「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
手順のメモ
初期状態 †
キッティングしてもらった初期状態
- Azure Subscription(EA)名の設定
- Azure ADの作成、既定のディレクトリ名、ドメイン名の割当
- Azure Subscription管理者ロールへのMicrosoftアカウント割当
基礎知識 †
Azure Subscriptionの管理者 †
アカウント管理者 †
金銭や契約に関わる作業を行う。
- 概要
- Azure Subscriptionやサポートオプションの購入
- 購入後のオンライン請求書や契約管理
- 権限
- Azure Subscriptionやサポートオプションの購入
- Subscriptionごとのサービス管理者の指定
- オンライン請求書の発行やSubscription情報などのメール通知の受信
- オンライン請求書ならびに使用量レポートのダウンロード
- 支払方法の変更
- ポイント
- 各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。
(管理ポータルを利用するには、サービス管理者や共同管理者に指定する。)
- アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。
Microsoft Azure サポートまで連絡して変更して貰う必要がある。
サービス管理者 †
- Microsoft Azure の各種サービスを利用するための管理者。
- 各Subscriptionに 1 つサービス管理者が紐づいている。
- 管理ポータルへのアクセスおよび管理権限が与えられる。
- ポイント
- 一方で、アカウントポータルへのアクセス権および管理権限は与えられていない。
- サービス管理者はアカウント管理者によって変更できる。
共同管理者 †
Azure Subscriptionの管理者の変更方法 †
- Microsoft Azure サポート チーム サイト
- SubscriptionのRBACアクセス制御でも利用しているが、Azure ADのアクセス制御は、また別の機能。
- なお、各 Azure AD ディレクトリ (テナント) は独立しており、
- ある Azure AD で全体管理者になっていても別の Azure AD の全体管理者になるわけではない。
- 例えば YYY.XXX.com という Azure AD ディレクトリの全体管理者はZZZ.XXX.com の全体管理者ではない。
- B2B の機能でZZZ.XXX.com から招待を受け、このディレクトリの全体管理者の権限の付与を受けることは可能。
Azure SubscriptionとAzure AD †
- 各 Azure Subscriptionは、1 つの Azure ADのディレクトリと関連付けられる。
- そのディレクトリに登録されたユーザ、グループ、およびアプリケーション
のみが、Azure サブスクリプションでリソースを管理できる。
関連付け(≒信頼関係) †
- Azure Subscription に Azure AD が
- 含まれているのではない。
- 包含関係は無く、独立している。
- Azure Subscriptionは必ず 1 つの Azure AD に関連付けら(≒と信頼関係が構築さ)れている。
(この関連はER図的に行って、Azure Subscription ---● Azure AD となる。)
- Azure ADは複数のAzure Subscriptionに関連付けられる場合がある。
- 1 つの Azure Subscriptionが複数のディレクトリを指定することはできない。
- 関係の変更
- 関連付けを変更するためには、Azure Subscriptionのアカウント管理者を別の Azure AD のユーザーに譲渡する作業が必要。
- また、 Azure Subscriptionを Office 365 で利用している Azure AD に関連付けることも可能。
Azure SubscriptionとAzure ADの管理者 †
- それぞれ、管理者は独立している。
- Azure Subscriptionの管理者であっても Azure AD の全体管理者でなければ、Azure AD の管理 (ユーザー追加、削除など) はできない。
- 同様に Azure AD の全体管理者であっても、必ずしも紐づくAzure Subscriptionの管理者ではありません。
参考 †
ベースの作成 †
リソース・グループ †
リソース・グループを作成する。
仮想ネットワーク †
リソース・グループに仮想ネットワークを作成する。
サブネット †
仮想ネットワークにサブネットを作成する。
仮想マシン †
リソース・グループに仮想マシンを作成する。
- 配置する仮想ネットワーク.サブネットを選択する。
- 関連するリソースも作成される。
- NIC、パブリックIPアドレス
- ディスク、ストレージ・アカウント
パブリックIPアドレス †
インバウンドを開ける場合、必要に応じて、パブリックIPアドレスを固定する。
アウトバウンド †
基本的に開放するが、必要に応じて絞る。
インバウンド †
- サブネット向けにNSGを新規作成(既定値)。
- 使用するVMに絞ったRDP/SSHのインバウンドを許可。
- 作成したNSGをサブネットを関連付ける。
- VMのNICに関連付けられたNSGをすべて削除する。
ユーザの追加 †
新しいユーザを招待 †
新しいゲストユーザを招待 †
「Azure Active Directory B2B collaboration」でマイクロソフト・アカウントのユーザを招待
リソースへの権限付与 †
方法 †
スコープ †
スコープを選択
ロール †
- 上記のスコープを選択して、
- アクセス制御(IAM)を選択し、
- 追加ボタンを押下
- 役割(ロール)を選択
- 必要に応じて役割(ロール)にユーザを追加
カスタム・ロール †
カスタム・ロールを作成して権限を付与する。
管理者 †
作業者 †
- 「DevTest? Labs User」組込ロールを更に絞った、
「仮想マシンの起動と停止」カスタム・ロールを作成。
その他のネットワーク設定 †
ネットワーク間の接続を構成する。 †
AADへの権限付与 †
AADの管理画面でディレクトリ・ロールを選択する。
ユーザー †
全体管理者 †
制限付き管理者 †
参考 †
Tags: :インフラストラクチャ, :クラウド, :Azure