ある大企業がAzureの管理階層を設計しようとしている。複数の事業部門があり、各部門がそれぞれ複数のサブスクリプションを保有している。会社全体のポリシー(すべてのリソースへのタグ強制・特定リージョン外デプロイ禁止)を一括適用し、部門ごとのアクセス制御と予算管理も行いたい。最も適切なAzureの管理階層構造はどれか。
- A. すべてのリソースを単一のサブスクリプション内の異なるリソースグループに配置する
- B. Azure管理グループを使用し、ルート管理グループ → 部門ごとの管理グループ → 各サブスクリプション → リソースグループという階層を構築する
- C. 各部門に対してMicrosoft Entra ID(旧 Azure AD)テナントを別々に作成する
- D. Azure Blueprintsのみを使用してすべての設定を管理する
解答と解説を見る
正解: B
Azure管理グループはサブスクリプションをグループ化して階層を作成できるコンテナで、管理グループレベルで設定したAzure PolicyとRBACは配下のすべてのサブスクリプション・リソースグループ・リソースに継承される。ルート管理グループに会社全体のポリシーを、部門管理グループに部門固有のポリシー・アクセス制御を設定することで、一括管理と部門分離の両立が可能。選択肢Aの単一サブスクリプションは規模が大きくなると管理・コスト分離・ガバナンスの限界に達する。選択肢CのEntra IDテナント分離は別の組織管理単位を作ることになり、テナント間の連携が複雑になる(Entra IDテナントはサブスクリプションの管理単位とは別軸の概念)。選択肢DのBlueprintsはポリシーとRBACを環境に適用するオーケストレーションツールで、管理グループなしには階層的なガバナンスを実現できない。