Sphinx-Digital
Catalogue Demander un devis
Accueil / Blog / Gouvernance Azure : structurer votre tenant pour les équipes et les coûts
AzureCloudArchitecture

Gouvernance Azure : structurer votre tenant pour les équipes et les coûts

23 décembre 2025 · Sphinx-Digital

La gouvernance Azure n’est pas un sujet réservé aux grandes entreprises. Une startup de 10 développeurs bénéficie autant d’une structure claire — surtout qu’elle est bien plus facile à mettre en place tôt que de corriger plus tard.

La hiérarchie Azure : l’essentiel

Tenant Azure (Entra ID)
└── Management Group (Prod)
    ├── Subscription Production
    │   ├── Resource Group: web-prod
    │   ├── Resource Group: data-prod
    │   └── Resource Group: monitoring
    └── Subscription Non-Production  
        ├── Resource Group: web-staging
        └── Resource Group: web-dev

Subscription par environnement : production et non-production dans des subscriptions séparées. Isolation des coûts, isolation des permissions, isolation des quotas.

Resource Groups par fonction/application : chaque groupe a un cycle de vie commun. Supprimer un resource group supprime tout ce qu’il contient — pratique pour les environnements éphémères.

Azure Policy : enforcer les règles automatiquement

Azure Policy permet d’interdire ou d’auditer des configurations non conformes :

{
  "mode": "All",
  "policyRule": {
    "if": {
      "allOf": [
        { "field": "type", "equals": "Microsoft.Storage/storageAccounts" },
        { "field": "Microsoft.Storage/storageAccounts/allowBlobPublicAccess", "equals": "true" }
      ]
    },
    "then": {
      "effect": "Deny"
    }
  }
}

Cette policy interdit la création de comptes de stockage avec accès public aux blobs. Assignez-la au Management Group de production — elle s’applique à toutes les subscriptions en dessous.

Tagging strategy : la base du cost management

Sans tags cohérents, vous ne pouvez pas identifier qui génère quels coûts :

# Tags obligatoires sur toutes les ressources
az tag create --resource-id /subscriptions/{id} --tags   environment=prod   team=backend   project=sphinx-digital   owner=khaled.medjouel@sphinx-digital.com

Implémentez une Azure Policy qui audite (puis refuse) les ressources sans les tags obligatoires.

Budget alerts : être averti avant de dépasser

az consumption budget create   --budget-name "prod-monthly-budget"   --amount 500   --time-grain Monthly   --resource-group prod-rg   --notifications '[
    {"enabled":true,"operator":"GreaterThan","threshold":80,"contactEmails":["finops@sphinx-digital.com"]},
    {"enabled":true,"operator":"GreaterThan","threshold":100,"contactEmails":["cto@sphinx-digital.com"]}
  ]'

Alertes à 80% (avertissement) et 100% (action requise). Chaque resource group de production devrait avoir son propre budget.

Blueprints ou Bicep pour répliquer la structure ?

Azure Blueprints est déprécié au profit de Bicep + déploiement via pipeline. Créez des templates Bicep pour vos resource groups standards et déployez-les via GitOps — chaque environnement est documenté en code.

Notre formation Microsoft Azure couvre la gouvernance avec des ateliers sur tenant réel.

← Tous les articlesNous contacter