「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure Subscriptionの管理@エンプラ]] * 目次 [#y36ada02] #contents *概要 [#pa3cd563] 手順のメモ *前提条件 [#hdbb2e72] キッティングしてもらった初期状態の例 -[[Azure]] Subscription(EA)名の設定 -[[Azure AD>Microsoft Azure Active Directory]]の --作成 --既定のディレクトリ名、ドメイン名の割当 --サービス管理者になるMicrosoftアカウントを追加 -[[Azure AD>Microsoft Azure Active Directory]]に追加したMicrosoftアカウントを、 --[[Azure AD>Microsoft Azure Active Directory]]の全体管理者の役割(ロール)に追加 --[[Azure]] Subscriptionのサービス管理者の役割(ロール)に追加 ※ 2018/1月時点: >クラシックポータルが廃止され、~ [[Azure AD>Microsoft Azure Active Directory]]ドメインと同じドメインのMicrosoftアカウントを[[Azure AD>Microsoft Azure Active Directory]]に追加できなくなった。~ (ドメイン名によって、個人アカウントではなく、組織アカウントと認識されるため) *基礎知識 [#q9fbb2b1] **Azure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]] [#scba47d9] -各 Azure Subscriptionは、1 つの [[Azure AD>Microsoft Azure Active Directory]]のディレクトリと関連付けられる。 -そのディレクトリに登録されたユーザ、グループ、~ およびアプリケーションのみが、Azure サブスクリプションでリソースを管理できる。 ***関連付け( ≒ 信頼関係) [#g11ce67b] -Azure Subscription に [[Azure AD>Microsoft Azure Active Directory]] が --含まれているのではない。 --包含関係は無く、独立している。 -Azure Subscriptionは必ず 1 つの [[Azure AD>Microsoft Azure Active Directory]] に関連付けら( ≒ と信頼関係が構築さ)れている。~ (この関連はER図的に行って、Azure Subscription ---● [[Azure AD>Microsoft Azure Active Directory]] となる。) --[[Azure AD>Microsoft Azure Active Directory]]は複数のAzure Subscriptionに関連付けられる場合がある。 --1 つの Azure Subscriptionが複数のディレクトリを指定することはできない。 -関連付けを変更するためには、 --アカウント管理者が、[[Azure AD>Microsoft Azure Active Directory]]のアカウント(組織アカウント)の場合~ Azure Subscriptionのアカウント管理者を別の [[Azure AD>Microsoft Azure Active Directory]] のユーザーに譲渡する作業が必要。 --アカウント管理者が、Microsoftアカウント(個人アカウント)の場合~ Azure Subscriptionの所有者 + 変更前後のAzure ADのユーザー権限で変更可能。 --また、 Azure Subscriptionを Office 365 で利用している [[Azure AD>Microsoft Azure Active Directory]] に関連付けることも可能。 ***Azure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]]の管理者 [#s4cb6b45] -[[Azure AD>Microsoft Azure Active Directory]]のアカウントは、Azure Subscriptionの[[RBACアクセス制御>Role Based Access Control (RBAC)]]でも利用しているが、~ [[Azure AD>Microsoft Azure Active Directory]]のアカウントを使用した[[Azure AD自体のアクセス制御>Microsoft Azure Active Directory#db1663dd]]は、これとはまた、別の機能。 -従って、アカウントの権限もAzure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]]で別になっている。 --Azure Subscriptionの管理者でも [[Azure AD>Microsoft Azure Active Directory]] の全体管理者でなければ、[[Azure AD>Microsoft Azure Active Directory]] の管理はできない。 --同様に、[[Azure AD>Microsoft Azure Active Directory]] の全体管理者であっても、必ずしも紐づくAzure Subscriptionの管理者ではない。 **Azure Subscriptionの管理者 [#ve0241cb] ***アカウント管理者 [#yc183cfd] 金銭や契約に関わる作業を行う。 -概要 --Azure Subscriptionやサポートオプションの購入 --購入後のオンライン請求書や契約管理 -権限 --Azure Subscriptionやサポートオプションの購入 --Subscriptionごとのサービス管理者の指定 --オンライン請求書の発行やSubscription情報などのメール通知の受信 --オンライン請求書ならびに使用量レポートのダウンロード --支払方法の変更 -ポイント --各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。~ (管理ポータルを利用するには、サービス管理者や共同管理者に指定する。) --アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。~ Microsoft Azure サポートまで連絡して変更して貰う必要がある。 ***サービス管理者 [#o574888b] -Microsoft Azure の各種サービスを利用するための管理者。 -各Subscriptionに 1 つサービス管理者が紐づいている。 -管理ポータルへのアクセスおよび管理権限が与えられる。 -ポイント~ 一方で、 --アカウントポータルへのアクセス権および管理権限は与えられていない。 --サービス管理者はアカウント管理者によって変更できる。 ***共同管理者 [#p5c389cc] -2017 年 10 月時点で新規登録できない。 -[[RBACアクセス制御>Role Based Access Control (RBAC)]]を使用して、~ Subscriptionに対して所有者というロールを割り当てれば、~ 従来のクラシック ポータルでの共同管理者相当になる。 **[[Azure ADの管理者>Microsoft Azure Active Directory#y1da803f]] [#q172b705] 各 [[Azure AD>Microsoft Azure Active Directory]] ディレクトリ (テナント) は独立しており、 -ある [[Azure AD>Microsoft Azure Active Directory]] で全体管理者になっていても別の [[Azure AD>Microsoft Azure Active Directory]] の全体管理者になるわけではない。 -例えば YYY.XXX.com という [[Azure AD>Microsoft Azure Active Directory]] ディレクトリの全体管理者はZZZ.XXX.com の全体管理者ではない。 -[[B2B>Azure Active Directory B2B collaboration]] の機能でZZZ.XXX.com から招待を受け、このディレクトリの全体管理者の権限の付与を受けることは可能。 **参考 [#ibbbd383] -Azure サブスクリプションと [[Azure AD>Microsoft Azure Active Directory]] の管理者 – Japan Azure Identity Support Blog~ https://blogs.technet.microsoft.com/jpazureid/2017/11/04/azure-subscription-azuread-admin/ --Microsoft Azure の各種アカウント権限について – Microsoft Azure サポート チーム サイト~ https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/303/ --Microsoft Docs ---既存の Azure サブスクリプションを Azure AD ディレクトリに追加する方法~ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-how-subscriptions-associated-directory ---Azure Active Directory の管理者ロールの割り当て~ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-assign-admin-roles-azure-portal ---Azure AD へのカスタム ドメインの追加~ https://docs.microsoft.com/ja-jp/azure/active-directory/add-custom-domain *ベースの作成 [#za332fe3] **リソース・グループ [#if3a99f1] リソース・グループを作成する。 **仮想ネットワーク [#s9e0e3b2] リソース・グループに[[仮想ネットワーク>Azureの仮想ネットワーク]]を作成する。 ***サブネット [#ua9e4264] [[仮想ネットワークにサブネットを作成する。>Azureのサブネッティング]] **仮想マシン [#e63f5530] リソース・グループに仮想マシンを作成する。 -配置する仮想ネットワーク.サブネットを選択する。 -以下の、関連するリソースも作成される。 ***NIC [#ef4f7257] -パブリックIPアドレス --FQDN名(DNS)を設定するか、~ --パブリックIPアドレスを固定する。~ ***[[ディスク>Azureのディスク ストレージ]] [#nbc8c41f] -[[非管理ディスク>Azureのディスク ストレージ#l33fe1bb]](ストレージ・アカウント) -[[管理ディスク>Azureのディスク ストレージ#v086e7a2]](HDD or SSD) ※ 基本的に、管理ディスクの方が高額になる。 ***参考 [#m7aea9f4] -[[Azureのディスク ストレージ]] -[[Azure仮想マシン 環境構築 | kokoni>http://blog.kokoni.jp/%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89%E7%B7%A8/azure%E6%96%B0%E3%83%9D%E3%83%BC%E3%82%BF%E3%83%AB%E3%81%A7%E4%BB%AE%E6%83%B3%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%AE%E4%BD%9C%E3%82%8A%E6%96%B9/]] **[[NSG>#m9c392c1]] [#y926d302] ***アウトバウンド [#n40bcc4d] 基本的に開放するが、必要に応じて絞る。 ***インバウンド [#l8365ae2] 基本的に全閉するが、必要に応じて開ける。 ***[[設定方法>Network Security Group (NSG)#da9caeeb]] [#c46f6235] *ユーザの追加 [#f0fd4bde] **新しいユーザを追加する。 [#t5e34b2e] サービス管理者は、 -[[Azure AD>Microsoft Azure Active Directory]]のドメイン内に直接~ 「xxxxx@xxxx.onmicrosoft.com」~ の組織アカウントを作成・登録できる。 -このままでは、 (Office365でなければ) メールは受け取れない。 -50000ユーザまで無料だが、数が増えると破綻する。 **新しいゲストユーザを招待する。 [#m2e7355d] サービス管理者は、~ >「[[Azure Active Directory B2B collaboration]]」 でマイクロソフト・アカウントのユーザを招待する。 **ユーザへ権限を付与する。 [#d504b88b] 上記でアカウントを作成 or 招待しても初期状態で、 -Azure Subscriptionの権限はまったくない。 -[[Azure AD>Microsoft Azure Active Directory]]の権限はゲスト権限しかない。 なので、必要に応じて追加の権限付与(ロールにユーザを追加する)が必要になる。 *リソースへの権限付与 [#b4489a3c] **[[アカウント権限を使用する>Role Based Access Control (RBAC)#j117f124]] [#g5593f00] **ロール・レベルで制御する [#h91b6bdb] ***スコープを選択 [#a3215574] -サブスクリプション -リソース・グループ -リソース ***役割(ロール)にユーザを追加 [#c6673529] -上記のスコープを選択して、 -アクセス制御(IAM)を選択し、 -追加ボタンを押下 --役割(ロール)を選択 --必要に応じて役割(ロール)にユーザを追加 ***カスタム・ロールの作成と利用 [#z6d135e9] カスタム・ロールを作成してユーザを追加。 -[[管理者の例>Role Based Access Control (RBAC)#ka8ea084]] -[[作業者の例>Role Based Access Control (RBAC)#f47adf4e]] **ネットワーク間の接続を構成する。 [#q8da8532] ***[[仮想ネットワーク ピアリング>Azureの仮想ネットワーク ピアリング#a86756f4]] [#x701f511] ***[[VPN Gatewayの構成>VPN Gateway#ka4047f2]] [#i543c723] *参考 [#c8ede674] **[[シェル]] [#o8027531] ***[[Azure PowerShell]] [#g779c4ef] ***[[Azure Cloud Shell]] [#ff988d21] **[[Azure Resource Manager]] [#i507fce0] ***[[Role Based Access Control (RBAC)]] [#peddfea0] ***[[Network Security Group (NSG)]] [#m9c392c1] **[[Azure Active Directory B2B collaboration]] [#m41a45f2] ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]