Azure ランディングゾーンに関する独立系ソフトウェアベンダー (ISV) の考慮事項

[アーティクル]
07/30/2024

多くの組織では、Azure ランディングゾーンの概念アーキテクチャは、クラウド導入の取り組みの目的地を表しています。ランディングゾーンは、複数のサブスクリプションを使用して Azure 環境を構築する方法を表します。各ランディングゾーンは、スケール、セキュリティ、ガバナンス、ネットワーク、ID を考慮し、多くのお客様から得られたフィードバックと教訓に基づいています。

ヒント

Azure ランディングゾーンは、都市計画のように考えるとわかりやすくなります。ランディングゾーンにデプロイされるワークロードのアーキテクチャは、都市における建物の計画に似ています。

都市の水道、ガス、電気、輸送システムはすべて、建物を建設する前に整備しておく必要があります。同様に、管理グループ、ポリシー、サブスクリプション、ロールベースのアクセス制御 (RBAC) など、Azure ランディングゾーンのコンポーネントもすべて、運用ワークロードをデプロイする前に用意しておく必要があります。

Azure でソリューションを構築および運用する独立系ソフトウェアベンダー (ISV) は、Azure 環境を構築する際に次のリソースを参照する必要があります。

Azure ランディングゾーン: Azure 環境全体に関するガイダンスを提供します。
Azure Well-Architected フレームワーク: すべてのワークロードに適用できるアーキテクチャに関するガイダンスを提供します。
Azure でのマルチテナントソリューションの設計: Azure 上の マルチテナント ソリューションの具体的なアーキテクチャに関するガイダンスを提供します。

Azure ランディングゾーンを使用すると、Azure 環境全体の方向性を選ぶことができます。ただし、ISV、SaaS プロバイダー、またはスタートアップでは、具体的な実装のニーズがより標準的な顧客シナリオとは異なる場合があります。以下に、実装シナリオの例をいくつか紹介します。

顧客がその独自のサブスクリプションにデプロイするソフトウェアを構築します。
独自の "コントロールプレーン" があり、自動化スクリプトまたはソフトウェアを使用して、SaaS ソリューションの Azure リソースをデプロイおよび構成します。
小規模な ISV またはスタートアップが、可能な限り低いコストで始めることを望んでいて、当初は Azure Firewall や Azure DDoS Protection などのサービスを使用しないと考えています。
大規模な SaaS ISV が、スケーリングを目的に SaaS アプリケーションを複数のサブスクリプションに分割することを計画しています。また、サブスクリプションを、開発、テスト、ステージング、運用の各環境に対応するようにグループ化することも考えています。
組織の運用モデルでは、企業 IT チームと SaaS 製品チームの役割を分けています。組織の企業 IT チームは Microsoft Office 365 や Microsoft Teams などのリソースを管理し、SaaS 製品チームは SaaS 製品 (その中央プラットフォームや ID コンポーネントを含む) の構築と運用を担当するといったことが考えられます。

Note

場合によっては、ISV が、プラットフォームの "共有サービス" の側面と実際のワークロードリソースの両方を含む 1 つの Azure サブスクリプションから始めることを希望することがあります。これは技術的には可能ですが、後からサブスクリプション間でリソースを移動する必要が生じ、すべてのリソースの種類を移動できるわけではないことがわかったときに、課題に直面することになります。設計逸脱の影響を検討し、可能な逸脱とそのさまざまなレベルのリスクを把握してください。

ISV デプロイモデル

ISV ソリューションは、多くの場合、3 つのデプロイモデル (純粋な SaaS、顧客デプロイ、デュアルデプロイ SaaS) のいずれかに適合します。このセクションでは、Azure ランディングゾーンに関する各モデルのさまざまな考慮事項について説明します。

純粋な SaaS

純粋な SaaS モデルでは、ソフトウェアは完全に Azure サブスクリプションのみにデプロイされます。エンドカスタマーは、その独自の Azure サブスクリプションにデプロイせずにソフトウェアを使用します。次の図では、ユーザーは ISV によって提供された純粋な SaaS アプリケーションを使用しています。

純粋な SaaS デプロイモデルを示す図。ユーザーは、I S V の Azure サブスクリプションにデプロイされたアプリケーションを直接使用します。

純粋な SaaS ソフトウェアの例としては、サービスとしてのメール、サービスとしての Kafka、サービスとしてのクラウドデータウェアハウス、さらに Azure Marketplaceの SaaS 一覧にある多くのものがあります。

小規模な SaaS ISV であれば、リソースをすぐにデプロイするために複数の Azure サブスクリプションを使用することは必要ないと考えられます。ただし、拡大していくにつれ、1 つのサブスクリプション内でスケーリングする能力が、Azure のサブスクリプション制限に影響される可能性があります。「エンタープライズ規模のランディングゾーン設計原則」 (特にサブスクリプションの民主化) を検討し、マルチテナントのアーキテクチャアプローチを理解することで、将来の成長について計画してください。

純粋な SaaS ソリューションを構築する ISV では、次の質問について検討する必要があります。

SaaS ソリューションを構成するすべての Azure リソースを 1 つの Azure サブスクリプションに含めるか、それとも複数の Azure サブスクリプションにパーティション分割するか?
各顧客をそれぞれ独自の専用 Azure サブスクリプションでホストするか、それとも 1 つ以上の共有サブスクリプション内にリソースを作成できるか?
ソリューションのすべてのレベルにデプロイスタンプ (スケールユニット) パターンを適用するにはどうすればよいか?
マルチテナントソリューションで Azure リソース組織を使用して、スケーリングの課題や Azure サブスクリプションの制限に直面しないようにするにはどうすればよいか?

顧客デプロイ

顧客デプロイモデルでは、エンドカスタマーがソフトウェアを購入して独自の Azure サブスクリプションにデプロイします。デプロイは、Azure Marketplace から開始する場合も、手順に従って提供されたスクリプトを使用して手動で行う場合もあります。

次の図では、ISV はソフトウェアパッケージまたは Azure Marketplace カタログ製品を提供し、ユーザーはそのリソースを他のワークロードと共に独自の Azure サブスクリプションにデプロイします。

顧客がデプロイしたデプロイモデルを示す図。顧客は、ISV によって提供されるリソースを独自の Azure サブスクリプションにデプロイし、ユーザーはそれらのリソースを使用します。

図の "顧客の他のワークロード" の要素は、顧客自身のワークロードまたは顧客が Azure サブスクリプション内にデプロイした別の ISV 製品を表します。顧客は、多くの場合、さまざまな ISV の複数の製品を Azure サブスクリプションにデプロイします。これらの個々の製品を組み合わせてソリューションを作成します。たとえば、顧客がデプロイするデータベース製品、ネットワーク仮想アプライアンス、Web アプリケーションが、それぞれ異なる ISV のものであることが考えられます。

顧客デプロイの ISV 製品の例としては、Azure Marketplace 内の多くの仮想マシンイメージ (ネットワークやストレージの仮想アプライアンスなど) と Azure アプリケーションなどがあります。

一部の顧客デプロイのソリューションでは、組織が、Azure Lighthouse または Azure Managed Applications を使用して、エンドカスタマーの Azure サブスクリプション内にデプロイされたソリューションの管理を行い、更新プログラムを提供する場合があります。 ISV、ソリューションインテグレーター (SI)、マネージドサービスプロバイダー (MSP) はすべて、特定のニーズを満たす際にこの戦略を使用できます。

顧客デプロイの ISV ソリューションは、Azure ランディングゾーンの観点では標準のアプリケーションワークロードと見なされます。 Azure の顧客が採用している Azure ランディングゾーンの設計原則に対応するように製品を設計する際には、Azure ランディングゾーンのガイダンスを確認してください。

既存の顧客のワークロードを Azure に移行する際には、Azure ランディングゾーンの概念を的確に理解しておくことが特に重要です。

顧客デプロイのソリューションを構築する ISV では、次の質問について検討する必要があります。

顧客がソリューションをその独自の専用サブスクリプションにデプロイするか、それとも関連するワークロードを含む既存のサブスクリプションにデプロイするか?
既存のワークロード (Azure の内部と外部) とソリューションの間で、顧客がどのようにネットワーク接続を確立するか?
ソリューションが、Microsoft Entra ID の認証メカニズムをサポートするか、それとも LDAP や Kerberos などの他のプロトコルを必要とするか?
Azure Policy 違反 (ソリューションテンプレートと顧客の Azure ポリシーの間の競合が原因のものなど) を削減または排除するにはどうしたらよいか?

Azure Policy 違反を引き起こす可能性のある顧客の Azure ポリシーには、"All subnets must have a network security group (すべてのサブネットにはネットワークセキュリティグループが必要です)" や "No public IP addresses can be attached to network interfaces in the Corp landing zone (企業のランディングゾーンのネットワークインターフェイスにはパブリック IP アドレスをアタッチできなません)" などの例が含まれます。デプロイを計画する際は、これらの競合の原因となるポリシーの可能性を念頭に置いてください。

デュアルデプロイ SaaS

一部の SaaS ソリューションは、顧客の Azure サブスクリプションにデプロイされたリソースと対話したり、それを使用したりします。このデプロイモデルは、"デュアルデプロイ SaaS" または "SaaS ハイブリッド" と呼ばれることがあります。次の図では、ISV は、エンドカスタマーの Azure サブスクリプションにデプロイされたリソースと対話するホスト型 SaaS ソリューションを提供しています。

デュアルデプロイ SaaS デプロイモデルを示す図。

"デュアルデプロイ SaaS" の実際の例として、Microsoft Power BI があります。これは、顧客の Azure サブスクリプション内の仮想マシンにデプロイされた Power BI オンプレミスデータゲートウェイを必要に応じて使用できる SaaS サービスです。

"デュアルデプロイ SaaS" シナリオのその他の例を次に示します。

組織は、Virtual Desktop Manager (各顧客の Azure サブスクリプションで Azure Virtual Desktop リソースを制御するための SaaS コンソールインターフェイスを提供する製品) を構築します。
組織は、データ分析用の SaaS コンソールを提供し、各顧客の Azure サブスクリプションでコンピューティングノード仮想マシンを動的に作成および削除します。

デュアルデプロイ ISV は、Azure ランディングゾーンを参照して 2 つの分野でのガイダンスを確認する必要があります。つまり、SaaS サービスをホストする独自の Azure 環境を構築すること、および顧客の Azure サブスクリプション内のデプロイと顧客のランディングゾーンとの間で適切に対話できるようにすることです。

デュアルデプロイ SaaS ソリューションを構築する ISV では、次の質問について検討する必要があります。

純粋な SaaS および顧客デプロイの両方のソリューションを構築するための考慮事項をすべて確認したか?
ソリューションのどのコンポーネントを Azure サブスクリプションでホストし、どのコンポーネントを顧客デプロイにするか?
顧客の Azure サブスクリプションにデプロイされたリソースを安全にプロビジョニングおよび操作するにはどうすればよいか?

Azure ランディングゾーンの設計の原則と実装

Azure のランディングゾーン設計原則では、Log Analytics、Azure Monitor、Azure Firewall などの Azure ネイティブプラットフォームの機能に合わせることをお勧めしています。ランディングゾーンのガイダンスでは、具体的な Azure ランディングゾーン実装オプションも示しています。

ISV として、独自のランディングゾーン環境を実装することを決定する場合があります。独自の自動化を使用して複数のサブスクリプション全体に Azure リソースをデプロイすることが必要になる場合があります。または、ログ、監視、その他のプラットフォームレベルサービスに既に使用しているツールをそのまま使用する場合もあります。

独自のランディングゾーン環境を実装する場合は、参照用に Azure ランディングゾーンのガイダンスとサンプル実装を使用し、使用する手法を実績ある Azure ランディングゾーンの設計に合わせることをお勧めします。

Microsoft Entra テナント

各 Azure ランディングゾーンとその管理グループ階層は、そのルートを 1 つの Microsoft Entra テナントとしています。つまり、最初に決定する必要があることは、Azure リソースを管理するための ID のソースとして、どの Microsoft Entra テナントを使用するかということです。 Microsoft Entra ID の ID には、ユーザー、グループ、サービスプリンシパルが含まれます。

ヒント

ランディングゾーン用に選択した Microsoft Entra テナントは、アプリケーションレベルの認証には影響しません。選択したテナントに関係なく、Azure AD B2C などの他の ID プロバイダーも使用できます。

Azure ランディングゾーンと Microsoft Entra テナントのガイダンスでは、Microsoft Entra テナントを 1 つだけ使用することを強くお勧めしています。これはほとんどの状況に適した手法です。ただし、SaaS ISV として、2 つのテナントを使用する理由が生じる場合があります。

一部の SaaS ISV では、1 つのチームが企業のリソースを管理し、別のチームが SaaS ソリューションを運用しています。この分離は、運用上の理由から、または規制要件に準拠するために行われます。企業の IT チームは SaaS 関連のサブスクリプションとリソースを管理することが許可されないため、Microsoft Entra テナントの管理者にはなれない可能性があります。このシナリオが該当する場合は、2 つの別個の Microsoft Entra テナント (Office 365 などの企業の IT リソース用に 1 つのテナント、SaaS ソリューションを構成する Azure リソース用に 1 つのテナント) を使用することを検討してください。

各 Microsoft Entra テナントには、独自のドメイン名が必要です。組織で 2 つのテナントを使用している場合は、次の図に示すように、企業のMicrosoft Entra テナントには contoso.com、SaaS Microsoft Entra テナントには contoso-saas-ops.com といった名前を選ぶことができます。

企業テナントが 1 つの場合と、企業テナントと SaaS Ops テナントを分離した場合を示す、ISV 向けの Microsoft Entra テナントオプションの図。

警告

複数の Microsoft Entra テナントを使用すると、管理のオーバーヘッドが増加します。 Privileged Identity Management などの Microsoft Entra ID P1 または P2 機能を使用する場合、Microsoft Entra テナントごとに個別のライセンスをお買い求めいただく必要があります。複数の Microsoft Entra テナントを使用するのは、本当にそれが必要な状況に限定することをお勧めします。

運用前と運用の環境に、別々の Microsoft Entra テナントを使用することは避けてください。別個の Azure サブスクリプションを使用する contoso-saas-ops-preprod.com と contoso-saas-ops-prod.com などの 2 つのテナントを作成するのではなく、1 つの Microsoft Entra テナントを作成してください。管理グループと Azure RBAC を使用して、この 1 つのテナントのもとでサブスクリプションとリソースへのアクセスを制御できます。

複数の Microsoft Entra テナントを使用する場合の詳細については、「Azure ランディングゾーンと複数の Microsoft Entra テナント」および「マルチテナントでのリソースの分離」を参照してください。

管理グループ

「Azure ランディングゾーンの概念アーキテクチャ」では、特定の管理グループ階層の使用をお勧めしています。ただし、ISV には他の組織とは異なる要件がある場合があります。このセクションでは、ランディングゾーンの概念アーキテクチャでお勧めするものとは異なる手法を採用するために、ISV 組織で選ばれているいくつかの方法について説明します。

最上位の管理グループ

管理グループ階層は、Azure で作成されたテナントルートグループ管理グループの下で入れ子になっています。 テナントルートグループは直接使用しません。

プラットフォームと共有サービス (ログ、ネットワーク、ID、セキュリティなど) を管理する一元化された企業 IT チームを持つ標準的な組織は、通常、Azure で作成されたテナントルートグループの下に最上位の管理グループを 1 つ作成し、その下に残りの管理グループをデプロイします。この最上位の管理グループは、通常、組織自体 (Contoso など) の名前にちなんで命名されます。

SaaS ISV には、SaaS 製品が 1 つある場合、または複数の SaaS 製品や基幹業務がある場合があります。一般に、すべての製品で同じMicrosoft Entra テナントを使用して Azure リソースを管理する (「Microsoft Entra テナント」セクションの説明のとおり) 必要がありますが、任意で複数の管理グループ階層をデプロイすることもあります。

製品が互いにどの程度独立性を持っているかを検討し、ご自身に次のように質問してください。

製品がすべて、DevOps、ID、セキュリティ、接続、ログに同じプラットフォームを使用しているか?
これらの共有サービスが 1 つの中央チームによって運用されているか?

両方の質問に対して "はい" と答えた場合は、テナントルートグループの下に最上位の SaaS 製品管理グループを 1 つ作成します。

そうではなく、"いいえ" と答えていて、各 SaaS 製品が別々のプラットフォームチームによって管理および運用されている場合は、製品ごとに別の最上位の管理グループ (たとえば、SaaS Product-01 と SaaS Product-02 の 2 つの最上位の管理グループ) を作成することを検討してください。

ヒント

1 つの ISV に、最上位レベルの管理グループが数個以上あるのは一般的ではありません。多くの場合、管理と運用の方法が類似した複数の製品を組み合わせることができます。

この管理手法は、エンタープライズ規模のランディングゾーンのテスト手法に似ています。ただし、この手法の場合、テナントルートグループの下に Contoso と Contoso-Canary を作成するのではなく、この例の会社では、その下に製品固有の Contoso-SaaS-Product-01、Contoso-SaaS-Product-02、Contoso-SaaS-Product-03 という最上位の管理グループを作成します。次の図は、このシナリオを説明したものです。

SaaS 製品ごとに 1 つの管理グループと個別の管理グループを持つ最上位の管理グループオプションを示す図

プラットフォーム管理グループ

Azure ランディングゾーンのリソース組織階層では、プラットフォーム管理グループに、ランディングゾーンサブスクリプションのワークロードで使用されるコンポーネントと共有サービスをホストする、すべての Azure サブスクリプションが含まれています。プラットフォームと共有サービスのサブスクリプションにデプロイされるコンポーネントの例としては、一元化されたログインフラストラクチャ (Log Analytics ワークスペースなど)、DevOps、セキュリティ、自動化ツール、中央ネットワークリソース (ハブ VNet や DDos Protection プランなど)、ISV のコントロールプレーンサービスなどがあります。

プラットフォーム管理グループは、多くの場合、ID、管理、接続という子グループにパーティション分割され、企業のお客様がロールとポリシーを簡単に分離できるようにします。

組織内に、ID、ネットワーク、管理など、すべての共有プラットフォームコンポーネントを管理する 1 つのチームが存在する場合があります。その場合、その管理を複数のチームに分ける予定がなければ、1 つのプラットフォーム管理グループを使用することを検討してください。

代わりに、一元化されたプラットフォームのさまざまな部分を管理する個別のチームを設ける場合、プラットフォーム管理グループの下の管理グループ階層に追加のレベルをデプロイする必要があります。これにより、一元化されたプラットフォームの部分ごとにそれぞれ別のポリシーを割り当てることができます。

次の図は、プラットフォーム管理グループで可能な 2 つの実装を示しています。オプション A は、より包括的なシナリオを示しています。この場合、プラットフォーム管理グループに、管理とDevOps、ID とセキュリティ、接続という 3 つの子管理グループが含まれています。各子管理グループには、関連するリソースを含むサブスクリプションが含まれています。オプション B は、よりシンプルなシナリオを示しています。この場合、プラットフォーム管理グループには 1 つのプラットフォームサブスクリプションが含まれています。

2 つの管理グループ階層を示す図。オプション A には、管理、接続、および ID 用の個別のプラットフォーム管理グループを表示します。オプション B には、単一の管理グループを持つプラットフォーム管理グループオプションが含まれています。

ランディングゾーン管理グループ

ランディングゾーン管理グループには、SaaS ソリューションの実際のサブシステムとワークロードをホストする Azure サブスクリプションが含まれています。

この管理グループには、1 つ以上の子管理グループが含まれています。 ランディングゾーンの下の各子管理グループは、ワークロードまたはサブシステムの "アーキタイプ" を表します。これには、すべてのサブスクリプションに一貫して適用する必要があるポリシーとアクセスの要件が含まれます。複数のアーキタイプを使用する理由には、次のようなものがあります。

コンプライアンス: SaaS 製品のサブシステムが PCI-DSS に準拠する必要がある場合は、ランディングゾーンの下に PCI DSS アーキタイプの子管理グループを作成することを検討してください。 PCI-DSS コンプライアンスの適用範囲内のリソースを含むすべての Azure サブスクリプションは、その管理グループ内に配置する必要があります。
レベル: SaaS ソリューションの "専用" レベルの顧客と "無料" レベルの顧客に対して、それぞれ別のランディングゾーンアーキタイプを作成することを検討してください。各子管理グループには、異なる Azure Policy 設定が含まれています。たとえば、無料レベルのポリシーでは、特定の仮想マシン SKU のみを有効にするようにデプロイを制限し、専用レベルのポリシーでは、リソースを特定のリージョンにデプロイすることを求める、といったことが考えられます。

環境固有の管理グループ

SaaS ISV では、多くの場合、一連のソフトウェア開発ライフサイクル環境をモデル化することで、クラウド環境を整理します。この場合、通常は最初に "開発" 環境に、次に "テスト" 環境に、その次は "ステージング" 環境に、そして最後に "運用" 環境にデプロイする必要があります。

これらの環境の一般的な違いの 1 つは、各サブスクリプショングループに誰がアクセスできるかといった、Azure RBAC ルールです。たとえば、DevOps、SaaSOps、開発、テストのチームはすべて、それぞれ異なる環境に対して異なるレベルのアクセス権を持つことが考えられます。

重要

Azure のほとんどの顧客は、数百ものアプリケーションを持ち、アプリケーションチームごとにそれぞれ別の Azure サブスクリプションを使用しています。各アプリケーションに独自の開発、テスト、ステージング、運用の管理グループがある場合、ほぼ同一のポリシーを持つ管理グループが多数存在することになります。エンタープライズ規模のランディングゾーンに関する FAQ では、ほとんどの顧客に対し、環境ごとにそれぞれ別の管理グループを使用するのは避けるようにお勧めしています。代わりに、1 つの管理グループ内で個別のサブスクリプションを使用することをお勧めしています。

ただし、SaaS ISV は他のほとんどの Azure の顧客とは異なる要件を持つ可能性があり、状況によっては環境固有の管理グループを使用することが適切な場合もあります。

SaaS ISV では、同じサブシステム、アプリケーション、またはワークロードの "シャード" または "パーティション" を表す複数のサブスクリプションをグループ化する必要が生じる場合があります。場合によっては、アーキタイプ管理グループとはまったく異なる方法で、サブスクリプションのグループにポリシーまたはロールの割り当てを適用する必要があります。この場合は、アーキタイプ管理グループの下に、各環境に対応する子管理グループを作成することを検討してください。

次の図は、2 つの可能なオプションを示しています。オプション A が示すシナリオでは、環境ごとにそれぞれ別のサブスクリプションがありますが、環境固有の管理グループはありません。オプション B では、Regular スタンプ管理グループの下に環境固有の管理グループがある SaaS ISV シナリオを示しています。各環境固有の管理グループには、複数のサブスクリプションが含まれています。 ISV では、時間の経過と共に、共通したポリシーとロールの割り当てのセットを含み、数が増加しているサブスクリプションを対象に、各環境内で Azure リソースをスケーリングしていきます。

各タブを選択すると、2 つの図が表示されます。

オプション A
オプション B

環境固有の管理グループのないランディングゾーン階層を示す図。

使用停止およびサンドボックスの管理グループ

Azure ランディングゾーンのリソース組織のガイダンスでは、最上位の管理グループのすぐ下に使用停止とサンドボックスの管理グループを含めることをお勧めしています。

使用停止管理グループは、無効になっていて最終的には削除される Azure サブスクリプションが保持される場所です。使用されなくなったサブスクリプションをこの管理グループに移動して、そのサブスクリプション内のすべてのリソースが完全に削除されるまで追跡できます。

サンドボックス管理グループには通常、調査の目的に使用されAzure サブスクリプションが含まれ、それらに適用されるポリシーは緩やかであるか、存在しません。たとえば、個々の開発者に、開発とテスト用の独自のサブスクリプションを提供する場合などがあります。これらのサブスクリプションをサンドボックス管理グループに配置することで、通常のポリシーとガバナンスをそれらに適用しないようにすることができます。これにより、開発者の俊敏性が向上し、Azure を簡単に試すことができます。

重要

サンドボックス管理グループ内のサブスクリプションを、ランディングゾーンのサブスクリプションに直接接続しないでください。サンドボックスのサブスクリプションを運用環境のワークロードに、または運用環境をミラーリングする非運用環境に接続するのは避けてください。

次の図は、2 つの可能なオプションを示しています。オプション A には使用停止とサンドボックスの管理グループは含まれていませんが、オプション B には含まれています。

プラットフォームとランディングゾーンの管理グループと同じレベルの使用停止管理グループとサンドボックス管理グループを示す図。

ISV ランディングゾーンの例

このセクションでは、SaaS ISV の 2 つの Azure ランディングゾーン構造の例を示します。各タブを選択して、2 つのランディングゾーンの例を比較してください。

最小
包括的

次の図は、以下の特性を持つ SaaS ISV Azure ランディングゾーン階層の例を示しています。

ISV は、すべてのプラットフォームコンポーネントを複数のプラットフォーム管理グループに分割するのではなく、1 つの Azure サブスクリプションに保持します。
存在するランディングゾーン管理グループは 1 つだけです。
このランディングゾーンには、サブスクリプションを整理し、さまざまなポリシーとロールを割り当てるための環境固有の管理グループが含まれています。
ISV は、使用停止とサンドボックスのサブスクリプションの管理グループは含めませんでした。

ISV の Azure ランディングゾーン階層の例を示す図。この記事のほとんどのコンポーネントは省略されています

次の手順

マルチテナントソリューションを構築する場合は、Azure でのマルチテナントソリューションの設計に関する詳細を確認します。
Azure ランディングゾーンとは何であるかを確認します。
「Azure ランディングゾーンの設計領域」を確認します。

次の方法で共有

Azure ランディングゾーンに関する独立系ソフトウェアベンダー (ISV) の考慮事項