーク構築の意思決定を適用するための高度なネットワーク セキュリティや自動ガードレールなどのコンプライアンスに関するコンポーネントについては扱いません。 セキュリティとガバナンスに関連するコンプライアンス設計領域をレビューする際の、これらのネットワークに関する意思決定に対応できます。 クラウド プラットフォーム チームは、より複雑なコンポーネントに対処する前に初期ネットワーク要件に対処する必要があります。

新しい (グリーンフィールド) クラウド環境: クラウド体験を開始するには、「小規模サブスクリプション セットを作成する」を参照してください。 Bicep デプロイ テンプレートを使用して、新しい Azure ランディング ゾーンを作成できます。 詳細については、「Azure ランディング ゾーン Bicep - デプロイ フロー」をご覧ください。

既存の (ブラウンフィールド) クラウド環境: 実証済みの Azure のガバナンス原則を既存の Azure 環境に適用する場合は、以下のガイダンスを考慮してください。

• ハイブリッドまたはマルチクラウド環境の管理ベースラインを確立します。

• 請求範囲、予算、アラートなどの Microsoft Cost Management 機能を実装すると、経費の上限を超えないようにできます。

• Azure Policy を使用して Azure デプロイでガバナンス ガードレールを実施し、修復タスクをトリガーして既存の Azure リソースを準拠させます。

• Azure アクセス リクエストのワークフロー、アクセス割当、レビュー、有効期限を自動化するには、Microsoft Entra エンタイトルメント管理の使用を検討してください。

• Azure Advisor の推奨事項を使用して、Azure でのコストの最適化と運用の卓越性を確保する。これらはどちらも Microsoft Azure Well-Architected フレームワークのコア原則です。

Azure ランディング ゾーン Bicep - デプロイ フローのリポジトリには、グリーンフィールドとブラウンフィールドの Azure ランディング ゾーン デプロイを高速化できる多数の Bicep デプロイ テンプレートが含まれています。 これらのテンプレートには、Microsoft の実証済み慣行であるガバナンス ガイダンスが統合されています。

Azure ランディング ゾーンの既定のポリシー割り当て Bicep モジュールを使用して、Azure 環境のコンプライアンスを先んじて確保することを検討してください。

詳しくは、「Brownfield 環境に関する考慮事項」をご覧ください。

設計領域の概要

組織のクラウド導入過程は、Government 環境に対する強力なコントロールから始まります。

ガバナンスでは、Azure のプラットフォーム、アプリケーション、リソースに対するコントロールを維持するためのメカニズムとプロセスが提供されます。

ランディング ゾーンの計画にあたり、十分な情報を得たうえでの決定を行うには、次の考慮事項と推奨事項をご覧ください。

ガバナンスの設計領域では、ランディング ゾーンでの設計上の決定に焦点を合わせます。 ガバナンス プロセスとツールに関する詳細については、「Azure 用クラウド導入フレームワークで Govern を使用する」を参照してください。

Azure のガバナンスに関する考慮事項

Azure Policy は、エンタープライズ技術資産のセキュリティとコンプライアンスを保証するのに役立ちます。 Azure Policy で、Azure プラットフォーム サービス全体に、重要な管理とセキュリティの規則を適用することができます。 Azure Policy は、Azure ロールベースのアクセス制御を補完し、認可されたユーザーのアクションを制御するものです。 また、Cost Management は、Azure または他のマルチクラウド環境での継続的なガバナンス コストと支出をサポートするのに役立ちます。

デプロイに関する考慮事項

変更諮問委員会の審査によって、組織のイノベーションやビジネスの機敏性が損なわれる場合があります。 Azure Policy は、そのようなレビューを自動ガードレールや準拠監査に置き換えて、ワークロードの効率を向上させるものです。

• 業務管理やコンプライアンスの規制に基づいて、必要な Azure ポリシーを決定します。 Azure ランディング ゾーン アクセラレータに含まれるポリシーを出発点として使用します。

• 標準ベースのブループリント サンプルを使用して、自分のビジネス要件に合う可能性がある他のポリシーを検討します。

• ネットワーク、ID、管理、セキュリティの規則の自動化を実施します。

• ポリシー定義を使用すると、ポリシー割り当てを管理および作成し、多重継承割り当てスコープでそれらを再利用できます。 管理、サブスクリプション、リソース グループのスコープで、一元的なベースライン ポリシーを割り当てることができます。

• コンプライアンス レポートと監査を取り込み、継続的なコンプライアンスを確保します。

• Azure Policy には、特定のスコープでの定義の制限など、制限があることにご注意ください。

• HIPAA、PCI-DSS、SOC 2 Trust Services Criteria などの規制コンプライアンス ポリシーについて説明します。

コスト管理に関する考慮事項

• 組織のコストと再請求モデルの構造を検討します。 クラウド サービスの支出を正確に伝える主要なデータ ポイントを決定します。

• コストと再請求のモデルに合ったタグの構造を選ぶと、クラウド支出の追跡に役立ちます。

• Azure 料金計算ツールを使用して、Azure 製品を使用した場合に予想される月額料金を見積もることができます。

• Azure ハイブリッド特典を取得すると、クラウドでワークロードを実行するコストを削減するのに役立ちます。 オンプレミスのソフトウェア アシュアランス対応の Windows Server および SQL Server ライセンスを Azure で使用できます。 Red Hat および SUSE Linux サブスクリプションを使用することもできます。

• Azure 予約を取得すると、複数の製品プランを 1 年分または 3 年分コミットできます。 予約プランにはリソース割引があります。これにより、従量課金制の価格と比較して、リソース コストを最大 72% まで大幅に削減できます。

• コンピューティング用 Azure 節約プランを取得すると、従量課金制の価格と比較して最大 65% 節約できます。 リージョン、インスタンス サイズ、オペレーティング システムに関係なく、コンピューティング サービスに適用される 1 年または 3 年間のコミットメントを選択できます。 仮想マシン、専用ホスト、コンテナー インスタンス、Azure プレミアム機能、App Services などのコンピューティング コンポーネント用プランを選択します。 Azure 節約プランと Azure 予約を組み合わせて、コンピューティング コストと柔軟性を最適化できます。

• Azure ポリシーを使用すると、特定のリージョン、リソースの種類、リソース SKU を有効にできます。

• Azure Storage のライフサイクル管理でルールベースのポリシーを使用すると、最適なアクセス層に BLOB データを移行したり、データ ライフサイクルの最後にデータを期限切れにしたりすることができます。

• Azure dev/test サブスクリプションを使用すると、非運用ワークロード用の一部の Azure サービスに割引価格でアクセスできます。

• 自動スケールを使用すると、パフォーマンスのニーズに合わせてリソースを動的に割り当ておよび割り当て解除することによって、支出を節約できます。

• Azure Spot Virtual Machines を使用すると、未使用のコンピューティング容量を割引コストで利用できます。 Spot Virtual Machines は、バッチ処理ジョブ、開発/テスト環境、大規模なコンピューティング ワークロードなど、中断に対応できるワークロードに最適です。

• 適切な Azure サービスを選択すると、コストを削減できます。 一部の Azure サービスは 12 か月間無料ですが、他の一部のサービスは常に無料です。

• アプリケーションに適したコンピューティング サービスを選択すると、コスト効率の向上に役立ちます。 Azure には、コードをホストするためのさまざまな方法が用意されています。

リソース管理の考慮事項

• 環境内のリソース グループが、一貫性を提供するために必要な構成、共通のライフサイクル、共通アクセス制約 (RBAC など) を共有できるかどうかを判断します。

• 操作のニーズに最も適した、アプリケーションまたはワークロードのサブスクリプション設計を選びます。

• 組織内で標準的なリソース構成を使用して、一貫性のあるベースライン構成を確保します。

セキュリティに関する考慮事項

• セキュリティ ベースラインの一環として、ツールとガードレールを環境全体に適用します。

• 逸脱が見つかった場合は、適切なユーザーに通知してください。

• Microsoft Defender for Cloud などのツールや、Microsoft クラウド セキュリティ ベンチマークなどのガードレールを適用するために、Azure Policy の使用を検討してください。

ID 管理に関する考慮事項

• ID およびアクセス管理のための監査ログに誰がアクセスできるようにするかを判断します。

• 不審なサインイン イベントが発生した場合は、適切なユーザーに通知してください。

• Microsoft Entra レポートを使用してアクティビティを管理することを検討してください。

• プラットフォームの中央の Azure Monitor ログ ワークスペースに Microsoft Entra ID ログを送信することを検討してください。

• アクセス レビューやエンタイトルメント管理などの Microsoft Entra ID ガバナンス機能について説明します。

Microsoft 以外のツールの使用

• AzAdvertizer を使用して、Azure のガバナンス用更新プログラムを取得します。 たとえば、ポリシー定義、イニシアチブ、エイリアス、セキュリティ、規制コンプライアンス制御に関する分析情報は Azure Policy または Azure RBAC ロール定義で確認できます。 また、リソース プロバイダーの操作、Microsoft Entra ロールの定義およびロール アクション、ファースト パーティの API アクセス許可に関する分析情報を取得することもできます。

• Azure Governance Visualizer を使用して、技術的なガバナンス資産を追跡します。 Azure ランディング ゾーンのポリシー バージョン チェッカー機能を使用すると、環境を最新の Azure ランディング ゾーン ポリシーのリリース状態に保つことができます。

Azure のガバナンスに関する推奨事項

デプロイ高速化に関する推奨事項

• 必要な Azure タグを特定し、追加ポリシー モードを使用して使用法を適用します。 詳細については、「タグ付け戦略を定義する」を参照してください。

• 規制およびコンプライアンスの要件を、Azure Policy 定義と Azure ロールの割り当てにマッピングします。

• 継承されたスコープで割り当てられる場合があるため、Azure Policy 定義を最上位レベルのルート管理グループで確立します。

• 必要に応じて、最下位レベルでの除外を使用して、最適なレベルでポリシーの割り当てを管理します。

• Azure Policy を使用して、サブスクリプションまたは管理グループのレベルでリソース プロバイダーの登録を制御します。

• 組み込みポリシーを使用して、運用上のオーバーヘッドを最小限に抑えます。

• 特定のスコープでビルトイン リソース ポリシーの共同作成者ロールを割り当てて、アプリケーションレベルのガバナンスを有効にします。

• 継承されたスコープでの除外による管理を回避するには、ルート管理グループ スコープで Azure Policy 割り当ての数を制限します。

コスト管理に関する推奨事項

• Cost Management を使用すると、環境内のリソースへの財務的な監視を実装できます。

• コスト センターやプロジェクト名などのタグを使用して、リソース メタデータを追加します。 このアプローチは経費を詳細に分析するのに役立ちます。

Azure ランディング ゾーン アクセラレータでの Azure のガバナンス

Azure ランディング ゾーン アクセラレータは、組織に成熟したガバナンス制御を提供します。

たとえば、次のような実装を行います。

• リソースを機能またはワークロードのタイプ別にグループ化する管理グループ階層。 この方法により、リソースの一貫性が促進されます。

• 管理グループ レベルでガバナンス制御を可能にする Azure ポリシーの豊富なセット。 この方法はすべてのリソースがスコープ内にあることを確認するのに役立ちます。