エンタープライズ規模の実装ガイドラインEnterprise-scale implementation guidelines

この記事では、エンタープライズ規模のプラットフォーム ネイティブ リファレンス実装を開始する方法と、設計目標の概要について説明します。This article covers how to get started with the enterprise-scale, platform-native reference implementation and outline design objectives.

エンタープライズ規模のアーキテクチャを実装するには、次のカテゴリのアクティビティの観点から考える必要があります。In order to implement the enterprise-scale architecture, you must think in terms of the following categories of activities:

  1. エンタープライズ規模のアーキテクチャに該当するもの: 初期構成を確立するために Azure および Azure Active Directory (Azure AD) の管理者が実行する必要があるアクティビティが含まれます。What must be true for the enterprise-scale architecture: Encompasses activities that must be performed by the Azure and Azure Active Directory (Azure AD) administrators to establish an initial configuration. これらのアクティビティは本質的にシーケンシャルであり、主に 1 回限りのアクティビティです。These activities are sequential by nature and primarily one-off activities.

  2. 新しいリージョンを有効にする ([ファイル]、[新規]、[リージョン] の順に選択): エンタープライズ規模のプラットフォームを新しい Azure リージョンに拡張する必要がある場合に常に必要なアクティビティが含まれます。Enable a new region (File > New > Region): Encompasses activities that are required whenever there is a need to expand the enterprise-scale platform into a new Azure region.

  3. 新しいランディング ゾーンをデプロイする ([ファイル]、[新規]、[Landing Zone](ランディング ゾーン)): これらは、新しいランディング ゾーンのインスタンスを作成するために必要な定期的なアクティビティです。Deploy a new landing zone (File > New > Landing Zone): These are recurring activities that are required to instantiate a new landing zone.

大規模に運用するには、これらのアクティビティがコードとしてのインフラストラクチャ (IaC) の原則に従っている必要があり、デプロイ パイプラインを使用して自動化される必要があります。To operationalize at scale, these activities must follow infrastructure-as-code (IaC) principles and must be automated by using deployment pipelines.

エンタープライズ規模のランディング ゾーンに該当することWhat must be true for an enterprise-scale landing zone

以降のセクションでは、Azure 向けの Microsoft Cloud 導入フレームワークでこのアクティビティのカテゴリを完了する手順について説明します。The following sections list the steps to complete this category of activity in the Microsoft Cloud Adoption Framework for Azure.

Enterprise Agreement の登録と Azure AD テナントEnterprise Agreement enrollment and Azure AD tenants

  1. Enterprise Agreement (EA) 管理者と通知アカウントを設定します。Set up the Enterprise Agreement (EA) administrator and notification account.

  2. 部署 (事業領域/地域ベース/組織) を作成します。Create departments: business domains/geo-based/org.

  3. 部署の下に EA アカウントを作成します。Create an EA account under a department.

  4. オンプレミスから ID を同期する場合は、Azure AD テナントごとに Azure AD Connect を設定します。Set up Azure AD Connect for each Azure AD tenant if the identity is to be synchronized from on-premises.

  5. Azure リソースへのゼロ スタンディング アクセスと、Azure AD Privileged Identity Management (PIM) によるジャストインタイム アクセスを確立します。Establish zero standing access to Azure resources and just-in-time access via Azure AD Privileged Identity Management (PIM).

管理グループとサブスクリプションManagement group and subscription

  1. 管理グループとサブスクリプションの組織の推奨事項に従って、管理グループ階層を作成します。Create a management group hierarchy by following the recommendations in Management group and subscription organization.

  2. サブスクリプション プロビジョニングの基準とサブスクリプションの所有者の責任を定義します。Define the criteria for subscription provisioning and the responsibilities of a subscription owner.

  3. プラットフォーム管理、グローバル ネットワーク、接続と ID のリソース (Active Directory ドメイン コントローラーなど) 用に、管理、接続、および ID の各サブスクリプションを作成します。Create management, connectivity, and identity subscriptions for platform management, global networking, and connectivity and identity resources like Active Directory domain controllers.

  4. 継続的インテグレーションと継続的配置を実現するために、プラットフォーム パイプラインで使用する IaC とサービス プリンシパルをホストする Git リポジトリを設定します。Set up a Git repository to host IaC and service principals for use with a platform pipeline for continuous integration and continuous deployment.

  5. Azure AD PIM を使用してサブスクリプションおよび管理グループ スコープのカスタム ロール定義を作成し、エンタイトルメントを管理します。Create custom role definitions and manage entitlements by using Azure AD PIM for subscription and management group scopes.

  6. ランディング ゾーンに対して、次の表の Azure Policy 割り当てを作成します。Create the Azure Policy assignments in the following table for the landing zones.

名前Name 説明Description
Deny-PublicEndpoints すべてのランディング ゾーンでパブリック エンドポイントを使用したサービスの作成を拒否します。Denies the creation of services with public endpoints on all landing zones.
Deploy-VM-Backup バックアップが構成され、ランディング ゾーン内のすべての VM に配置されるようにします。Ensures that backup is configured and deployed to all VMs in the landing zones.
Deploy-VNet すべてのランディング ゾーンに仮想ネットワークがデプロイされ、リージョンの仮想ハブにピアリングされるようにします。Ensures that all landing zones have a virtual network deployed and that it's peered to the regional virtual hub.

サンドボックス ガバナンスのガイダンスSandbox Governance Guidance

「管理グループとサブスクリプションの組織」の重要な設計領域で詳しく説明したように、サンドボックス管理グループ階層内に配置されたサブスクリプションには、より制限の緩いポリシー手法を取る必要があります。As detailed in the Management group and subscription organization critical design area, subscriptions placed within the Sandbox Management Group hierarchy should have a less restrictive policy approach. これらのサブスクリプションは、業務内でユーザーが Azure の製品やサービスを試してそれらによるイノベーションを行うために使用する必要があるため、正式な開発環境に移行する前に、そのアイデアや概念が機能するかどうかを検証することは、ランディング ゾーン階層ではまだ許可されていない可能性があります。As these subscriptions should be used by users within the business to experiment and innovate with Azure products and services, that may not be yet permitted in your Landing Zones hierarchy, to validate if their ideas/concepts could work; before they move into a formal development environment.

ただし、サンドボックス管理グループ階層内のこれらのサブスクリプションでは、正しい方法 (イノベーションの場合は、新しい Azure サービス/製品/機能の試用と、観念化の検証など) でのみ使用されるように、いくつかのガードレールが適用されていることが依然として必要です。However these subscriptions in the Sandbox Management Group hierarchy do still require some guardrails applied to ensure they are only used in the correct manner; e.g. for innovation, trialling new Azure services/products/features and ideation validation.

そのため、次のことをお勧めします。We therefore recommend:

  1. サンドボックス管理グループのスコープで、次の表の Azure Policy 割り当てを作成します。Create the Azure Policy assignments in the following table at the Sandbox Management Group scope:
名前Name 説明Description 割り当てに関する注釈Assignment Notes
Deny-VNET-Peering-Cross-Subscription サブスクリプションの外部にある他の VNET への VNET ピアリング接続が作成されないようにします。Prevents VNET peering connections being created to other VNETs outside of the subscription. このポリシーがサンドボックス管理グループ階層のスコープ レベルにのみ割り当てられるようにしてください。Ensure this policy is only assigned to the Sandbox Management Group hierarchy scoping level.
Denied-Resources サンドボックス サブスクリプションでの作成が拒否されるリソース。Resources that are denied from creation in the sandbox subscriptions. これにより、ハイブリッド接続のリソース (VPN/ExpressRoute/VirtualWAN など) が作成されなくなります。This will prevent any hybrid connectivity resources from being created; e.g. VPN/ExpressRoute/VirtualWAN このポリシーを割り当てるときは、次のリソースを選択して、その作成を拒否します。VPN ゲートウェイ: microsoft.network/vpngateways、P2S ゲートウェイ: microsoft.network/p2svpngateways、仮想 WAN: microsoft.network/virtualwans、仮想 WAN ハブ: microsoft.network/virtualhubs、ExpressRoute 回線: microsoft.network/expressroutecircuits、ExpressRoute ゲートウェイ: microsoft.network/expressroutegateways、ExpressRoute ポート: microsoft.network/expressrouteports、ExpressRoute 交差接続: microsoft.network/expressroutecrossconnections およびローカル ネットワーク ゲートウェイ: microsoft.network/localnetworkgatewaysWhen assigning this policy select the following resources to deny the creation of: VPN Gateways: microsoft.network/vpngateways, P2S Gateways: microsoft.network/p2svpngateways, Virtual WANs: microsoft.network/virtualwans, Virtual WAN Hubs: microsoft.network/virtualhubs, ExpressRoute Circuits: microsoft.network/expressroutecircuits, ExpressRoute Gateways: microsoft.network/expressroutegateways, ExpressRoute Ports: microsoft.network/expressrouteports, ExpressRoute Cross-Connections: microsoft.network/expressroutecrossconnections and Local Network Gateways: microsoft.network/localnetworkgateways.
Deploy-Budget-Sandbox 各サンドボックス サブスクリプションに対して、電子メール アラートが有効になっている予算が確実に存在するようにします。Ensures a budget exists for each sandbox subscription, with e-mail alerts enabled. この予算は、各サブスクリプションで default-sandbox-budget という名前になります。The budget will be named: default-sandbox-budget in each subscription. ポリシーの割り当て時に、パラメーターが既定値から変更されていない場合、予算 (default-sandbox-budget) は 1000 通貨しきい値の制限付きで作成され、サブスクリプションの所有者と共同作成者 (RBAC ロールの割り当てに基づきます) に、予算しきい値の 90% と 100% で電子メール アラートが送信されます。If during the assignment of the policy the parameters are not amended from their defaults a the budget (default-sandbox-budget) will be created with a 1000 currency threshold limit and will send an e-mail alert to the subscription's owners and contributors (based on RBAC role assignment) at 90% and 100% of the budget threshold.

グローバル ネットワークと接続性Global networking and connectivity

  1. 仮想ハブと仮想ネットワークがデプロイされる Azure リージョンごとに適切な仮想ネットワーク CIDR 範囲を割り当てます。Allocate an appropriate virtual network CIDR range for each Azure region where virtual hubs and virtual networks will be deployed.

  2. Azure Policy を介してネットワーク リソースを作成する場合は、次の表に記載されているポリシーを接続サブスクリプションに割り当てます。If you decide to create the networking resources via Azure Policy, assign the policies listed in the following table to the connectivity subscription. こうすることで、指定されたパラメーターに基づいて次の一覧のリソースが作成されることが Azure Policy により保証されます。By doing this, Azure Policy ensures the resources in the following list are created based on parameters provided.

    • Azure Virtual WAN Standard インスタンスを作成します。Create an Azure Virtual WAN Standard instance.
    • リージョンごとに Azure Virtual WAN 仮想ハブを作成します。Create an Azure Virtual WAN virtual hub for each region. 仮想ハブごとに少なくとも 1 つのゲートウェイ (Azure ExpressRoute または VPN) を確実にデプロイします。Ensure that at least one gateway (Azure ExpressRoute or VPN) per virtual hub is deployed.
    • 各仮想ハブ内に Azure Firewall をデプロイすることにより、仮想ハブをセキュリティで保護します。Secure virtual hubs by deploying Azure Firewall within each virtual hub.
    • 必要な Azure Firewall ポリシーを作成し、セキュリティで保護された仮想ハブに割り当てます。Create required Azure Firewall policies and assign them to secure virtual hubs.
    • セキュリティで保護された仮想ハブに接続されているすべての仮想ネットワークが Azure Firewall で保護されていることを確保します。Ensure that all virtual networks connected to a secure virtual hub are protected by Azure Firewall.
  3. Azure プライベート DNS ゾーンをデプロイして構成します。Deploy and configure an Azure Private DNS zone.

  4. Azure プライベート ピアリングを使用して ExpressRoute 回線をプロビジョニングします。Provision ExpressRoute circuits with Azure private peering. ExpressRoute 回線のピアリングの作成と変更を行う」の手順に従います。Follow the instructions in Create and modify peering for an ExpressRoute circuit.

  5. ExpressRoute 回線を介してオンプレミスの HQ および DC を Azure Virtual WAN 仮想ハブに接続します。Connect on-premises HQs/DCs to Azure Virtual WAN virtual hubs via ExpressRoute circuits.

  6. ネットワーク セキュリティ グループ (NSG) を使用して、仮想ハブ間の仮想ネットワーク トラフィックを保護します。Protect virtual network traffic across virtual hubs with network security groups (NSGs).

  7. (省略可能) ExpressRoute プライベート ピアリングで暗号化を設定します。(Optional) Set up encryption over ExpressRoute private peering. ExpressRoute 暗号化:Virtual WAN 向けの ExpressRoute 経由の IPsec」の手順に従います。Follow the instructions in ExpressRoute encryption: IPsec over ExpressRoute for Virtual WAN.

  8. (省略可能) VPN 経由でブランチを仮想ハブに接続します。(Optional) Connect branches to the virtual hub via VPN. Azure Virtual WAN を使用してサイト間接続を作成する」の手順に従います。Follow the instructions in Create a Site-to-Site connection using Azure Virtual WAN.

  9. (省略可能) ExpressRoute を介して Azure に複数のオンプレミスの場所が接続されている場合に、オンプレミス HQ および DC に接続するように ExpressRoute Global Reach を構成します。(Optional) Configure ExpressRoute Global Reach for connecting on-premises HQs/DCs when more than one on-premises location is connected to Azure via ExpressRoute. ExpressRoute Global Reach を構成する」の手順に従います。Follow the instructions in Configure ExpressRoute Global Reach.

次の一覧は、エンタープライズ規模のデプロイ用のネットワーク リソースを実装するときに使用する Azure Policy 割り当てを示しています。The following list shows Azure Policy assignments that you use when you're implementing networking resources for an enterprise-scale deployment:

名前Name 説明Description
Deploy-FirewallPolicy ファイアウォール ポリシーを作成します。Creates a firewall policy.
Deploy-VHub このポリシーにより、仮想ハブ、Azure Firewall、および VPN または ExpressRoute ゲートウェイがデプロイされます。This policy deploys a virtual hub, Azure Firewall, and VPN/ExpressRoute gateways. また、Azure Firewall への接続された仮想ネットワークのデフォルト ルートも構成されます。It also configures the default route on connected virtual networks to Azure Firewall.
Deploy-VWAN 仮想 WAN をデプロイします。Deploys a Virtual WAN.

セキュリティ、ガバナンス、およびコンプライアンスSecurity, governance, and compliance

  1. サービス有効化フレームワークを定義および適用して、Azure サービスがエンタープライズのセキュリティとガバナンスの要件を満たすようにします。Define and apply a service enablement framework to ensure Azure services meet enterprise security and governance requirements.

  2. カスタムのロールベースのアクセス制御定義を作成します。Create custom role-based access control definitions.

  3. Azure AD PIM を有効にし、Azure リソースを検出して PIM を容易にします。Enable Azure AD PIM and discover Azure resources to facilitate PIM.

  4. Azure AD PIM を使用して、リソースの Azure コントロール プレーン管理用の Azure AD のみのグループを作成します。Create Azure AD-only groups for the Azure control plane management of resources by using Azure AD PIM.

  5. Azure サービスがエンタープライズ要件に確実に準拠するように、次の表に記載されているポリシーを適用します。Apply policies listed in the following table to ensure Azure services are compliant to enterprise requirements.

  6. 名前付け規則を定義し、Azure Policy を介して適用します。Define a naming convention and enforce it via Azure Policy.

  7. すべてのスコープでポリシー マトリックスを作成します (たとえば、Azure Policy を介してすべての Azure サービスの監視を有効にします)。Create a policy matrix at all scopes (for example, enable monitoring for all Azure services via Azure Policy).

会社全体のコンプライアンス状態を適用するには、次のポリシーを使用する必要があります。The following policies should be used to enforce company-wide compliance status.

名前Name 説明Description
Allowed-ResourceLocation リソースをデプロイできる許可されたリージョンを指定しますSpecifies the allowed region where resources can be deployed.
Allowed-RGLocation リソース グループをデプロイできる許可されたリージョンを指定します。Specifies the allowed region where resource groups can be deployed.
Denied-Resources 会社に対して拒否されているリソース。Resources that are denied for the company.
Deny-AppGW-Without-WAF Azure Web アプリケーション ファイアウォールを有効にしてデプロイされたアプリケーション ゲートウェイを許可します。Allows application gateways deployed with Azure Web Application Firewall enabled.
Deny-IP-Forwarding IP 転送を拒否します。Denies IP forwarding.
Deny-RDP-From-Internet インターネットからの RDP 接続を拒否します。Denies RDP connections from the internet.
Deny-Subnet-Without-Nsg NSG を使用しないサブネットの作成を拒否します。Denies subnet creation without an NSG.
Deploy-ASC-CE Log Analytics ワークスペースへの Azure Security Center 連続エクスポートを設定します。Sets up Azure Security Center continuous export to your Log Analytics workspace.
Deploy-ASC-Monitoring Security Center での監視を有効にします。Enables monitoring in Security Center.
Deploy-ASC-Standard サブスクリプションで Security Center Standard が確実に有効であるようにします。Ensures that subscriptions have Security Center Standard enabled.
Deploy-Diag-ActivityLog 診断アクティビティ ログを有効にし、Log Analytics に転送します。Enables diagnostics activity log and forwarding to Log Analytics.
Deploy-Diag-LogAnalytics
Deploy-VM-Monitoring VM の監視が確実に有効であるようにします。Ensures that VM monitoring is enabled.

プラットフォーム IDPlatform identity

  1. Azure Policy 経由で ID リソースを作成する場合は、次の表に記載されているポリシーを ID サブスクリプションに割り当てます。If you create the identity resources via Azure Policy, assign the policies listed in the following table to the identity subscription. こうすることで、指定されたパラメーターに基づいて次の一覧のリソースが作成されることが Azure Policy により保証されます。By doing this, Azure Policy ensures that the resources in the following list are created based on the parameters provided.

  2. Active Directory ドメイン コントローラーをデプロイします。Deploy the Active Directory domain controllers.

次の一覧は、エンタープライズ規模のデプロイ用の ID リソースを実装するときに使用できるポリシーを示しています。The following list shows policies that you can use when you're implementing identity resources for an enterprise-scale deployment.

名前Name 説明Description
DataProtectionSecurityCenter Security Center によって自動的に作成されたデータ保護。Data protection automatically created by Security Center.
Deploy-VNet-Identity ホストへの ID サブスクリプション (DC など) に仮想ネットワークをデプロイします。Deploys a virtual network into the identity subscription to host (for example, DC).

プラットフォームの管理と監視Platform management and monitoring

  1. 組織およびリソース中心のビューのためのポリシー コンプライアンスとセキュリティ ダッシュボードを作成します。Create policy compliance and security dashboards for organizational and resource-centric views.

  2. プラットフォーム シークレット (サービス プリンシパルと Automation アカウント) とキー ロールオーバーのワークフローを作成します。Create a workflow for platform secrets (service principals and automation account) and key rollover.

  3. Log Analytics 内のログの長期的なアーカイブと保持を設定します。Set up long-term archiving and retention for logs within Log Analytics.

  4. プラットフォーム シークレットを格納する Azure Key Vault を設定します。Set up Azure Key Vault to store platform secrets.

  5. Azure Policy を介してプラットフォーム管理リソースを作成する場合は、次の表に記載されているポリシーを管理サブスクリプションに割り当てます。If you create the platform management resources via Azure Policy, assign the policies listed in the following table to the management subscription. こうすることで、指定されたパラメーターに基づいて次の一覧のリソースが作成されることが Azure Policy により保証されます。By doing this, Azure Policy ensures that the resources in the following list are created based on parameters provided.

名前Name 説明Description
Deploy-LA-Config Log Analytics ワークスペースの構成。Configuration of the Log Analytics workspace.
Deploy-Log-Analytics Log Analytics ワークスペースをデプロイします。Deploys a Log Analytics workspace.

[ファイル] > [新規] > [リージョン]File > New > Region

  1. Azure Policy を介してネットワーク リソースを作成する場合は、次の表に記載されているポリシーを接続サブスクリプションに割り当てます。If you create the networking resources via Azure Policy, assign the policies listed in the following table to the connectivity subscription. こうすることで、指定されたパラメーターに基づいて次の一覧のリソースが作成されることが Azure Policy により保証されます。By doing this, Azure Policy ensures that the resources in the following list are created based on parameters provided.

    • 接続サブスクリプションで、既存の Virtual WAN 内に新しい仮想ハブを作成します。In the connectivity subscription, create a new virtual hub within the existing Virtual WAN.
    • Azure Firewall を仮想ハブ内にデプロイして、仮想ハブをセキュリティで保護し、既存または新規のファイアウォール ポリシーを Azure Firewall にリンクします。Secure virtual hub by deploying Azure Firewall within the virtual hub and link existing or new firewall policies to Azure Firewall.
    • セキュリティで保護された仮想ハブに接続されているすべての仮想ネットワークが Azure Firewall で保護されていることを確保します。Ensure that all virtual networks connected to a secure virtual hub are protected by Azure Firewall.
  2. ExpressRoute または VPN を使用して、仮想ハブをオンプレミスのネットワークに接続します。Connect the virtual hub to the on-premises network via either ExpressRoute or VPN.

  3. NSG を使用して、仮想ハブ間の仮想ネットワーク トラフィックを保護します。Protect virtual network traffic across virtual hubs via NSGs.

  4. (省略可能) ExpressRoute プライベート ピアリングで暗号化を設定します。(Optional) Set up encryption over ExpressRoute private peering.

名前Name 説明Description
Deploy-VHub このポリシーにより、仮想ハブ、Azure Firewall、ゲートウェイ (VPN または ExpressRoute) がデプロイされます。This policy deploys a virtual hub, Azure Firewall, and gateways (VPN/ExpressRoute). また、Azure Firewall への接続された仮想ネットワークのデフォルト ルートも構成されます。It also configures the default route on connected virtual networks to Azure Firewall.

アプリケーションおよびワークロード用の [ファイル] > [新規] > [Landing zone](ランディング ゾーン)File > New > Landing Zone for applications and workloads

  1. サブスクリプションを作成し、Landing Zones 管理グループのスコープの下に移動します。Create a subscription and move it under the Landing Zones management group scope.

  2. OwnerReaderContributor など、サブスクリプションの Azure AD グループを作成します。Create Azure AD groups for the subscription, such as Owner, Reader, and Contributor.

  3. 確立された Azure AD グループの Azure AD PIM のエンタイトルメントを作成します。Create Azure AD PIM entitlements for established Azure AD groups.