マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

前提条件

キッティングしてもらった初期状態の例

  • Azure Subscription(EA)名の設定
  • Azure AD
    • 作成
    • 既定のディレクトリ名、ドメイン名の割当
    • サービス管理者になるMicrosoftアカウントを追加
  • Azure ADに追加したMicrosoftアカウントを、
    • Azure ADの全体管理者の役割(ロール)に追加
    • Azure Subscriptionのサービス管理者の役割(ロール)に追加

※ 2018/1月時点:

クラシックポータルが廃止され、
Azure ADドメインと同じドメインのMicrosoftアカウントをAzure ADに追加できなくなった。
(ドメイン名によって、個人アカウントではなく、組織アカウントと認識されるため)

ベースの作成

リソース・グループ

リソース・グループを作成する。

ネットワーク

仮想ネットワーク

リソース・グループに仮想ネットワークを作成する。

サブネット

仮想ネットワークにサブネットを作成する。

仮想マシン

リソース・グループに仮想マシンを作成する。

  • 配置する仮想ネットワーク.サブネットを選択する。
  • 以下の、関連するリソースも作成される。

NIC

  • パブリックIPアドレス
    • FQDN名(DNS)を設定するか、
    • パブリックIPアドレスを固定する。

ディスク

※ 基本的に、管理ディスクの方が高額になる。

自動シャットダウン

  • ポータルから簡単に設定可能。
  • 課金を軽減するため、必要に応じて設定を行う。

参考

Azure Bastion

Azure Bastionを使用すると、直接インバウンドを開けずに作業可能。
AzureBastionSubnet?にインバウンドを開け、Azure Bastion経由にする)

他との違い

管理端末、保守端末向き。
(他のDaaSはリモワなどの業務用)

設定方法

NSG

アウトバウンド

  • 基本的に開放するが、必要に応じて絞る。
  • Azure Firewallを利用可能だが高額。

インバウンド

  • 基本的に全閉するが、必要に応じて開ける。
  • Azure Bastionを使用すれば、直接インバウンドを開けずに作業可能。

設定方法

ユーザの追加

新しいユーザを追加する。

サービス管理者は、

  • このままでは、 (Office365でなければ) メールは受け取れない。
  • 50000ユーザまで無料だが、数が増えると破綻する。

新しいゲストユーザを招待する。

サービス管理者は、

Azure Active Directory B2B collaboration

でマイクロソフト・アカウントのユーザを招待する。

ユーザへ権限を付与する。

上記でアカウントを作成 or 招待しても初期状態で、

  • Azure Subscriptionの権限はまったくない。
  • Azure ADの権限はゲスト権限しかない。

なので、必要に応じて追加の権限付与(ロールにユーザを追加する)が必要になる。

リソースへの権限付与

アカウント権限を使用する

ロール・レベルで制御する

スコープを選択

  • サブスクリプション
  • リソース・グループ
  • リソース

役割(ロール)にユーザを追加

  • 上記のスコープを選択して、
  • アクセス制御(IAM)を選択し、
  • 追加ボタンを押下
    • 役割(ロール)を選択
    • 必要に応じて役割(ロール)にユーザを追加

カスタム・ロールの作成と利用

カスタム・ロールを作成してユーザを追加。

Tags: :インフラストラクチャ, :クラウド, :Azure, :セキュリティ
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-09-03 (金) 13:33:43 (958d)