管理グループ(Management Groups)
Azure の最上位レベルで企業全体を階層管理するための仕組み
Azure では、大規模な組織になるほど「サブスクリプションが増える」ため、まとめて一元管理できる仕組み が必要になります。これを実現するのが 管理グループ(Management Groups) です。
■ 管理グループとは?
管理グループは、サブスクリプションをまとめて管理するための論理的な入れ物です。
- 管理グループ
└ サブスクリプション
└ リソースグループ
└ リソース(VM、Storage…)
管理グループはサブスクリプションより上位の階層 にあり、
組織全体に統一ルールを適用するためのレイヤー として利用されます。
■ 管理グループで出来ること
1. ポリシーの一括適用(Azure Policy)
例:
- 全サブスクリプションで「Japan East 以外の作成を禁止」
- 全リソースで「タグを強制」
→ 管理グループに設定すると、配下の全サブスクリプションへ自動的に継承。
2. アクセス権限(RBAC)の一括設定
例:
- 管理グループに「閲覧者ロール」を付与
→ 配下のすべてのサブスクリプションへ継承
大企業ほど「部門ごとに管理グループを作成」して運用します。
3. 組織の階層構造に合わせたガバナンス
管理グループは階層化可能(最大 6 階層)。
例:
- 全社
└ 開発部
└ Dev 用サブスクリプション
└ 本番部
└ Prod 用サブスクリプション
→ 組織の構造と同じ階層でクラウドを管理可能。
■ 管理グループが必要になる典型ケース
- サブスクリプションが複数存在する
- 部門やプロジェクトごとにルールを分けたい
- 全社ルールと部門ルールを整理したい
- 監査・統制(ガバナンス)を徹底したい
AZ-900 ではガバナンスの理解が問われるため、管理グループは頻出です。
■ 管理グループとサブスクリプションの違い
| 項目 | 管理グループ | サブスクリプション |
|---|---|---|
| 役割 | 統制・ガバナンスの上位階層 | 課金単位としての環境 |
| 階層位置 | サブスクリプションの上 | リソースグループの上 |
| ガバナンス | 全サブスクリプションへ継承 | 単体で設定 |
| ポリシー適用 | 一括で可能 | 個別設定 |
| 利用シーン | 組織全体の統制 | プロジェクト・環境単位の利用 |
■ 管理グループの構成例(AZ-900でよく出る)
Root Management Group
│
├── Corp-Prod
│ ├── Subscription-Prod-App
│ └── Subscription-Prod-DB
│
└── Corp-Dev
├── Subscription-Dev-App
└── Subscription-Dev-Test
→ 各管理グループにポリシーを設定して、
配下のサブスクリプションへ自動的に適用する構造。
■ 管理グループの主なメリット(試験向け)
- ガバナンスを統一できる
- RBAC の継承で管理が楽になる
- ポリシーの一括適用でコンプライアンスを強制できる
- 大規模組織の階層を Azure 上で表現できる
AZ-900 では「複数サブスクリプションの統制=管理グループ」が正解になりやすい。