お疲れ様です。
プロスポーツ選手の引退年齢が伸びていて、昔に比べてITに限らずスポーツ医学も日々進化をしているんだなと感じる宮﨑です。
今回はAzure管理グループの解説になります。
管理グループとは
組織に多数の Azure サブスクリプションがある場合は、これらのサブスクリプションのアクセス、ポリシー、およびコンプライアンスを効率的に管理する方法が必要になることがあります。 管理グループのガバナンス範囲は、サブスクリプションを上回ります。 サブスクリプションを管理グループにまとめると、適用するガバナンス条件は関連付けられているすべてのサブスクリプションへの継承によりカスケード表示されます。
管理グループを使うと、サブスクリプションの種類に関係なく、エンタープライズ レベルの管理を大規模に行うことができます。 ただし、単一の管理グループ内のすべてのサブスクリプションは、同じ Azure Active Directory (Azure AD) テナントを信頼する必要があります。
たとえば、仮想マシン (VM) の作成に使えるリージョンを制限するポリシーを管理グループに適用できます。 このポリシーは、入れ子になったすべての管理グループ、サブスクリプション、リソースに適用され、承認されたリージョンでのみ VM の作成を許可します。 Microsoft Azure 管理グループとは
Azure portal を使用して Azure ロールを割り当てるより引用
リソースを作成するなどの権限やポリシーは4階層それぞれのスコープに対して設定ができます。上位のスコープに設定した場合は下位のスコープに継承されます。
管理グループに権限を設定した場合は下位のサブスクリプションにもその権限が継承されます。
使用用途
例えばあなたの企業がリソースを保存する際は、日本やアメリカの地域限定にしてくださいという指示があった際、複数あるサブスクリプションにひとつひとつ権限を付与していくのは大変です。また数が多い場合、付与のし忘れでミスが生じてしまう可能性もあります。
同じ権限を付与したい複数のサブスクリプションをひとつの管理グループにまとめて、その管理グループに権限を付与すれば一回で済む、ということになります。管理も大変楽ですし付与のし忘れも防げます。
注意点というわけではないですが、サブスクリプションが単体の場合管理グループを作成するメリットは特にないです。作成は出来ますが余計なスコープが増えるだけになります。
作成方法
Azureポータルで管理グループを検索して、選択します。
Tenant Root Groupという管理グループがありますが、こちらは各ディレクトリに1つの最上位管理グループです。すべての管理グループとサブスクリプションはルート管理グループにまとめられます。
新しいサブスクリプションは作成時に自動的にルート管理グループに設定されます。下に表示されているサブスクリプションがそれですね。また他の管理グループと異なり、ルート管理グループを移動または削除することはできないので注意してください。
新しくルートグループを作成してみます。画面左上の作成を選択します。
管理グループID、管理グループ表示名を記入してSubmitを選択します。
しばらく待ってから更新を選択するとテストという管理グループが表示されました。せっかくなので今あるサブスクリプションをルート管理グループ内からルート管理グループ内のテスト管理グループ内に移動させてみましょう。
サブスクリプションの右にある…、移動を選択します。
新しい親管理グループを選択して保存を選択します。
しばらく待ち、更新を選択すると、サブスクリプションが移動しました。
まとめ
権限がどれくらいの規模かを考えて、管理グループや他のスコープを上手く活用する必要性があると感じました。
今回の記事で管理グループ、サブスクリプション、リソースグループ、リソースのスコープ4つの記事を書くことが出来ました。今後更にAzureを学んでいく中で大切な基礎の要素なので、時々見返して復習します。最後まで読んでいただきありがとうございました。