「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure Subscriptionの管理@エンプラ]] * 目次 [#y36ada02] #contents *概要 [#pa3cd563] 手順のメモ *初期状態 [#hdbb2e72] キッティングしてもらった初期状態 -[[Azure]]サブスクリプション(EA)名の設定 -[[Azure AD>Microsoft Azure Active Directory]]の作成、既定のディレクトリ名、ドメイン名の割当 -[[Azure]]サブスクリプション管理者ロールへのMicrosoftアカウント割当 *ベースの作成 [#za332fe3] **リソース・グループ [#if3a99f1] リソース・グループを作成する。 **仮想ネットワーク [#s9e0e3b2] リソース・グループに仮想ネットワークを作成する。 ***サブネット [#ua9e4264] 仮想ネットワークにサブネットを作成する。 **仮想マシン [#e63f5530] リソース・グループに仮想マシンを作成する。 -配置する仮想ネットワーク.サブネットを選択する。 -関連するリソースも作成される。 --NIC、パブリックIPアドレス --ディスク、ストレージ・アカウント ***パブリックIPアドレス [#g90ef0bd] インバウンドを開ける場合、必要に応じて、パブリックIPアドレスを固定する。 **[[NSG>#n32844af]] [#y926d302] -サブネット向けに[[NSG>#n32844af]]を新規作成(既定値)。 -使用するVMに絞ったRDP/SSHのインバウンドを許可。 -作成した[[NSG>#n32844af]]をサブネットを関連付ける。 -VMのNICに関連付けられた[[NSG>#n32844af]]をすべて削除する。 *ユーザの追加 [#f0fd4bde] **新しいユーザを招待 [#t5e34b2e] **新しいゲストユーザを招待 [#m2e7355d] 「[[Azure Active Directory B2B collaboration]]」でマイクロソフト・アカウントのユーザを招待 *リソースへの権限付与 [#b4489a3c] **方法 [#h91b6bdb] ***スコープ [#a3215574] スコープを選択 -サブスクリプション -リソース・グループ -リソース ***ロール [#c6673529] -上記のスコープを選択して、 -アクセス制御(IAM)を選択し、 -追加ボタンを押下 --役割を選択 --必要に応じて役割にユーザを追加 **ユーザと権限 [#z6d135e9] ***管理者 [#g4d4c549] ***作業者 [#v705f69d] -「DevTest Labs User」組込ロール -「仮想マシンの起動と停止」カスタム・ロール(上記を更に絞る) --SubsctionId を確認 Get-AzureRmSubscription --カスタム・ロールを作成 $role = Get-AzureRmRoleDefinition "Virtual Machine Contributor" $role.Id = $Null $role.Name = "仮想マシンの起動と停止" $role.Description = "仮想マシンの起動と停止、再起動ができます" $role.Actions.Clear() $role.Actions.Add("Microsoft.Compute/VirtualMachines/start/action") $role.Actions.Add("Microsoft.Compute/VirtualMachines/restart/action") $role.Actions.Add("Microsoft.Compute/VirtualMachines/read") $role.Actions.Add("Microsoft.Compute/virtualMachines//read") $role.Actions.Add("Microsoft.Compute/VirtualMachines/deallocate/action") $role.AssignableScopes.Clear() $role.AssignableScopes.Add("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx") New-AzureRmRoleDefinition -Role $role -参考 --Azure リソースの RBAC でカスタムロールを作成する – Junichi Anno's blog~ https://blogs.technet.microsoft.com/junichia/2016/12/13/azure-%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE-rbac-%E3%81%A7%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B/ *ネットワーク設定 [#h7ad1145] **[[サブネッティング>Azureのサブネッティング]] [#t6bba8fb] -DMZの構築 -サブネットの分割 **仮想ネットワーク ピアリング [#x701f511] あとあと、仮想ネットワーク間を接続する。 **[[VPN Gateway]]の構成 [#i543c723] ***P2S([[SSTP]]) [#y54b3cc0] -[[VPN Gateway]]の作成 --[[サブネッティング可能な仮想ネットワークの作成>#t6bba8fb]]~ [[1仮想ネットワーク、1GatewaySubnetになるので注意>VPN Gateway]] --ゲートウェイ サブネットの追加 --DNS サーバーの指定 (省略可能) --仮想ネットワーク ゲートウェイの作成 ---[VPN の種類] : [ルート ベース] ---[SKU] : [Basic] -[[証明書]]の生成 --ルート証明書の *.cer ファイルの取得 --クライアント証明書を生成 -クライアント アドレス プールの追加 -ルート証明書の公開証明書データのアップロード -エクスポートしたクライアント証明書のインストール -VPN クライアント構成パッケージの生成とインストール -Azure への接続 *AADへの権限付与 [#l4a1c926] AADの管理画面でディレクトリ・ロールを選択する。 **ユーザー [#pb51124b] **全体管理者 [#k536194e] **制限付き管理者 [#rdf255bb] *参考 [#c8ede674] **[[シェル]] [#o8027531] ***[[Azure PowerShell]] [#g779c4ef] ***[[Azure Cloud Shell]] [#ff988d21] **[[Azure Resource Manager]] [#i507fce0] ***[[Role Based Access Control (RBAC)]] [#peddfea0] ***[[Network Security Group (NSG)]] [#m9c392c1] **[[Azure Active Directory B2B collaboration]] [#m41a45f2] ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]