Manuel Barbetta

Deployment di una Azure Landing Zone Enterprise-Scale utilizzando il Portal Accelerator di Microsoft

Visualizzazioni: 0

Le Azure Landing Zones sono un insieme di risorse cloud preconfigurate, progettate per favorire la migrazione verso il Cloud nel miglior modo possibile e permettere alle aziende di rispettare i requisiti di sicurezza, gestione e conformità normativa. L’obiettivo è quello di aumentare il livello di agilità e flessibilità richiesti dalla trasformazione digitale, permettendo alle aziende di innovare e utilizzare con efficacia i servizi digitali.

Una Azure Landing Zone è l’ambiente Azure preconfigurato, scalabile e governato dove le aziende fanno “atterrare” i loro workload in modo sicuro fin dal primo giorno. Fa parte del Cloud Adoption Framework (CAF) di Microsoft, il framework completo per il ciclo di vita dell’adozione del Cloud.

In questa guida vedremo come effettuare il deployment di una Azure Landing Zone utilizzando il Portal Accelerator, lo strumento messo a disposizione da Microsoft direttamente nel portale Azure. Verranno illustrati tutti i passaggi necessari, dalla configurazione dei permessi fino alla verifica del deployment completato, con screenshot del processo reale.

Architettura concettuale

L’architettura di riferimento delle Azure Landing Zones si basa su un modello Hub & Spoke che prevede una gerarchia di Management Group, subscription dedicate per i diversi componenti della piattaforma (Security, Management, Identity, Connectivity) e landing zone separate per i workload applicativi (Corp e Online).

Figura 1 — Azure Landing Zone (ALZ): architettura concettuale Hub & Spoke (Fonte: Microsoft)

  • Platform Landing Zone – subscription dedicate per Security, Management, Identity e Connectivity, gestite dal team centrale.
  • Application Landing Zone – ambienti separati (Corp e Online) dove i team applicativi deployano i loro workload.
  • Sandbox – ambiente isolato per sperimentazione, senza connettività verso la rete aziendale.
  • Decommissioned – management group per subscription in fase di dismissione.

Prerequisiti e configurazione dei permessi

Prima di procedere al deployment della Azure Landing Zone è necessario soddisfare i seguenti prerequisiti:

  • Un tenant Microsoft Entra ID (ex Azure AD) con diritti di Global Administrator.
  • Almeno una Azure subscription attiva. Per la modalità Dedicated servono subscription dedicate per Security, Management, Identity e Connectivity.
  • Elevazione dei privilegi al tenant root scope per poter deployare risorse a livello di tenant.

Passo 1: Elevare i privilegi di accesso

Il primo passo consiste nell’abilitare l’Access management for Azure resources nelle proprietà di Microsoft Entra ID. Questa operazione assegna automaticamente il ruolo User Access Administrator al tenant root scope.

  1. Accedere al portale Azure con un utente Global Administrator.
  2. Navigare su Microsoft Entra ID → Properties.
  3. Impostare Access management for Azure resources su Yes e salvare.

Figura 2 — Abilitazione dell’Access management for Azure resources nelle Properties di Entra ID.

ℹ️ NOTA: In fondo alla pagina comparirà il messaggio “You have 1 users with elevated access”. Questo toggle assegna solo il ruolo User Access Administrator, che permette di assegnare ruoli ma non di deployare risorse.

Passo 2: Assegnare il ruolo Owner al Tenant Root scope

Per il deployment dell’accelerator serve il ruolo Owner sul tenant root scope (/). Questo scope non è raggiungibile dalla GUI del portale Azure, pertanto è necessario utilizzare Azure Cloud Shell.

Aprire Cloud Shell dal portale Azure (icona >_ nella barra in alto) e lanciare il seguente comando:

az role assignment create –scope ‘/’ –role ‘Owner’ –assignee-object-id $(az ad signed-in-user show –query “id” –output tsv)


Figura 3 — Assegnazione del ruolo Owner al tenant root scope (/) tramite Azure Cloud Shell.

️ ATTENZIONE: La propagazione dei permessi al tenant root scope può richiedere fino a 15 minuti. Dopo l’esecuzione del comando, effettuare un logout completo dal portale Azure (chiudere il browser) e poi rientrare per forzare il refresh del token.

Verifica del role assignment

Per verificare che il ruolo Owner sia stato assegnato correttamente:

️ NOTA: Dopo il deployment, ricordarsi di rimuovere il ruolo Owner dal tenant root scope e disabilitare il toggle Access management for Azure resources, per ridurre la superficie di attacco secondo il principio del least privilege.

Deployment della Azure Landing Zone

Una volta configurati i permessi, è possibile procedere al deployment utilizzando il Portal Accelerator. Il link diretto è: https://aka.ms/caf/ready/accelerator

Deployment Settings

La prima schermata richiede la configurazione di base: la Directory (tenant) e la Region in cui verranno salvati i metadata del deployment.


Figura 4 — Deployment Settings: selezione della Directory e della Region (Italy North).

Azure Core Setup

In questa sezione si configurano i parametri fondamentali della landing zone:

  • Resource prefix (Root ID) — un identificativo breve (3-10 caratteri) usato come prefisso per tutti i Management Group e le risorse. Nel nostro caso: “btech”.
  • Platform subscription options — Dedicated (recommended) crea subscription separate per ogni componente.
  • Naming convention — CAF naming convention (recommended) applica lo standard Microsoft.


Figura 5 — Azure Core Setup: Resource prefix “btech”, modalità Dedicated e CAF naming convention.

️ ATTENZIONE: Il Resource prefix (Root ID) è permanente: una volta deployato, cambiarlo richiede di rifare l’intera landing zone. Scegliere un prefisso breve, univoco e riconoscibile.

Platform Management, Security and Governance

Questa sezione configura le policy di governance a livello di Platform Management Group, le subscription per Security e Management, e le impostazioni di Log Analytics e Microsoft Defender for Cloud.


Figura 6 — Platform Management: policy di governance, Key Vault guardrails e selezione subscription Security.


Figura 7 — Management subscription, Log Analytics workspace (30 giorni) e Azure Monitor solutions.

Figura 8 — Configurazione di Microsoft Defender for Cloud: abilitazione di tutti i piani di protezione.

️ NOTA: La retention di default di Log Analytics è 30 giorni. Per ambienti di produzione si consiglia una retention più lunga (90-180 giorni) in base ai requisiti di compliance.

Alerts and Monitoring

La sezione configura i Service Health Alerts, gli Action Group per le notifiche e gli Azure Monitor Baseline Alerts (AMBA).

Figura 9 — Alerts and Monitoring: Service Health Alerts, Action Group e AMBA.

Network Topology and Connectivity

In questa sezione si sceglie la topologia di rete. Per questa guida abbiamo selezionato No, rimandando la configurazione del networking a un secondo momento. In un ambiente di produzione si consiglia Hub and spoke with Azure Firewall.

Figura 10 — Network Topology and Connectivity: selezione della topologia di rete.

Identity

La sezione Identity configura le policy per la subscription dedicata all’identità. Si seleziona la subscription Identity dedicata e si abilitano le policy consigliate.

Figura 11 — Identity: selezione della subscription e configurazione delle policy di sicurezza.

Landing Zones Configuration

Qui si configurano le policy assegnate ai Management Group delle landing zone (Corp e Online). Per un primo deployment, è consigliabile la modalità Audit only per valutare l’impatto prima di applicare restrizioni.

Figura 12 — Landing Zones Configuration: policy in modalità Audit only.

Workload Specific Compliance

Policy di compliance specifiche per servizio: Customer Managed Keys, AI Services, Container, Database, Networking, Storage. Ciascuna può essere Enforce, Audit only o Disabled.

Figura 13 — Workload Specific Compliance: policy per AI Services, CMK, ML e OpenAI.

Decommissioned e Sandbox

Policy per Decommissioned (deny new resources, auto VM shutdown) e Sandbox (deny VNet peering, deny VPN/ER gateways).

Figura 14 — Policy per Decommissioned e Sandbox Management Group.

Regulatory Compliance

L’ultima sezione permette di assegnare policy initiative di Regulatory Compliance. Il Microsoft Cloud Security Benchmark (MCSB) viene assegnato automaticamente.

Figura 15 — Regulatory Compliance: il MCSB è già assegnato.

Review + Create

L’ultima schermata mostra il riepilogo completo. Dopo aver verificato le impostazioni, cliccare Create per avviare il deployment.

Verifica del deployment

Il deployment dell’Azure Landing Zone Accelerator richiede circa 20-30 minuti. Durante questo tempo vengono creati i Management Group, assegnate le policy, configurato il monitoring e deployate tutte le risorse.

Verifica dei Management Group

Navigare su Management Groups nel portale Azure per verificare la gerarchia completa:


Figura 16 — Gerarchia dei Management Group: 5 subscription in 13 Management Group.

  • btech (Intermediate Root) – 5 subscription totali
  • btech-platform – con Connectivity, Identity, Management e Security
  • btech-landingzones – con Corp, Local e Online
  • btech-decommissioned e btech-sandboxes — per dismissione e sperimentazione

COMPLETATO: Se la gerarchia corrisponde a quella in figura, la Azure Landing Zone è stata deployata correttamente.

Microsoft Defender for Cloud

Verificare che Defender for Cloud sia attivo su tutte le 5 subscription:


Figura 17 — Microsoft Defender for Cloud: overview con 5 subscription monitorate.

Risoluzione problemi comuni

Errore: Microsoft.Resources/deployments/validate/action

Se compare l’errore “You don’t have authorization to perform action Microsoft.Resources/deployments/validate/action”, l’utente non ha il ruolo Owner sul tenant root scope (/). Seguire i Passi 1 e 2 della sezione Prerequisiti. Il tenant root scope non è raggiungibile dalla GUI: serve la CLI.

Errore: Conflict su MDFCSubEnable

Deployment alz-MDFCSubEnable con errore “Conflict – Another update operation is in progress”: errore di concorrenza, non di configurazione. Attendere il completamento e abilitare manualmente Defender for Cloud sulla subscription interessata se necessario.

Errore: Failed to redeploy (JSON parse error)

Il pulsante Redeploy può restituire errore JSON. È un bug noto del portale Azure con template ARM molto grandi (190 risorse). Non utilizzare il Redeploy, risolvere manualmente gli errori residui.

Conclusioni

Questa guida ha illustrato passo per passo come effettuare il deployment di una Azure Landing Zone utilizzando il Portal Accelerator di Microsoft. Abbiamo coperto la configurazione dei permessi, la configurazione di tutti i parametri dell’accelerator e la verifica del deployment completato.

L’Azure Landing Zone è il fondamento per una governance cloud strutturata e scalabile. Le basi poste dall’accelerator possono essere consolidate nel tempo e adattate ai diversi progetti.

ℹ️ NOTA: Per ambienti di produzione enterprise, Microsoft consiglia di passare all’IaC Accelerator basato su Bicep o Terraform con Azure Verified Modules (AVM), che offre maggiore flessibilità, ripetibilità e gestione tramite pipeline CI/CD.