AZ-104Azure の ID とガバナンスの管理MEDIUM単一選択

ある企業が Azure で 3 つの事業部門をそれぞれ独立したサブスクリプションで管理している。全サブスクリプションに統一的なガバナンスポリシー(タグ必須・特定リージョンのみ許可)を適用したい。また将来的に新しいサブスクリプションが追加されても自動的にポリシーが適用されるようにしたい。最もスケーラブルな構成はどれか。

  1. A. Entra ID のグローバル管理者が各サブスクリプションに手動でログインし、ポリシーを適用する
  2. B. 各サブスクリプションに同じ Azure Policy を個別に割り当て、新サブスクリプション追加時は手動でポリシーを割り当てる
  3. C. 3 つのサブスクリプションをすべて同じ管理グループに配置し、管理グループスコープで Azure Policy を割り当てる
  4. D. ARM テンプレートで Policy 割り当てをスクリプト化し、サブスクリプション追加ごとに実行する
解答と解説を見る

正解: C

管理グループは複数のサブスクリプションをまとめてガバナンスを一元適用するためのコンテナである。管理グループスコープで Azure Policy を割り当てると、その管理グループ配下の既存サブスクリプションすべてにポリシーが継承されるだけでなく、将来追加されたサブスクリプションも自動的に同じ管理グループに配置されれば即座にポリシーが適用される。これが管理グループの最大の利点であり、スケールに強いガバナンス設計が実現できる。選択肢Bは個別割り当ては管理負荷が高く、新サブスクリプション追加のたびに手動操作が必要になるため非推奨。選択肢DのARM テンプレートスクリプトも有効だが、管理グループを使った方が Infrastructure as Code の外でも自動的に継承されるため運用が容易。選択肢AのグローバルAD 管理者の手動操作は人的ミスのリスクが高く、スケーラビリティがない。

📚 関連サービスの解説: Azure Policy
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題