管理グループを作成する
複数のサブスクリプションを使用する組織には、アクセス、ポリシー、コンプライアンスを効率的に管理する方法が必要です。 Azure 管理グループ のスコープと制御のレベルは、サブスクリプションを上回ります。 管理グループをコンテナーとして使用して、サブスクリプション全体のアクセス、ポリシー、コンプライアンスを管理できます。
管理グループについて知っておくべきこと
Azure 管理グループの次の特性を考慮します。
既定では、新しいサブスクリプションはすべて、最上位レベルの管理グループ、すなわち "ルート グループ" の下に配置されます。
管理グループ内のすべてのサブスクリプションは、管理グループに適用された条件を自動的に継承します。
管理グループのツリーは、最大 6 レベルの深さをサポートできます。
Azure のロールベースのアクセス制御の認可は、管理グループの操作に対しては既定では有効になりません。
次の図は、Azure 管理グループを使用して、統合ポリシーとアクセス管理の階層でサブスクリプションを整理する方法を示しています。 このシナリオの組織には、1 つの最上位レベルの管理グループがあります。 ルート グループの下のすべてのディレクトリは、最上位グループに含まれます。
管理グループを使用する際の考慮事項
Azure Policy の管理グループを使用してサブスクリプションを管理するための次の方法を確認します。
カスタムの階層とグループを検討します。 会社の組織構造とビジネス シナリオに対応するカスタムの階層とグループ化を使用して、Azure サブスクリプションを調整します。 管理グループを使用して、サブスクリプション全体のポリシーと支出予算を対象にすることができます。
ポリシーの継承を検討します。 ポリシー定義でアクセスと特権の階層継承を制御します。 管理グループ内のすべてのサブスクリプションは、管理グループに適用された条件を継承します。 ポリシーを管理グループに適用して、仮想マシン (VM) の作成に使用できるリージョンを制限できます。 このポリシーを、最初の管理グループの下にあるすべての管理グループ、サブスクリプション、リソースに適用して、VM が、指定されたリージョンでのみ確実に作成されるようにすることができます。
コンプライアンス規則を検討します。 サブスクリプションを管理グループにまとめると、個々の部門とチームのコンプライアンス規則を満たすのに役立ちます。
コスト レポートを検討します。 管理グループを使用して、部門別に、または特定のビジネス シナリオに関して、コスト レポートを作成します。 管理グループを使用して、サブスクリプション全体の予算の詳細を報告できます。
管理グループを作成する
管理グループは、Azure portal、PowerShell、または Azure CLI を使用して Azure Policy で作成できます。 Azure portal に表示される内容の例を次に示します。
管理グループには、ディレクトリ一意識別子 (ID) と表示名があります。 ID は、管理グループにコマンドを送信するために使用されます。 ID 値は、管理グループを識別するために Azure システム全体で使用されるため、作成後は変更できません。 管理グループの表示名は省略可能であり、いつでも変更できます。