Azure 管理グループまわりのメモ
サブスクリプションとかについて調べてたら「管理グループ」という概念に出くわした
https://docs.microsoft.com/ja-jp/azure/role-based-access-control/rbac-and-directory-admin-roles
自分向けの結論
大企業向けの「管理グループ」という機能はあるが、今は必要ないので触らない
Azure ADという単位で、ひとつの管理グループみたいなものがあると思ってドキュメントは参照する
https://docs.microsoft.com/ja-jp/azure/governance/management-groups/overview
複数のサブスクリプションを扱うための概念が「管理グループ」っぽい
管理グループもまた階層構造を持つ
最上位を「ルート管理グループ」という
組織構造に合わせて、各部署の管理グループを作る
https://gyazo.com/7e52c5c4a97b12a47cca68cad0b5ec17
大企業だと便利そうmiyamonz.icon
とするといま使ってるAzure AD上の1つのサブスクリプションの操作権限をmiyamonz.iconが持っているが、
miyamonz.iconの人間としてのアカウントは、何らかの管理グループに所属しているのだろうか
上の図の全体のことを「ディレクトリ」と呼んでいるっぽい
上記の「管理グループ」と「Azure AD」との関係がよくわからない
https://docs.microsoft.com/ja-jp/azure/governance/management-groups/create
管理グループは、複数のサブスクリプションのアクセス、ポリシー、コンプライアンスを管理するのに役立つコンテナーです。 これらのコンテナーを作成して、Azure Policy と Azure ロール ベースのアクセス制御で使用できる効果的で効率的な階層を構築します。
管理グループが、子の管理グループやサブスクリプションを持つ
これは上の図でわかる
コンテナとしての役割がある
そしてこのコンテナ単位の中に置いて、Azure Policyとかロールベースのアクセス制御の操作ができるっぽい
コンテナの階層構造に基づくルールの適用とかはあるだろう
テナント内のすべての Azure AD ユーザーは、そのユーザーに割り当てられた管理グループの書き込みアクセス許可なしで管理グループを作成できます。
この新しい管理グループは、ルート管理グループの子になり、作成者には "所有者" ロールの割り当てが付与されます。
管理グループ サービスでは、この機能が許可されるため、ルート レベルでのロールの割り当ては必要ありません。
ルート管理グループには、その作成時に、どのユーザーもアクセスできません。
管理グループの使用を開始する場合に
Azure AD の全体管理者を見つけるという困難を回避するために、
ルート レベルで最初の管理グループを作成できるようになっています。
上記ドキュメントは
azure /ガバナンス/管理グループ
というパンくず分類だが
https://docs.microsoft.com/ja-jp/azure/role-based-access-control/
ロールベースのアクセス制御
との関係がよくわからない
portalで管理グループで調べたら出てきた
https://gyazo.com/4298fbb7c27aec207246eefa8e72b072
Azure ADがある状態でも、「管理グループの使用を開始してない状態」がある
上の図の「詳細情報」のリンクはこれ
https://docs.microsoft.com/ja-jp/azure/governance/management-groups/create
管理グループを作成せずに利用はできていた
Azure ADという単位でユーザや各種サブスクリプションを管理することはできていた
大企業でないなら無理に使用する必要はないだろう
内部的にはどのようにやっているかはさておき、一つのルート管理グループとしてやっているようなものと考えておこう