MicrosoftがAzure管理グループの提供開始を発表

Microsoftは、Azure管理グループの一般供与を開始すると発表した。管理グループ内のすべてのサブスクリプションをオーガナイズし、ガバナンスを適用する機能を提供する。Azure管理グループはこれを、Azureポリシやロールベースのアクセス管理などの集中管理を実装することで実現している。

この発表により、3つの大手クラウドプロバイダすべてが、サブスクリプションをグループ化する手段を提供することになった。AamzonはAWS Organizationsで、GoogleはResource Manager階層を使って、そしてMicrosoftは今回、Azure管理グループの導入でこれを実現する。いずれのケースにおいてもベンダは、これらグループ化サービスが統合的なアクセス制御を実現し、組織全体のポリシを通じたセキュリティとコンプライアンスを向上すると同時に、クラウド利用に関する可視性と保守性の向上にも役立つと主張している。今回リリースされたAzure管理グループでは、Enterprise Agreement、Pay-As-You-Go、Certified Solution Partnerなど、あらゆる種類のサブスクリプションをグループ化するオプションが提供されている。

引用元: https://docs.microsoft.com/en-us/azure/azure-resource-manager/management-groups-overview

管理グループ内のすべてのレベルで、ガバナンスルールとコンプライアンスルールを適用することができる。設定したルールは、グループの階層内の全サブスクリプションによって継承される。その中のひとつであるAzureポリシは、仮想マシンにSKUのサブセットのみを許可したり、あるいは命名標準に適合させたりするなどの規則や効力をAzureリソースに対して適用するものである。別の選択肢として、ロールベースのアクセス管理(RBAC)を使って、複数のサブスクリプションを対象としたアクセス管理を実施することも可能だ。

管理グループで定義されたポリシーとルールを、階層内の下位レベルで変更することはできない。これにより、サブスクリプションに対する厳密なガイダンスの適用が可能になる。Azure管理グループを用いた作業では、いくつかの重要な制限事項を遵守する必要がある。

• 1つのディレクトリでサポートされる管理グループは最大10000である。
• 管理グループツリーは、ルートレベルとサブスクリプションレベルを含んで、最大8レベルの深さをサポートする。
• 管理グループは複数の子を持つことができるが、サブスクリプションと管理グループはひとつの親しか持つことができない。
• サブスクリプションと管理グループはすべて、各ディレクトリ内のひとつの階層に含まれる。
• カスタムRBACロールは、管理グループでは現時点ではサポートされていない。

Benoit Hamet氏の作成したステップバイステップの作業概要によると、Azure管理グループの実施は、管理グループの作成から始まる。実施プロセスとしては、最初にルートグループを構築し、すべての既存のサブスクリプションをその配下に移動する。管理グループの作成後、ディレクトリ管理者は、自分自身をそのグループの所有者に昇格させる必要がある。それが完了すれば、さらに管理グループを追加して、完全な階層ツリーを構築することが可能になる。グループを階層内の別のレベルに配置するためには、別の管理グループの子にする必要がある。サブスクリプションをグループ間で移動する場合も同様である。 このように、階層内でサブスクリプションあるいは管理グループの位置を変更することで、親の管理グループのルールとポリシが継承されて、ガバナンスコントロールの再利用が可能になる。

AzureエキスパートでMicrosoft MVPのAidan Finn氏は、Azure管理グループは、多数のサブスクリプションを所有する企業のガバナンスとコンプライアンスの向上を支援する、と述べている。

単一テナントに多数のサブスクリプションを持つ複雑な組織がある場合、管理グループは、RBACモデルとAzureポリシガバナンスをすべての組織およびサブスクリプションのレベルでセットアップする上で、極めて大きな価値があります。