「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Azure Subscriptionの管理@エンプラ]]

* 目次 [#y36ada02]
#contents

*概要 [#pa3cd563]
手順のメモ

*初期状態 [#hdbb2e72]
キッティングしてもらった初期状態
*前提条件 [#hdbb2e72]
キッティングしてもらった初期状態の例

-[[Azure]]サブスクリプション(EA)名の設定
-[[Azure AD>Microsoft Azure Active Directory]]の作成、既定のディレクトリ名、ドメイン名の割当
-[[Azure]]サブスクリプション管理者ロールへのMicrosoftアカウント割当
-[[Azure]] Subscription(EA)名の設定

-[[Azure AD>Microsoft Azure Active Directory]]の
--作成
--既定のディレクトリ名、ドメイン名の割当
--サービス管理者になるMicrosoftアカウントを追加

-[[Azure AD>Microsoft Azure Active Directory]]に追加したMicrosoftアカウントを、
--[[Azure AD>Microsoft Azure Active Directory]]の全体管理者の役割(ロール)に追加
--[[Azure]] Subscriptionのサービス管理者の役割(ロール)に追加

※ 2018/1月時点:
>クラシックポータルが廃止され、~
[[Azure AD>Microsoft Azure Active Directory]]ドメインと同じドメインのMicrosoftアカウントを[[Azure AD>Microsoft Azure Active Directory]]に追加できなくなった。~
(ドメイン名によって、個人アカウントではなく、組織アカウントと認識されるため)

*基礎知識 [#q9fbb2b1]

**Azure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]] [#scba47d9]
-各 Azure Subscriptionは、1 つの [[Azure AD>Microsoft Azure Active Directory]]のディレクトリと関連付けられる。

-そのディレクトリに登録されたユーザ、グループ、~
およびアプリケーションのみが、Azure サブスクリプションでリソースを管理できる。

***関連付け( ≒ 信頼関係) [#g11ce67b]
-Azure Subscription に [[Azure AD>Microsoft Azure Active Directory]] が
--含まれているのではない。
--包含関係は無く、独立している。

-Azure Subscriptionは必ず 1 つの [[Azure AD>Microsoft Azure Active Directory]] に関連付けら( ≒ と信頼関係が構築さ)れている。~
(この関連はER図的に行って、Azure Subscription ---● [[Azure AD>Microsoft Azure Active Directory]] となる。)
--[[Azure AD>Microsoft Azure Active Directory]]は複数のAzure Subscriptionに関連付けられる場合がある。
--1 つの Azure Subscriptionが複数のディレクトリを指定することはできない。

-関連付けを変更するためには、
--アカウント管理者が、[[Azure AD>Microsoft Azure Active Directory]]のアカウント(組織アカウント)の場合~
Azure Subscriptionのアカウント管理者を別の [[Azure AD>Microsoft Azure Active Directory]] のユーザーに譲渡する作業が必要。
--アカウント管理者が、Microsoftアカウント(個人アカウント)の場合~
Azure Subscriptionの所有者 + 変更前後のAzure ADのユーザー権限で変更可能。
--また、 Azure Subscriptionを Office 365 で利用している [[Azure AD>Microsoft Azure Active Directory]] に関連付けることも可能。

***Azure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]]の管理者 [#s4cb6b45]

-[[Azure AD>Microsoft Azure Active Directory]]のアカウントは、Azure Subscriptionの[[RBACアクセス制御>Role Based Access Control (RBAC)]]でも利用しているが、~
[[Azure AD>Microsoft Azure Active Directory]]のアカウントを使用した[[Azure AD自体のアクセス制御>Microsoft Azure Active Directory#db1663dd]]は、これとはまた、別の機能。

-従って、アカウントの権限もAzure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]]で別になっている。

--Azure Subscriptionの管理者でも [[Azure AD>Microsoft Azure Active Directory]] の全体管理者でなければ、[[Azure AD>Microsoft Azure Active Directory]] の管理はできない。
--同様に、[[Azure AD>Microsoft Azure Active Directory]] の全体管理者であっても、必ずしも紐づくAzure Subscriptionの管理者ではない。

**Azure Subscriptionの管理者 [#ve0241cb]

***アカウント管理者 [#yc183cfd]
金銭や契約に関わる作業を行う。

-概要
--Azure Subscriptionやサポートオプションの購入
--購入後のオンライン請求書や契約管理

-権限
--Azure Subscriptionやサポートオプションの購入
--Subscriptionごとのサービス管理者の指定
--オンライン請求書の発行やSubscription情報などのメール通知の受信
--オンライン請求書ならびに使用量レポートのダウンロード
--支払方法の変更

-ポイント
--各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。~
(管理ポータルを利用するには、サービス管理者や共同管理者に指定する。)
--アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。~
Microsoft Azure サポートまで連絡して変更して貰う必要がある。

***サービス管理者 [#o574888b]
-Microsoft Azure の各種サービスを利用するための管理者。
-各Subscriptionに 1 つサービス管理者が紐づいている。
-管理ポータルへのアクセスおよび管理権限が与えられる。

-ポイント~
一方で、
--アカウントポータルへのアクセス権および管理権限は与えられていない。
--サービス管理者はアカウント管理者によって変更できる。

***共同管理者 [#p5c389cc]
-2017 年 10 月時点で新規登録できない。

-[[RBACアクセス制御>Role Based Access Control (RBAC)]]を使用して、~
Subscriptionに対して所有者というロールを割り当てれば、~
従来のクラシック ポータルでの共同管理者相当になる。

**[[Azure ADの管理者>Microsoft Azure Active Directory#y1da803f]] [#q172b705]
各 [[Azure AD>Microsoft Azure Active Directory]] ディレクトリ (テナント) は独立しており、

-ある [[Azure AD>Microsoft Azure Active Directory]] で全体管理者になっていても別の [[Azure AD>Microsoft Azure Active Directory]] の全体管理者になるわけではない。

-例えば YYY.XXX.com という [[Azure AD>Microsoft Azure Active Directory]] ディレクトリの全体管理者はZZZ.XXX.com の全体管理者ではない。

-[[B2B>Azure Active Directory B2B collaboration]] の機能でZZZ.XXX.com から招待を受け、このディレクトリの全体管理者の権限の付与を受けることは可能。

**参考 [#ibbbd383]
-Azure サブスクリプションと [[Azure AD>Microsoft Azure Active Directory]] の管理者 – Japan Azure Identity Support Blog~
https://blogs.technet.microsoft.com/jpazureid/2017/11/04/azure-subscription-azuread-admin/

--Microsoft Azure の各種アカウント権限について – Microsoft Azure サポート チーム サイト~
https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/303/

--Microsoft Docs
---既存の Azure サブスクリプションを Azure AD ディレクトリに追加する方法~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-how-subscriptions-associated-directory
---Azure Active Directory の管理者ロールの割り当て~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-assign-admin-roles-azure-portal
---Azure AD へのカスタム ドメインの追加~
https://docs.microsoft.com/ja-jp/azure/active-directory/add-custom-domain

*ベースの作成 [#za332fe3]

**リソース・グループ [#if3a99f1]
リソース・グループを作成する。

**仮想ネットワーク [#s9e0e3b2]
リソース・グループに仮想ネットワークを作成する。
リソース・グループに[[仮想ネットワーク>Azureの仮想ネットワーク]]を作成する。

***サブネット [#ua9e4264]
仮想ネットワークにサブネットを作成する。
[[仮想ネットワークにサブネットを作成する。>Azureのサブネッティング]]

**仮想マシン [#e63f5530]
リソース・グループに仮想マシンを作成する。

-配置する仮想ネットワーク.サブネットを選択する。
-関連するリソースも作成される。
--NIC、パブリックIPアドレス
--ディスク、ストレージ・アカウント
-以下の、関連するリソースも作成される。

***パブリックIPアドレス [#g90ef0bd]
インバウンドを開ける場合、必要に応じて、パブリックIPアドレスを固定する。
***NIC [#ef4f7257]
-パブリックIPアドレス
--FQDN名(DNS)を設定するか、~
--パブリックIPアドレスを固定する。~

**[[NSG>#n32844af]] [#y926d302]
-サブネット向けに[[NSG>#n32844af]]を新規作成(既定値)。
-使用するVMに絞ったRDP/SSHのインバウンドを許可。
-作成した[[NSG>#n32844af]]をサブネットを関連付ける。
-VMのNICに関連付けられた[[NSG>#n32844af]]をすべて削除する。
***[[ディスク>Azureのディスク ストレージ]] [#nbc8c41f]
-[[非管理ディスク>Azureのディスク ストレージ#l33fe1bb]](ストレージ・アカウント)
-[[管理ディスク>Azureのディスク ストレージ#v086e7a2]](HDD or SSD)

※ 基本的に、管理ディスクの方が高額になる。

***自動シャットダウン [#jd16e3cf]
-ポータルから簡単に設定可能。
-課金を軽減するため、必要に応じて設定を行う。

***参考 [#m7aea9f4]
-[[Azureのディスク ストレージ]]
-[[Azure仮想マシン 環境構築 | kokoni>http://blog.kokoni.jp/%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89%E7%B7%A8/azure%E6%96%B0%E3%83%9D%E3%83%BC%E3%82%BF%E3%83%AB%E3%81%A7%E4%BB%AE%E6%83%B3%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%AE%E4%BD%9C%E3%82%8A%E6%96%B9/]]

**[[NSG>#m9c392c1]] [#y926d302]

***アウトバウンド [#n40bcc4d]
基本的に開放するが、必要に応じて絞る。

***インバウンド [#l8365ae2]
基本的に全閉するが、必要に応じて開ける。

***[[設定方法>Network Security Group (NSG)#da9caeeb]] [#c46f6235]

*ユーザの追加 [#f0fd4bde]
**新しいユーザを招待 [#t5e34b2e]

**新しいゲストユーザを招待 [#m2e7355d]
「[[Azure Active Directory B2B collaboration]]」でマイクロソフト・アカウントのユーザを招待
**新しいユーザを追加する。 [#t5e34b2e]
サービス管理者は、

-[[Azure AD>Microsoft Azure Active Directory]]のドメイン内に直接~
「xxxxx@xxxx.onmicrosoft.com」~
の組織アカウントを作成・登録できる。

-このままでは、 (Office365でなければ)  メールは受け取れない。
-50000ユーザまで無料だが、数が増えると破綻する。

**新しいゲストユーザを招待する。 [#m2e7355d]
サービス管理者は、~

>「[[Azure Active Directory B2B collaboration]]」

でマイクロソフト・アカウントのユーザを招待する。

**ユーザへ権限を付与する。 [#d504b88b]
上記でアカウントを作成 or 招待しても初期状態で、
-Azure Subscriptionの権限はまったくない。
-[[Azure AD>Microsoft Azure Active Directory]]の権限はゲスト権限しかない。

なので、必要に応じて追加の権限付与(ロールにユーザを追加する)が必要になる。

*リソースへの権限付与 [#b4489a3c]

**方法 [#h91b6bdb]
***スコープ [#a3215574]
スコープを選択
**[[アカウント権限を使用する>Role Based Access Control (RBAC)#j117f124]] [#g5593f00]

**ロール・レベルで制御する [#h91b6bdb]

***スコープを選択 [#a3215574]
-サブスクリプション
-リソース・グループ
-リソース

***ロール [#c6673529]
***役割(ロール)にユーザを追加 [#c6673529]

-上記のスコープを選択して、
-アクセス制御(IAM)を選択し、
-追加ボタンを押下
--役割を選択
--必要に応じて役割にユーザを追加
--役割(ロール)を選択
--必要に応じて役割(ロール)にユーザを追加

**ユーザと権限 [#z6d135e9]
***カスタム・ロールの作成と利用 [#z6d135e9]
カスタム・ロールを作成してユーザを追加。

***管理者 [#g4d4c549]
-[[管理者の例>Role Based Access Control (RBAC)#ka8ea084]]

***作業者 [#v705f69d]
-「DevTest Labs User」組込ロール
-「仮想マシンの起動と停止」カスタム・ロール(上記を更に絞る)
--SubsctionId を確認
 Get-AzureRmSubscription
--カスタム・ロールを作成
 $role = Get-AzureRmRoleDefinition "Virtual Machine Contributor"
 
 $role.Id = $Null
 $role.Name = "仮想マシンの起動と停止"
 $role.Description = "仮想マシンの起動と停止、再起動ができます"
 
 $role.Actions.Clear()
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/start/action")
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/restart/action")
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/read")
 $role.Actions.Add("Microsoft.Compute/virtualMachines//read")
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/deallocate/action")
 
 $role.AssignableScopes.Clear()
 $role.AssignableScopes.Add("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx")
 
 New-AzureRmRoleDefinition -Role $role
-[[作業者の例>Role Based Access Control (RBAC)#f47adf4e]]

-参考
--Azure リソースの RBAC でカスタムロールを作成する – Junichi Anno's blog~
https://blogs.technet.microsoft.com/junichia/2016/12/13/azure-%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE-rbac-%E3%81%A7%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B/
**ネットワーク間の接続を構成する。 [#q8da8532]

*ネットワーク設定 [#h7ad1145]
**[[サブネッティング>Azureのサブネッティング]] [#b5634579]
***[[仮想ネットワーク ピアリング>Azureの仮想ネットワーク ピアリング#a86756f4]] [#x701f511]

**[[仮想ネットワーク ピアリング>Azureの仮想ネットワーク ピアリング]] [#x701f511]
***[[VPN Gatewayの構成>VPN Gateway#ka4047f2]] [#i543c723]

**[[VPN Gatewayの構成>VPN Gateway#ka4047f2]] [#i543c723]

*AADへの権限付与 [#l4a1c926]
AADの管理画面でディレクトリ・ロールを選択する。

**ユーザー [#pb51124b]
**全体管理者 [#k536194e]
**制限付き管理者 [#rdf255bb]

*参考 [#c8ede674]

**[[シェル]] [#o8027531]

***[[Azure PowerShell]] [#g779c4ef]

***[[Azure Cloud Shell]] [#ff988d21]

**[[Azure Resource Manager]] [#i507fce0]

***[[Role Based Access Control (RBAC)]] [#peddfea0]

***[[Network Security Group (NSG)]] [#m9c392c1]

**[[Azure Active Directory B2B collaboration]] [#m41a45f2]

----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS