「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Azure Subscriptionの管理@エンプラ]]

* 目次 [#y36ada02]
#contents

*概要 [#pa3cd563]
手順のメモ

*初期状態 [#hdbb2e72]
キッティングしてもらった初期状態

-[[Azure]] Subscription(EA)名の設定
-[[Azure AD>Microsoft Azure Active Directory]]の作成、既定のディレクトリ名、ドメイン名の割当
-[[Azure]] Subscription管理者ロールへのMicrosoftアカウント割当

*基礎知識 [#q9fbb2b1]

**Azure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]] [#scba47d9]
-各 Azure Subscriptionは、1 つの [[Azure AD>Microsoft Azure Active Directory]]のディレクトリと関連付けられる。

-そのディレクトリに登録されたユーザ、グループ、~
およびアプリケーションのみが、Azure サブスクリプションでリソースを管理できる。

***関連付け(≒信頼関係) [#g11ce67b]
-Azure Subscription に [[Azure AD>Microsoft Azure Active Directory]] が
--含まれているのではない。
--包含関係は無く、独立している。

-Azure Subscriptionは必ず 1 つの [[Azure AD>Microsoft Azure Active Directory]] に関連付けら(≒と信頼関係が構築さ)れている。~
(この関連はER図的に行って、Azure Subscription ---● [[Azure AD>Microsoft Azure Active Directory]] となる。)
--[[Azure AD>Microsoft Azure Active Directory]]は複数のAzure Subscriptionに関連付けられる場合がある。
--1 つの Azure Subscriptionが複数のディレクトリを指定することはできない。

-関係の変更
--関連付けを変更するためには、Azure Subscriptionのアカウント管理者を別の [[Azure AD>Microsoft Azure Active Directory]] のユーザーに譲渡する作業が必要。
--また、 Azure Subscriptionを Office 365 で利用している [[Azure AD>Microsoft Azure Active Directory]] に関連付けることも可能。

***Azure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]]の管理者 [#s4cb6b45]

-Azure ADのアカウントは、Azure Subscriptionの[[RBACアクセス制御>Role Based Access Control (RBAC)]]でも利用しているが、~
Azure ADのアカウントを使用した[[Azure AD自体のアクセス制御>Microsoft Azure Active Directory#db1663dd]]は、これとはまた、別の機能。

-従って、アカウントの権限もAzure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]]で別になっている。

--Azure Subscriptionの管理者でも [[Azure AD>Microsoft Azure Active Directory]] の全体管理者でなければ、[[Azure AD>Microsoft Azure Active Directory]] の管理はできない。
--同様に、[[Azure AD>Microsoft Azure Active Directory]] の全体管理者であっても、必ずしも紐づくAzure Subscriptionの管理者ではない。

**Azure Subscriptionの管理者 [#ve0241cb]

***アカウント管理者 [#yc183cfd]
金銭や契約に関わる作業を行う。

-概要
--Azure Subscriptionやサポートオプションの購入
--購入後のオンライン請求書や契約管理

-権限
--Azure Subscriptionやサポートオプションの購入
--Subscriptionごとのサービス管理者の指定
--オンライン請求書の発行やSubscription情報などのメール通知の受信
--オンライン請求書ならびに使用量レポートのダウンロード
--支払方法の変更

-ポイント
--各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。~
(管理ポータルを利用するには、サービス管理者や共同管理者に指定する。)
--アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。~
Microsoft Azure サポートまで連絡して変更して貰う必要がある。

***サービス管理者 [#o574888b]
-Microsoft Azure の各種サービスを利用するための管理者。
-各Subscriptionに 1 つサービス管理者が紐づいている。
-管理ポータルへのアクセスおよび管理権限が与えられる。

-ポイント
--一方で、アカウントポータルへのアクセス権および管理権限は与えられていない。
--サービス管理者はアカウント管理者によって変更できる。

***共同管理者 [#p5c389cc]
-2017 年 10 月時点で新規登録できない。

-[[Role Based Access Control (RBAC)>#c9847841]]を使用して、~
Subscriptionに対して所有者というロールを割り当てれば、~
従来のクラシック ポータルでの共同管理者相当になる。

***[[Role Based Access Control (RBAC)]] [#c9847841]

***Azure Subscriptionの管理者の変更方法 [#pc642c80]
-Microsoft Azure サポート チーム サイト
--Microsoft Azure の各種アカウント権限について – ~
https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/303/
--アカウント管理者・サービス管理者・共同管理者の変更方法について~
https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/293/

-Azure 管理者サブスクリプション ロールを追加または変更する~
https://docs.microsoft.com/ja-jp/azure/billing/billing-add-change-azure-subscription-administrator#types-of-azure-admin-accounts

**[[Azure ADの管理者>Microsoft Azure Active Directory#y1da803f]] [#q172b705]
-Subscriptionの[[RBACアクセス制御>#c9847841]]でも利用しているが、[[Azure ADのアクセス制御>Microsoft Azure Active Directory#db1663dd]]は、また別の機能。
-なお、各 Azure AD ディレクトリ (テナント) は独立しており、
--ある Azure AD で全体管理者になっていても別の Azure AD の全体管理者になるわけではない。
--例えば YYY.XXX.com という Azure AD ディレクトリの全体管理者はZZZ.XXX.com の全体管理者ではない。
--[[B2B>Azure Active Directory B2B collaboration]] の機能でZZZ.XXX.com から招待を受け、このディレクトリの全体管理者の権限の付与を受けることは可能。
各 Azure AD ディレクトリ (テナント) は独立しており、

**Azure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]] [#scba47d9]
-各 Azure Subscriptionは、1 つの [[Azure AD>Microsoft Azure Active Directory]]のディレクトリと関連付けられる。
-ある Azure AD で全体管理者になっていても別の Azure AD の全体管理者になるわけではない。

-そのディレクトリに登録されたユーザ、グループ、およびアプリケーション~
のみが、Azure サブスクリプションでリソースを管理できる。
-例えば YYY.XXX.com という Azure AD ディレクトリの全体管理者はZZZ.XXX.com の全体管理者ではない。

***関連付け(≒信頼関係) [#g11ce67b]
-Azure Subscription に Azure AD が
--含まれているのではない。
--包含関係は無く、独立している。
-[[B2B>Azure Active Directory B2B collaboration]] の機能でZZZ.XXX.com から招待を受け、このディレクトリの全体管理者の権限の付与を受けることは可能。

-Azure Subscriptionは必ず 1 つの Azure AD に関連付けら(≒と信頼関係が構築さ)れている。~
(この関連はER図的に行って、Azure Subscription ---● Azure AD となる。)
--Azure ADは複数のAzure Subscriptionに関連付けられる場合がある。
--1 つの Azure Subscriptionが複数のディレクトリを指定することはできない。

-関係の変更
--関連付けを変更するためには、Azure Subscriptionのアカウント管理者を別の Azure AD のユーザーに譲渡する作業が必要。
--また、 Azure Subscriptionを Office 365 で利用している Azure AD に関連付けることも可能。

***Azure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]]の管理者 [#s4cb6b45]
-それぞれ、管理者は独立している。
--Azure Subscriptionの管理者であっても Azure AD の全体管理者でなければ、Azure AD の管理 (ユーザー追加、削除など) はできない。
--同様に Azure AD の全体管理者であっても、必ずしも紐づくAzure Subscriptionの管理者ではありません。

**参考 [#ibbbd383]
-Azure サブスクリプションと Azure AD の管理者 – Japan Azure Identity Support Blog~
https://blogs.technet.microsoft.com/jpazureid/2017/11/04/azure-subscription-azuread-admin/

--Microsoft Azure の各種アカウント権限について – Microsoft Azure サポート チーム サイト~
https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/303/

--Microsoft Docs
---既存の Azure サブスクリプションを Azure AD ディレクトリに追加する方法~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-how-subscriptions-associated-directory
---Azure Active Directory の管理者ロールの割り当て~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-assign-admin-roles-azure-portal
---Azure AD へのカスタム ドメインの追加~
https://docs.microsoft.com/ja-jp/azure/active-directory/add-custom-domain

*ベースの作成 [#za332fe3]
**リソース・グループ [#if3a99f1]
リソース・グループを作成する。

**仮想ネットワーク [#s9e0e3b2]
リソース・グループに[[仮想ネットワーク>Azureの仮想ネットワーク]]を作成する。

***サブネット [#ua9e4264]
[[仮想ネットワークにサブネットを作成する。>Azureのサブネッティング]]

**仮想マシン [#e63f5530]
リソース・グループに仮想マシンを作成する。
-配置する仮想ネットワーク.サブネットを選択する。
-関連するリソースも作成される。
--NIC、パブリックIPアドレス
--ディスク、ストレージ・アカウント

***パブリックIPアドレス [#g90ef0bd]
インバウンドを開ける場合、必要に応じて、パブリックIPアドレスを固定する。

**[[NSG>#n32844af]] [#y926d302]
***アウトバウンド [#n40bcc4d]
基本的に開放するが、必要に応じて絞る。

***インバウンド [#l8365ae2]
-サブネット向けに[[NSG>#n32844af]]を新規作成(既定値)。
-使用するVMに絞ったRDP/SSHのインバウンドを許可。
-作成した[[NSG>#n32844af]]をサブネットを関連付ける。
-VMのNICに関連付けられた[[NSG>#n32844af]]をすべて削除する。

*ユーザの追加 [#f0fd4bde]
**新しいユーザを招待 [#t5e34b2e]

**新しいゲストユーザを招待 [#m2e7355d]
「[[Azure Active Directory B2B collaboration]]」でマイクロソフト・アカウントのユーザを招待

*リソースへの権限付与 [#b4489a3c]

**方法 [#h91b6bdb]
***スコープ [#a3215574]
スコープを選択
-サブスクリプション
-リソース・グループ
-リソース

***ロール [#c6673529]
-上記のスコープを選択して、
-アクセス制御(IAM)を選択し、
-追加ボタンを押下
--役割(ロール)を選択
--必要に応じて役割(ロール)にユーザを追加

**カスタム・ロール [#z6d135e9]
カスタム・ロールを作成して権限を付与する。

***管理者 [#g4d4c549]

***作業者 [#v705f69d]

-「DevTest Labs User」組込ロールを更に絞った、~
「仮想マシンの起動と停止」カスタム・ロールを作成。

-[[Azure Cloud Shell]]などを使用して以下を実行。
--SubsctionId を確認
 Get-AzureRmSubscription
--カスタム・ロールを作成
 $role = Get-AzureRmRoleDefinition "Virtual Machine Contributor"
 
 $role.Id = $Null
 $role.Name = "仮想マシンの起動と停止"
 $role.Description = "仮想マシンの起動と停止、再起動ができます"
 
 $role.Actions.Clear()
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/start/action")
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/restart/action")
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/read")
 $role.Actions.Add("Microsoft.Compute/virtualMachines//read")
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/deallocate/action")
 
 $role.AssignableScopes.Clear()
 $role.AssignableScopes.Add("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx") <--- Get-AzureRmSubscription で取得した SubsctionId を指定。
 
 New-AzureRmRoleDefinition -Role $role

-参考
--Azure リソースの RBAC でカスタムロールを作成する – Junichi Anno's blog~
https://blogs.technet.microsoft.com/junichia/2016/12/13/azure-%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE-rbac-%E3%81%A7%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B/

*その他のネットワーク設定 [#h7ad1145]

**ネットワーク間の接続を構成する。 [#q8da8532]

***[[仮想ネットワーク ピアリング>Azureの仮想ネットワーク ピアリング#a86756f4]] [#x701f511]

***[[VPN Gatewayの構成>VPN Gateway#ka4047f2]] [#i543c723]

*AADへの権限付与 [#l4a1c926]
AADの管理画面でディレクトリ・ロールを選択する。

**ユーザー [#pb51124b]
**全体管理者 [#k536194e]
**制限付き管理者 [#rdf255bb]

*参考 [#c8ede674]

**[[シェル]] [#o8027531]

***[[Azure PowerShell]] [#g779c4ef]
***[[Azure Cloud Shell]] [#ff988d21]

**[[Azure Resource Manager]] [#i507fce0]

***[[Role Based Access Control (RBAC)]] [#peddfea0]
***[[Network Security Group (NSG)]] [#m9c392c1]

**[[Azure Active Directory B2B collaboration]] [#m41a45f2]

----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS