次の方法で共有


クイック スタート:REST API を使用して管理グループを作成する

管理グループは、複数のサブスクリプションのアクセス、ポリシー、コンプライアンスを管理するのに役立つコンテナーです。 これらのコンテナーを作成して、Azure PolicyAzure ロール ベースのアクセス制御で使用できる効果的で効率的な階層を構築します。 管理グループについて詳しくは、「Azure 管理グループでリソースを整理する」をご覧ください。

ディレクトリに作成される最初の管理グループは、完了までに最大 15 分かかる場合があります。 Azure 内でディレクトリの管理グループ サービスを初めて設定する際に実行するプロセスがあります。 プロセスが完了すると、通知を受け取ります。 詳細については、「管理グループの初期セットアップ」を参照してください。

前提条件

  • Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

  • ARMClient をまだインストールしていない場合はインストールします。 これは、Azure Resource Manager ベースの REST API に HTTP 要求を送信するツールです。

  • 階層の保護が有効になっていない場合、テナント内のすべての Microsoft Entra ID ユーザーが、管理グループ書き込みアクセス許可を割り当てられていなくても、管理グループを作成できます。 この新しい管理グループは、ルート管理グループまたは既定の管理グループの子になり、その作成者には所有者のロールが割り当てられます。 管理グループ サービスでは、この機能が許可されるため、ルート レベルでのロールの割り当ては必要ありません。 ルート管理グループが作成された時は、ユーザーはそれにアクセスできません。 管理グループの使用を開始するために、サービスはルート レベルで初期管理グループの作成を許可します。 詳細については、「各ディレクトリのルート管理グループ」を参照してください。

Azure Cloud Shell

Azure では、ブラウザーを介して使用できる対話型のシェル環境、Azure Cloud Shell がホストされています。 Cloud Shell で Bash または PowerShell を使用して、Azure サービスを操作できます。 ローカル環境に何もインストールしなくても、Cloud Shell にプレインストールされているコマンドを使用して、この記事のコードを実行できます。

Azure Cloud Shell を開始するには、以下のようにします。

オプション 例とリンク
コードまたはコマンド ブロックの右上隅にある [使ってみる] を選択します。 [使ってみる] を選択しても、コードまたはコマンドは Cloud Shell に自動的にはコピーされません。 Azure Cloud Shell の [使ってみる] の例を示すスクリーンショット。
https://shell.azure.com に移動するか、[Cloud Shell を起動する] ボタンを選択して、ブラウザーで Cloud Shell を開きます。 Azure Cloud Shell を起動するボタン。
Azure portal の右上にあるメニュー バーの [Cloud Shell] ボタンを選択します。 Azure portal の [Cloud Shell] ボタンを示すスクリーンショット

Azure Cloud Shell を使用するには、以下のようにします。

  1. Cloud Shell を開始します。

  2. コード ブロック (またはコマンド ブロック) の [コピー] ボタンを選択し、コードまたはコマンドをコピーします。

  3. Windows と Linux では Ctrl+Shift+V キーを選択し、macOS では Cmd+Shift+V キーを選択して、コードまたはコマンドを Cloud Shell セッションに貼り付けます。

  4. Enter キーを選択して、コードまたはコマンドを実行します。

REST API で作成する

REST API では、管理グループの作成と更新エンドポイントを使用して新しい管理グループを作成します。 この例では、管理グループの groupIdContoso です。

  • REST API URI

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01
    
  • 要求本文はありません

groupId は、作成される一意識別子です。 この ID は、このグループを参照するために他のコマンドで使用され、後で変更することはできません。

Azure portal 内で管理グループを別の名前で表示する場合は、要求本文に properties.displayName プロパティを追加します。 たとえば、Contoso という groupIdContoso Group という表示名の管理グループを作成する場合は、次のエンドポイントと要求本文を使用します。

  • REST API URI

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01
    
  • 要求本文

    {
      "properties": {
        "displayName": "Contoso Group"
      }
    }
    

前述の例では、新しい管理グループはルート管理グループ以下に作成されます。 別の管理グループを親として指定するには、properties.parent.id プロパティを使用します。

  • REST API URI

    PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01
    
  • 要求本文

    {
      "properties": {
        "displayName": "Contoso Group",
        "parent": {
          "id": "/providers/Microsoft.Management/managementGroups/HoldingGroup"
        }
      }
    }
    

リソースをクリーンアップする

先ほど作成した管理グループを削除するには、管理グループの削除エンドポイントを使用します。

  • REST API URI

    DELETE https://management.azure.com/providers/Microsoft.Management/managementGroups/Contoso?api-version=2020-05-01
    
  • 要求本文はありません

次のステップ

このクイックスタートでは、リソース階層を整理するための管理グループを作成しました。 管理グループには、サブスクリプションや他の管理グループを含めることができます。

管理グループについて、またリソース階層の管理方法について詳しくは、次の記事に進んでください。