標準的な企業のガバナンス ガイドStandard enterprise governance guide

ベスト プラクティスの概要Overview of best practices

このガバナンス ガイドは、ある架空の会社のガバナンスが成熟するさまざまな段階での経験に沿ったものです。This governance guide follows the experiences of a fictional company through various stages of governance maturity. 実際のお客様の体験に基づいています。It is based on real customer experiences. このベスト プラクティスは、架空の会社の制約とニーズに基づいています。The best practices are based on the constraints and needs of the fictional company.

すぐに始められるように、この概要では、ベスト プラクティスに基づくガバナンスのための実用最小限の製品 (MVP) が定義されています。As a quick starting point, this overview defines a minimum viable product (MVP) for governance based on best practices. また、新しいビジネスや技術的リスクが登場したときにベスト プラクティスをさらに追加するいくつかのガバナンス改善へのリンクも提供されています。It also provides links to some governance improvements that add further best practices as new business or technical risks emerge.

警告

この MVP は、一連の想定に基づくベースラインの起点です。This MVP is a baseline starting point, based on a set of assumptions. この最小限の一連のベスト プラクティスも、独自のビジネス リスクとリスク許容範囲によってもたらされる企業のポリシーに基づいています。Even this minimal set of best practices is based on corporate policies that are driven by unique business risks and risk tolerances. これらの想定がご自身にも当てはまるかどうかを確認するには、この記事に続く長文の物語をお読みください。To see whether these assumptions apply to you, read the longer narrative that follows this article.

ガバナンスのベスト プラクティスGovernance best practices

これらのベスト プラクティスは、お使いのサブスクリプションに対して組織が迅速かつ一貫してガバナンス ガードレールを追加するための基盤として機能します。These best practices serve as a foundation for an organization to quickly and consistently add governance guardrails across your subscriptions.

リソースの編成Resource organization

次の図では、リソースを編成するためのガバナンス MVP 階層を示します。The following diagram shows the governance MVP hierarchy for organizing resources.

リソース編成の図

すべてのアプリケーションを管理グループ、サブスクリプション、リソース グループ階層の適切な領域にデプロイする必要があります。Every application should be deployed in the proper area of the management group, subscription, and resource group hierarchy. デプロイ計画の間に、クラウド ガバナンス チームは、クラウド導入チームを支援するために必要なノードを階層に作成します。During deployment planning, the cloud governance team will create the necessary nodes in the hierarchy to empower the cloud adoption teams.

  1. 環境の種類 (運用、開発、テストなど) ごとに 1 つの管理グループ。One management group for each type of environment (such as production, development, and test).
  2. 2 つのサブスクリプション (運用環境ワークロード用に 1 つと非運用環境ワークロード用に 1 つ)。Two subscriptions, one for production workloads and another for nonproduction workloads.
  3. このグループ階層の各レベルで、一貫性のある用語体系を適用する必要があります。Consistent nomenclature should be applied at each level of this grouping hierarchy.
  4. リソース グループは、コンテンツのライフサイクルを考慮した方法でデプロイする必要があります。つまり、一緒に開発されたものはすべて、一緒に管理し、一緒に廃止します。Resource groups should be deployed in a manner that considers its contents lifecycle: everything that is developed together, is managed together, and retires together goes together. リソース グループのベスト プラクティスの詳細については、こちらを参照してください。For more information about resource group best practices, see here.
  5. リージョンの選択は非常に重要であり、ネットワーク、監視、監査をフェールオーバー/フェールバック用に配置できるように考慮し、必要な SKU を優先リージョンで使用できることを確認する必要があります。Region selection is incredibly important and must be considered so that networking, monitoring, auditing can be in place for failover/failback as well as confirmation that needed SKUs are available in the preferred regions.

このパターンの使用例を次に示します。Here is an example of this pattern in use:

中規模の会社のリソース編成の例

これらのパターンには、階層を必要以上に複雑にしないで成長に対応する余地があります。These patterns provide room for growth without complicating the hierarchy unnecessarily.

注意

ビジネス要件が変化した場合は、Azure 管理グループにより、管理階層とサブスクリプション グループの割り当てを簡単に再編成できます。In the event of changes to your business requirements, Azure management groups allow you to easily reorganize your management hierarchy and subscription group assignments. ただし、管理グループに適用されるポリシーとロールの割り当ては、階層内のそのグループの下にあるすべてのサブスクリプションで継承されることに注意してください。However, keep in mind that policy and role assignments applied to a management group are inherited by all subscriptions underneath that group in the hierarchy. 管理グループ間でサブスクリプションを再割り当てする場合は、ポリシーとロールの割り当てが変化する可能性があることを認識してください。If you plan to reassign subscriptions between management groups, make sure that you are aware of any policy and role assignment changes that may result. 詳細については、Azure 管理グループのドキュメントに関するページを参照してください。See the Azure management groups documentation for more information.

リソースのガバナンスGovernance of resources

一連のグローバル ポリシーと RBAC ロールにより、ガバナンスを実施するベースライン レベルが提供されます。A set of global policies and RBAC roles will provide a baseline level of governance enforcement. クラウド ガバナンス チームのポリシー要件を満たすには、ガバナンス MVP の実装で次のタスクを完了する必要があります。To meet the cloud governance team's policy requirements, implementing the governance MVP requires completing the following tasks:

  1. ビジネス要件の適用に必要な Azure Policy 定義を識別します。Identify the Azure Policy definitions needed to enforce business requirements. これには、組み込みの定義の使用と新しいカスタムの定義の作成が含まれる場合があります。This might include using built-in definitions and creating new custom definitions. 新しくリリースされる組み込み定義のペースについていくために、組み込みポリシーのすべてのコミットの Atom フィードがあります。これは RSS フィードで使用できます。To keep up with the pace of newly released built-in definitions, there's an atom feed of all the commits for built-in policies, which you can use for an RSS feed. または、AzAdvertizer を確認することもできます。Alternatively, you can check AzAdvertizer.
  2. これらの組み込みのカスタム ポリシーと、ガバナンス MVP で必要なロール割り当てを使用して、ブルー プリント定義を作成します。Create a blueprint definition using these built-in and custom policy and the role assignments required by the governance MVP.
  3. このブルー プリント定義をすべてのサブスクリプションに割り当てて、ポリシーと構成をグローバルに適用します。Apply policies and configuration globally by assigning the blueprint definition to all subscriptions.

ポリシー定義を識別するIdentify policy definitions

Azure が提供するいくつかの組み込みのポリシーとロール定義は、どの管理グループ、サブスクリプション、またはリソース グループにも割り当てることができます。Azure provides several built-in policies and role definitions that you can assign to any management group, subscription, or resource group. 多くの一般的なガバナンス要件は、組み込みの定義を使用して処理できます。Many common governance requirements can be handled using built-in definitions. しかし、特定の要件を処理するために、カスタム ポリシーの定義を作成する必要もある可能性が高いです。However, it's likely that you will also need to create custom policy definitions to handle your specific requirements.

カスタム ポリシー定義は、管理グループまたはサブスクリプションのいずれかに保存され、管理グループ階層を通じて継承されます。Custom policy definitions are saved to either a management group or a subscription and are inherited through the management group hierarchy. ポリシー定義の保存場所が管理グループの場合は、ポリシー定義をそのグループの子管理グループまたはサブスクリプションのいずれかに割り当てることができます。If a policy definition's save location is a management group, that policy definition is available to assign to any of that group's child management groups or subscriptions.

ガバナンス MVP のサポートに必要なポリシーは、現在のすべてのサブスクリプションに適用されることになっているため、次のビジネス要件は、組み込みの定義とルート管理グループで作成されたカスタム定義を組み合わせて使用し、実装されます。Since the policies required to support the governance MVP are meant to apply to all current subscriptions, the following business requirements will be implemented using a combination of built-in definitions and custom definitions created in the root management group:

  1. 使用可能なロール割り当てのリストを、クラウド ガバナンス チームが許可した一連の組み込み Azure ロールに制限します。Restrict the list of available role assignments to a set of built-in Azure roles authorized by your cloud governance team. これには、カスタム ポリシーの定義が必要です。This requires a custom policy definition.
  2. すべてのリソースで次のタグを必須にします。Department/Billing UnitGeographyData ClassificationCriticalitySLAEnvironmentApplication ArchetypeApplication、および Application OwnerRequire the following tags on all resources: Department/Billing Unit, Geography, Data Classification, Criticality, SLA, Environment, Application Archetype, Application, and Application Owner. これは、Require specified tag 組み込み定義を使用して処理することができます。This can be handled using the Require specified tag built-in definition.
  3. リソースの Application タグを、関連するリソース グループの名前と一致させる必要があります。Require that the Application tag for resources should match the name of the relevant resource group. これは、"タグとその値が必要" の組み込みの定義を使用して処理することができます。This can be handled using the "Require tag and its value" built-in definition.

カスタム ポリシーの定義については、Azure Policy のドキュメントをご覧ください。For information on defining custom policies see the Azure Policy documentation. カスタム ポリシーのガイダンスおよび例については、Azure Policy のサンプル サイトに関するページ、および関連するGitHub リポジトリに関するページをご覧ください。For guidance and examples of custom policies, consult the Azure Policy samples site and the associated GitHub repository.

Azure Blueprints を使用して Azure Policy および RBAC ロールを割り当てるAssign Azure Policy and RBAC roles using Azure Blueprints

Azure ポリシーは、リソース グループ、サブスクリプション、管理グループのレベルに割り当てることができ、Azure Blueprints の定義に含めることができます。Azure policies can be assigned at the resource group, subscription, and management group level, and can be included in Azure Blueprints definitions. このガバナンス MVP で定義されたポリシー要件は、現在のすべてのサブスクリプションに適用されますが、将来のデプロイでは、例外や代替のポリシーが高い確率で必要になります。Although the policy requirements defined in this governance MVP apply to all current subscriptions, it's very likely that future deployments will require exceptions or alternative policies. その結果、管理グループを使用してポリシーを割り当て、すべての子サブスクリプションがこれらの割り当てを継承した場合は、柔軟性が足りないために、これらのシナリオをサポートできない可能性があります。As a result, assigning policy using management groups, with all child subscriptions inheriting these assignments, may not be flexible enough to support these scenarios.

Azure Blueprints を使用すると、複数のサブスクリプション全体で、ポリシーとロールを一貫した方法で割り当て、Resource Manager テンプレートを適用し、リソース グループをデプロイできます。Azure Blueprints allows consistent assignment of policy and roles, application of Resource Manager templates, and deployment of resource groups across multiple subscriptions. ポリシー定義と同様に、ブループリント定義は管理グループまたはサブスクリプションに保存されます。Like policy definitions, blueprint definitions are saved to management groups or subscriptions. ポリシー定義は、管理グループ階層内の任意の子が、継承を通じて利用できます。The policy definitions are available through inheritance to any children in the management group hierarchy.

クラウド ガバナンス チームは、サブスクリプション全体に対する必要な Azure Policy と RBAC の割り当てを Azure Blueprints および関連するアーティファクトを通じて実装することを決定しました。The cloud governance team has decided that enforcement of required Azure Policy and RBAC assignments across subscriptions will be implemented through Azure Blueprints and associated artifacts:

  1. ルート管理グループ内で、governance-baseline という名前のブループリント定義を作成します。In the root management group, create a blueprint definition named governance-baseline.
  2. ブループリント定義に次のブループリント アーティファクトを追加します。Add the following blueprint artifacts to the blueprint definition:
    1. 管理グループ ルートで定義されたカスタム Azure Policy 定義のポリシー割り当て。Policy assignments for the custom Azure Policy definitions defined at the management group root.
    2. ガバナンス MVP で作成または管理されるサブスクリプション内で必要なすべてのグループのリソース グループ定義。Resource group definitions for any groups required in subscriptions created or governed by the Governance MVP.
    3. ガバナンス MVP で作成または管理されるサブスクリプション内で必要な標準ロール割り当て。Standard role assignments required in subscriptions created or governed by the Governance MVP.
  3. ブループリント定義を公開します。Publish the blueprint definition.
  4. governance-baseline ブループリント定義をすべてのサブスクリプションに割り当てます。Assign the governance-baseline blueprint definition to all subscriptions.

ブループリント定義の作成および使用の詳細については、Azure Blueprints ドキュメントをご覧ください。See the Azure Blueprints documentation for more information on creating and using blueprint definitions.

ハイブリッド VNet をセキュリティで保護するSecure hybrid VNet

特定のサブスクリプションでオンプレミス リソースに対する一定レベルのアクセス権が必要になることがよくあります。Specific subscriptions often require some level of access to on-premises resources. この状況が多く見られるのは、依存型リソースがオンプレミス データセンター内に存在する移行シナリオや開発シナリオです。This is common in migration scenarios or dev scenarios where dependent resources reside in the on-premises datacenter.

クラウド環境内で信頼が十分に確立されるまでは、オンプレミス環境とクラウド ワークロード間の許可された通信を厳重に制御および監視すること、およびクラウドベース リソースからの不正アクセスに対してオンプレミス ネットワークをセキュリティ保護することが重要です。Until trust in the cloud environment is fully established it's important to tightly control and monitor any allowed communication between the on-premises environment and cloud workloads, and that the on-premises network is secured against potential unauthorized access from cloud-based resources. これらのシナリオをサポートするため、ガバナンス MVP では、次のベスト プラクティスが追加されています。To support these scenarios, the governance MVP adds the following best practices:

  1. クラウドのセキュリティで保護されたハイブリッド VNet を確立します。Establish a cloud secure hybrid VNet.
    1. VPN 参照アーキテクチャで、Azure 内に VPN Gateway を作成するためのパターンとデプロイ モデルを確立します。The VPN reference architecture establishes a pattern and deployment model for creating a VPN Gateway in Azure.
    2. オンプレミスのセキュリティとトラフィック管理メカニズムで、接続されているクラウド ネットワークが信頼できないものとして扱われることを検証します。Validate that on-premises security and traffic management mechanisms treat connected cloud networks as untrusted. クラウドでホストされるリソースとサービスでは、許可されたオンプレミス サービスにのみアクセスできる必要があります。Resources and services hosted in the cloud should only have access to authorized on-premises services.
    3. オンプレミス データセンター内のローカル エッジ デバイスが Azure VPN Gateway の要件と互換性があり、パブリック インターネットにアクセスするように構成されていることを確認します。Validate that the local edge device in the on-premises datacenter is compatible with Azure VPN Gateway requirements and is configured to access the public internet.
    4. 最も単純なワークロードの場合を除き、VPN トンネルは運用に対応する回線と見なすべきではないことに注意してください。Note that VPN tunnels should not be considered production ready circuits for anything but the most simple workloads. オンプレミス接続を必要とする少数の単純なワークロードを超える場合は、Azure ExpressRoute を使用してください。Anything beyond a few simple workloads requiring on-premises connectivity should use Azure ExpressRoute.
  2. ルート管理グループ内で、secure-hybrid-vnet という名前のブループリント定義をもう 1 つ作成します。In the root management group, create a second blueprint definition named secure-hybrid-vnet.
    1. VPN Gateway の Resource Manager テンプレートをブループリント定義にアーティファクトとして追加します。Add the Resource Manager template for the VPN Gateway as an artifact to the blueprint definition.
    2. 仮想ネットワークの Resource Manager テンプレートをブループリント定義にアーティファクトとして追加します。Add the Resource Manager template for the virtual network as an artifact to the blueprint definition.
    3. ブループリント定義を公開します。Publish the blueprint definition.
  3. オンプレミス接続が必要なすべてのサブスクリプションに secure-hybrid-vnet ブループリント定義を割り当てます。Assign the secure-hybrid-vnet blueprint definition to any subscriptions requiring on-premises connectivity. この定義は、governance-baseline ブルー プリント定義に加えて割り当てる必要があります。This definition should be assigned in addition to the governance-baseline blueprint definition.

IT セキュリティ チームと従来のガバナンス チームから提起される最大の懸念の 1 つは、初期段階のクラウド導入が既存の資産を危険にさらすリスクです。One of the biggest concerns raised by IT security and traditional governance teams is the risk that early stage cloud adoption will compromise existing assets. クラウド導入チームは上記のアプローチを利用することで、オンプレミスの資産に対するリスクを軽減しながら、ハイブリッド ソリューションを構築および移行できます。The above approach allows cloud adoption teams to build and migrate hybrid solutions, with reduced risk to on-premises assets. クラウド環境での信頼が向上しているため、今後の発展に伴い、この一時的なソリューションは削除される可能性があります。As trust in the cloud environment increases, later evolutions may remove this temporary solution.

注意

上記の内容は、ベースラインのガバナンス MVP を迅速に作成するための出発点です。The above is a starting point to quickly create a baseline governance MVP. これはガバナンス体験の始まりに過ぎません。This is only the beginning of the governance journey. 会社がクラウドの導入を継続し、以下の領域でより多くのリスクを負うようになると、さらなる進化が必要になります。Further evolution will be needed as the company continues to adopt the cloud and takes on more risk in the following areas:

  • ミッションクリティカルなワークロードMission-critical workloads
  • 保護されたデータProtected data
  • コスト管理Cost management
  • マルチクラウド シナリオMulticloud scenarios

さらに、この MVP の具体的な詳細は、架空の会社の体験例に基づいて、以降の記事で説明されます。Moreover, the specific details of this MVP are based on the example journey of a fictional company, described in the articles that follow. このベスト プラクティスを実装する前に、このシリーズの他の記事を理解しておくことを強くお勧めします。We highly recommend becoming familiar with the other articles in this series before implementing this best practice.

反復的なガバナンスの改善Iterative governance improvements

この MVP をデプロイした後は、追加のガバナンス レイヤーを環境にすばやく組み込むことができます。Once this MVP has been deployed, additional layers of governance can be incorporated into the environment quickly. 特定のビジネス ニーズに合わせて MVP を改善する方法をいくつか次に示します。Here are some ways to improve the MVP to meet specific business needs:

このガイダンスで提供される内容What does this guidance provide?

MVP では、企業ポリシーを迅速に適用するために、デプロイ高速化規範のプラクティスとツールが確立されます。In the MVP, practices and tools from the Deployment Acceleration discipline are established to quickly apply corporate policy. 具体的には、MVP では、Azure Blueprints、Azure Policy、Azure 管理グループを使用して、この架空の会社の物語で定義されているいくつかの基本的な企業ポリシーが適用されます。In particular, the MVP uses Azure Blueprints, Azure Policy, and Azure management groups to apply a few basic corporate policies, as defined in the narrative for this fictional company. それらの企業ポリシーが Resource Manager テンプレートと Azure ポリシーを使用して適用されて、ID とセキュリティのための小さいベースラインが確立されます。Those corporate policies are applied using Resource Manager templates and Azure policies to establish a small baseline for identity and security.

増分ガバナンス MVP の例を示す図。

ガバナンス プラクティスの段階的な改善Incremental improvement of governance practices

このガバナンス MVP は、時間をかけたガバナンス プラクティスの改善に使用されます。Over time, this governance MVP will be used to improve governance practices. 導入が進むと、ビジネス上のリスクが増大します。As adoption advances, business risk grows. それらのリスクを管理するため、クラウド導入フレームワーク ガバナンス モデル内のさまざまな規範が変化します。Various disciplines within the Cloud Adoption Framework governance model will change to manage those risks. このシリーズの以降の記事では、架空の企業に影響を与える企業ポリシーの段階的な改善について説明します。Later articles in this series discuss the incremental improvement of corporate policy affecting the fictional company. これらの改善は、3 つの規範で発生します。These improvements happen across three disciplines:

  • Cost Management 規範: 導入がスケーリングするとき。The Cost Management discipline, as adoption scales.
  • セキュリティ ベースライン規範: 保護されたデータがデプロイされるとき。The Security Baseline discipline, as protected data is deployed.
  • リソースの整合性規範: IT 運用でミッション クリティカルなワークロードのサポートが始まるとき。The Resource Consistency discipline, as IT operations begins supporting mission-critical workloads.

ガバナンス プラクティスの段階的な改善の例を示す図。

次のステップNext steps

ガバナンス MVP について理解し、この後のガバナンスの改善についてわかったら、コンテキストについてさらに理解するのに役立つ物語を読んでください。Now that you're familiar with the governance MVP and have an idea of the governance improvements to follow, read the supporting narrative for additional context.