Azure の管理グループを作成してロールの割り当てを試してみた
2025.03.06Microsoft Azure には、Azure サブスクリプションを束ねて整理と管理ができるサービス「管理グループ」があります。本ブログでは、管理グループの作成と管理グループへの Azure ロールのアタッチを試してみたいと思います。
管理グループの設計に関する考慮事項や推奨事項は次のドキュメントに記載があります。
考慮事項には、どのような基準で管理グループを分割するのかといった内容や最大 6 レベルの深さまでサポートされていることなどが記載されています。推奨事項には、3 ないし 4 レベル以下のある程度フラットな階層構造が推奨であることや、中間ルート管理グループの作成等についての記載があります。
管理グループの構成例も記載されており、設計の参考になります。
引用元:管理グループ - Cloud Adoption Framework | Microsoft Learn
管理グループの作成
管理グループのメニューから設定します。初期状態では、Tenant Root Group が作成されています。
管理グループの略称の例として mg が次のドキュメントで紹介されているため、今回の設定では ID のプリフィックスに mg を付与したいと思います。
設定方法はシンプルであり、「作成」から管理グループを作成します。始めに、中間ルート管理グループに相当する mg-root を作成してみます。
管理グループ作成後の画面です。
同じ要領で複数の管理グループを階層化して作成した結果です。
次に Azure サブスクリプションを Sandbox 管理グループに移動してみます。移動させたいサブスクリプションの「…」を選択して「移動」を実行します。
移動先の管理グループを選択して「保存」します。
サブスクリプションの移動を確認できました。
管理グループへのロールの割り当て
次に、Sandbox 管理グループに Azure ロールをアタッチしてみます。
Sandbox 管理グループを選択して、メニューから「アクセス制御 (IAM) 」から選択します。
「追加」→「ロールの割り当ての追加を選択してロール設定を進めます。
ロールとして「共同作成者」を選択、メンバーとして検証用ユーザーを選択します。今回は「条件」設定はデフォルトのままとしています。
さいごに「レビューと割り当て」タブを確認して、問題なければ「レビューと割り当て」を実行して設定完了です。
ロールの割り当て確認画面です。先ほど Admin ユーザーに共同作成者ロールをアタッチした内容が反映されています。
検証用の Admin ユーザーで Azure ポータルにサインインしたところ、Sandbox 配下にあるサブスクリプションを確認できました。
以上、管理グループの作成と管理グループへの Azure ロールのアタッチ設定でした。
さいごに
実際に管理グループを作成し、管理グループへのロールの割り当てを実際に試してみること理解が深まりました。管理グループを対象に Azure ポリシーの設定もできるため、今後試してみたいと思います。
以上、このブログがどなたかのご参考になれば幸いです。
