Azure サービス グループとは

Azure サービス グループは、既存の Azure リソース階層と並行して、サブスクリプションとリソース グループ間でリソースを整理および管理するための柔軟な方法を提供します。 これらは、クロス境界グループ化、最小限のアクセス許可、およびリソース間のデータの集計を必要とするシナリオに最適です。 これらの機能により、チームは運用、組織、またはペルソナベースのニーズに合わせて調整されたリソース コレクションを作成できます。 この記事では、サービス グループの概要、それらを使用するシナリオ、および重要な事実について説明します。

主な機能

• 複数階層: サービス グループを使用すると、リソースを複数の目的で異なるビューにグループ化できるシナリオが可能になります。
• 柔軟なメンバーシップ: サービス グループを使用すると、さまざまなサブスクリプションのリソースをグループ化して、統一されたビューと管理機能を提供できます。 また、サブスクリプション、リソース グループ、およびリソースをグループ化することもできます。 同じリソースをさまざまなサービス グループに接続できるため、さまざまな顧客ペルソナやシナリオを作成して使用できます。
• 低い特権管理: サービス グループは最小限のアクセス許可で動作するように設計されており、ユーザーは過剰なアクセス権を必要とせずにリソースを管理できます。

シナリオの例

お客様は、リソースの整理方法をサポートするさまざまなビューを作成できます。

• リソースの統合ビュー

  • 複数のアプリケーションと環境を持つ組織は、サービス グループを使用して、さまざまな環境にわたるリソース情報の一元的なビューを作成できます。 さまざまな管理グループまたはサブスクリプション内のさまざまな環境のメンバー リソースまたはリソース コンテナーを 1 つのサービス グループにリンクして、リソースの詳細の統合された参照ポイントを提供できます。
  • サービス グループはメンバーからアクセス許可を継承しないため、お客様は最小特権の原則を適用して、リソース情報の表示を許可するアクセス許可をサービス グループに割り当てることができます。 この機能を使用すると、2 人のユーザーが同じサービス グループにアクセスできるが、特定のリソースの表示が許可されるのは 1 人だけのシナリオです。

• インベントリの作成

  • お客様は、リソースをサービス グループに接続して、環境内の特定の種類または機能のすべてのリソースの統合ビューを取得できます。

• さまざまなペルソナ
  • サービス グループを使用すると、組織は、異なるペルソナと独自の個々のビューについて、同じリソースに対して複数の階層を管理できます。 お客様は、同じリソースを使用して、ワークロード サービス グループ、部門サービス グループ、およびすべての運用リソースを含むサービス グループのメンバーにすることができます。

動作方法

Azure サービス グループは、リソースのグループ化を可能にする並列テナント レベル階層です。 管理グループ、サブスクリプション、およびリソース グループからの分離により、サービス グループは、既存の構造に影響を与えることなく、さまざまなリソースとリソース コンテナーに何度も接続できます。

サービス グループに関する情報

• サービス グループは、Microsoft.Management リソース プロバイダー内に作成されます。
• サービス グループを使用すると、自己入れ子で最大 10 レベルのグループ化深度を作成できます。 入れ子は、サービス グループ リソース内の 'parent' プロパティで管理できます。
• サービス グループのロールの割り当ては、 子サービス グループにのみ継承できます。 リソースまたはリソース コンテナーへのメンバーシップによる 継承はありません 。
• 同じサブスクリプション内からのサービス グループ メンバーは 2,000 人に制限されています。
• プレビュー ウィンドウ内には、1 つのテナントに 10,000 個のサービス グループの制限があります。
• サービス グループとサービス グループ メンバー ID では、最大 250 文字がサポートされます。 英数字と特殊文字を指定できます: - _ ( )。 ~
• サービス グループには、グローバルに一意の ID が必要です。 2 つの Microsoft Entra テナントに、同じ ID を持つサービス グループを含めることはできません。
• サービス グループへのメンバーシップは、目的のサービス グループを対象としながら、目的のメンバー (リソース、リソース グループ、またはサブスクリプション) の "Microsoft.Relationship/ServiceGroupMember" によって管理されます。

Azure Resource Manager のグループ化

Azure には、お客様がさまざまなスケールでリソースを管理できるようにする、さまざまなリソース コンテナーが用意されています。 サービス グループは、環境の整理に使用される Azure Resource Manager (ARM) コンテナーのファミリの中で最も新しいだけです。

次の表に、グループ間の違いの概要を示します。

シナリオの比較

*: ポリシーがスコープに適用されると、スコープ内のすべてのメンバーに適用されます。 たとえば、リソース グループでは、その下のリソースにのみ適用されます。

**: タグはスコープ間で適用でき、リソースに個別に追加されます。 Azure Policy には、タグの管理に役立つ組み込みのポリシーがあります。

: Azure タグを Azure Policy 内の条件として使用して、特定のリソースにポリシーを適用できます。 Azure タグには制限があります。

サービス グループに関する重要な事実

• 1 つのテナントで 10,000 のサービス グループをサポートできます。
• サービス グループ ツリーでは、最大 10 レベルの深度をサポートできます。 この制限にはルート レベルは含まれません。
• 各サービス グループには、多数の子を含めることができます。
• 1 つのサービス グループ名/ID は最大 250 文字です。
• サービス グループのメンバー数に制限はありませんが、サブスクリプション内のリレーションシップ (ServiceGroupMember を含む) は 2,000 個に制限されています

ルート サービス グループ

管理グループと同様に、サービス グループには 1 つのルート サービス グループがあります。これは、そのテナント内のすべてのサービス グループの最上位の親です。 ルート サービス グループの ID は、そのテナント ID と同じです。

サービス グループは、テナント内で受信した最初の要求にルート サービス グループを作成します。ユーザーはルート サービス グループを作成または更新できません。 "/providers/microsoft.management/servicegroups/[tenantId]"

ルートへのアクセス権は、テナント レベルで "microsoft.authorization/roleassignments/write" アクセス許可を持つユーザーから付与する必要があります。 たとえば、テナントのグローバル管理者は、テナントに対するアクセス権を昇格して、これらのアクセス許可を持つことができます。 テナント全体管理者アクセスの昇格に関する詳細

ロール ベースのアクセス制御

プレビューでは、サービス グループをサポートするための 3 つの組み込みロール定義があります。

• サービス グループ管理者: この組み込みロールは、サービス グループとリレーションシップのすべての側面を管理し、サービス グループを作成するときにユーザーに与えられる 既定のロール です。

• サービス グループ共同作成者: この組み込みロールは、サービス グループのライフサイクルを作成または管理する必要があるときに、ユーザーに付与する必要があります。 このロールでは、ロールの割り当て機能を除くすべてのアクションが許可されます。

• サービス グループ閲覧者: この組み込みロールは、サービス グループ情報への読み取り専用アクセスを提供し、接続されたリレーションシップを表示するために他のリソースに割り当てることができます。

テナント内で有効なアクセス許可を持つすべてのユーザーは、ルートの下にサービス グループを作成できます。 サービス グループを作成するユーザーは、"サービス グループ管理者" になります。 サービス グループを編集したり、子サービス グループを作成したりするには、ユーザーがそのサービス グループで "サービス グループ共同作成者" を持っている必要があります。 メンバーを追加するには、ユーザーがサービス グループに 'サービス グループ共同作成者' を持ち、リソースに対して Microsoft.Relationship/write を持っている必要があります。

関連コンテンツ

• クイック スタート: REST API を使用してサービス グループを作成する
• 方法: サービス グループを管理する
• REST API を使用してサービス グループ メンバーを接続する