マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

手順のメモ

前提条件

キッティングしてもらった初期状態の例

  • Azure Subscription(EA)名の設定
  • Azure AD
    • 作成
    • 既定のディレクトリ名、ドメイン名の割当
    • サービス管理者になるMicrosoftアカウントを追加
  • Azure ADに追加したMicrosoftアカウントを、
    • Azure ADの全体管理者の役割(ロール)に追加
    • Azure Subscriptionのサービス管理者の役割(ロール)に追加

※ 2018/1月時点:

クラシックポータルが廃止され、
Azure ADドメインと同じドメインのMicrosoftアカウントをAzure ADに追加できなくなった。
(ドメイン名によって、個人アカウントではなく、組織アカウントと認識されるため)

基礎知識

Azure SubscriptionとAzure AD

  • 各 Azure Subscriptionは、1 つの Azure ADのディレクトリと関連付けられる。
  • そのディレクトリに登録されたユーザ、グループ、
    およびアプリケーションのみが、Azure サブスクリプションでリソースを管理できる。

関連付け( ≒ 信頼関係)

  • Azure Subscription に Azure AD
    • 含まれているのではない。
    • 包含関係は無く、独立している。
  • Azure Subscriptionは必ず 1 つの Azure AD に関連付けら( ≒ と信頼関係が構築さ)れている。
    (この関連はER図的に行って、Azure Subscription ---● Azure AD となる。)
    • Azure ADは複数のAzure Subscriptionに関連付けられる場合がある。
    • 1 つの Azure Subscriptionが複数のディレクトリを指定することはできない。
  • 関連付けを変更するためには、
    • アカウント管理者が、Azure ADのアカウント(組織アカウント)の場合
      Azure Subscriptionのアカウント管理者を別の Azure AD のユーザーに譲渡する作業が必要。
    • アカウント管理者が、Microsoftアカウント(個人アカウント)の場合
      Azure Subscriptionの所有者 + 変更前後のAzure ADのユーザー権限で変更可能。
    • また、 Azure Subscriptionを Office 365 で利用している Azure AD に関連付けることも可能。

Azure SubscriptionとAzure ADの管理者

  • 従って、アカウントの権限もAzure SubscriptionとAzure ADで別になっている。
  • Azure Subscriptionの管理者でも Azure AD の全体管理者でなければ、Azure AD の管理はできない。
  • 同様に、Azure AD の全体管理者であっても、必ずしも紐づくAzure Subscriptionの管理者ではない。

Azure Subscriptionの管理者

アカウント管理者

金銭や契約に関わる作業を行う。

  • 概要
    • Azure Subscriptionやサポートオプションの購入
    • 購入後のオンライン請求書や契約管理
  • 権限
    • Azure Subscriptionやサポートオプションの購入
    • Subscriptionごとのサービス管理者の指定
    • オンライン請求書の発行やSubscription情報などのメール通知の受信
    • オンライン請求書ならびに使用量レポートのダウンロード
    • 支払方法の変更
  • ポイント
    • 各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。
      (管理ポータルを利用するには、サービス管理者や共同管理者に指定する。)
    • アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。
      Microsoft Azure サポートまで連絡して変更して貰う必要がある。

サービス管理者

  • Microsoft Azure の各種サービスを利用するための管理者。
  • 各Subscriptionに 1 つサービス管理者が紐づいている。
  • 管理ポータルへのアクセスおよび管理権限が与えられる。
  • ポイント
    一方で、
    • アカウントポータルへのアクセス権および管理権限は与えられていない。
    • サービス管理者はアカウント管理者によって変更できる。

共同管理者

  • 2017 年 10 月時点で新規登録できない。
  • RBACアクセス制御を使用して、
    Subscriptionに対して所有者というロールを割り当てれば、
    従来のクラシック ポータルでの共同管理者相当になる。

Azure ADの管理者

Azure AD ディレクトリ (テナント) は独立しており、

  • ある Azure AD で全体管理者になっていても別の Azure AD の全体管理者になるわけではない。
  • 例えば YYY.XXX.com という Azure AD ディレクトリの全体管理者はZZZ.XXX.com の全体管理者ではない。
  • B2B の機能でZZZ.XXX.com から招待を受け、このディレクトリの全体管理者の権限の付与を受けることは可能。

参考

ベースの作成

リソース・グループ

リソース・グループを作成する。

仮想ネットワーク

リソース・グループに仮想ネットワークを作成する。

サブネット

仮想ネットワークにサブネットを作成する。

仮想マシン

リソース・グループに仮想マシンを作成する。

  • 配置する仮想ネットワーク.サブネットを選択する。
  • 以下の、関連するリソースも作成される。

NIC

  • パブリックIPアドレス
    • FQDN名(DNS)を設定するか、
    • パブリックIPアドレスを固定する。

ディスク

※ 基本的に、管理ディスクの方が高額になる。

自動シャットダウン

  • ポータルから簡単に設定可能。
  • 課金を軽減するため、必要に応じて設定を行う。

参考

NSG

アウトバウンド

基本的に開放するが、必要に応じて絞る。

インバウンド

基本的に全閉するが、必要に応じて開ける。

設定方法

ユーザの追加

新しいユーザを追加する。

サービス管理者は、

  • このままでは、 (Office365でなければ) メールは受け取れない。
  • 50000ユーザまで無料だが、数が増えると破綻する。

新しいゲストユーザを招待する。

サービス管理者は、

Azure Active Directory B2B collaboration

でマイクロソフト・アカウントのユーザを招待する。

ユーザへ権限を付与する。

上記でアカウントを作成 or 招待しても初期状態で、

  • Azure Subscriptionの権限はまったくない。
  • Azure ADの権限はゲスト権限しかない。

なので、必要に応じて追加の権限付与(ロールにユーザを追加する)が必要になる。

リソースへの権限付与

アカウント権限を使用する

ロール・レベルで制御する

スコープを選択

  • サブスクリプション
  • リソース・グループ
  • リソース

役割(ロール)にユーザを追加

  • 上記のスコープを選択して、
  • アクセス制御(IAM)を選択し、
  • 追加ボタンを押下
    • 役割(ロール)を選択
    • 必要に応じて役割(ロール)にユーザを追加

カスタム・ロールの作成と利用

カスタム・ロールを作成してユーザを追加。

ネットワーク間の接続を構成する。

仮想ネットワーク ピアリング

VPN Gatewayの構成

参考

シェル

Azure PowerShell

Azure Cloud Shell

Azure Resource Manager

Role Based Access Control (RBAC)

Network Security Group (NSG)

Azure Active Directory B2B collaboration


Tags: :インフラストラクチャ, :クラウド, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-02-16 (金) 18:34:01 (7d)