- 追加された行はこの色です。
- 削除された行はこの色です。
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>Azure]]
-戻る
--[[Azure]]
--[[Azure Active Directory]]
* 目次 [#e395f158]
#contents
*概要 [#lc19b0af]
-キッティングしてもらったAzure Subscriptionを、~
-キッティングしてもらった[[Azure]]サブスクリプションを、~
エンタープライズ・ユースで安全に管理するには?的なトピック。
--セキュリティ
--可用性
--監視と管理
-以下の機能を活用することで、
--アカウントを管理する。
--アクセス権で操作や通信を制限し、
--必要に応じて[[VPN]]接続を利用する。
>安全に管理・利用できる。
*[[Azure Resource Manager]] [#oc702ce7]
*[[Azure Resource Manager (ARM)]] [#oc702ce7]
ロール定義、ロール割り当てで、アクセス権で操作を管理する。
**[[シェル>Azureのシェル]] [#xf27df8b]
***[[Azure Cloud Shell]] [#c7e3354c]
-Azure リソースを管理するための、ブラウザーでアクセスできるシェル。
-Linux ユーザーは [[Bash]] を、Windows ユーザーは PowerShell を選ぶことができる。
***[[Azure PowerShell]] [#q2041053]
[[Azure Resource Manager]]モデルを使う一連のコマンドレットが用意されている。
[[Azure Resource Manager (ARM)]]モデルを使う一連のコマンドレットが用意されている。
***[[Azure CLI]] [#f6284eb0]
[[Azure PowerShell]]のPython版(Pythonがあれば動作する)。
**アクセス制御 [#y22b8263]
***[[Role Based Access Control (RBAC)]] [#xb08af06]
アカウントにロールを関連付ける。
***[[Network Security Group (NSG)]] [#wafe436b]
通信を管理する(リソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則)。
*ネットワーク接続 [#i36e2529]
*サブスクリプション管理者 [#s0e4e291]
-現在は権限制御には使用しない~
([[RBACアクセス制御>#xb08af06]]を使用するため)。
**[[仮想ネットワークに接続する。>Azureの仮想ネットワーク#tacd3237]] [#k7cbad78]
**[[OA-LANから管理端末に接続する。>OA-LANとAzureのVNETの分離]] [#ofab3997]
-以下の特殊な用途でのみ使用する。
--課金管理用:[[アカウント管理者>#yc183cfd]]
--緊急事態用:[[サービス管理者 >#o574888b]]
**アカウント管理者 [#yc183cfd]
Account Administrator
***概要 [#s4b642c9]
-金銭や契約に関わる作業を行う。
-サブスクリプションやサポートオプションの
--購入
--購入後
---契約管理
---請求管理
***権限 [#bb310a40]
-サブスクリプションやサポートオプションの購入
-サブスクリプションごとの[[サービス管理者>#o574888b]]の指定
-オンライン請求書の発行やサブスクリプション情報などのメール通知の受信
-オンライン請求書ならびに使用量レポートのダウンロード
-支払方法の変更
***ポイント [#mbf9ce13]
-各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。~
(管理ポータルを利用するには、サービス管理者や共同管理者に指定する。)
-アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。~
Microsoft Azure サポートまで連絡して変更して貰う必要がある。
**サービス管理者 [#o574888b]
Service Administrator
***概要 [#f3889a54]
-[[Azure]]の各種サービスを利用するための管理者。
-各サブスクリプションに1つサービス管理者が紐づいている。
-管理ポータルへのアクセスおよび管理権限が与えられる。
***ポイント [#ae6d3264]
一方で、
-アカウントポータルへのアクセス権および管理権限は与えられていない。
-サービス管理者は[[アカウント管理者>#yc183cfd]]によって変更できる。
**共同管理者 [#p5c389cc]
Co-Administrator
-2017 年 10 月時点で新規登録できない。
-[[RBACアクセス制御>#xb08af06]]を使用して、~
サブスクリプションに対して所有者というロールを割り当てれば、~
従来のクラシック ポータルでの共同管理者相当になる。
*[[Azure Active Directory]]との関係 [#a18a5329]
-[[Azure Active Directory]]は、
--[[Azure]]の一機能に見えるが、違う。
--また、包含関係は無く、互いに独立している。
--ライセンス購入・課金の仕組みも独立している。~
[[Azure Active Directory]]の課金はサブスクリプションから~
引き落とされるのではなく、別途購入する形になる。
-各サブスクリプション
--...の配下に [[Azure Active Directory]]テナントが作られるのではない。
--...は、必ず 1 つの[[Azure Active Directory]]テナントを信頼している。
**カーディナリティ(多重度) [#x1b206c6]
***ディレクトリ [#ef9c4fe6]
-1つのサブスクリプションには、1つの[[Azure Active Directory]]のディレクトリに紐付く。
-1つの[[Azure Active Directory]]のディレクトリには、複数のサブスクリプションが紐付く。
ディレクトリ → サブスクリプション
***ユーザ [#s58c5f5e]
-1つのサブスクリプションは、[[ディレクトリ>#ef9c4fe6]]に登録された複数人のユーザが操作できる。
-1人のユーザは、[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待によって、~
複数のディレクトリに所属して、複数のサブスクリプションを操作できる。
-故に、ポータルにログインして、操作するサブスクリプションを切替可能。
ユーザ ←──────┐
↑ ↓
└→ ディレクトリ → サブスクリプション
**サブスクリプションとディレクトリの分割 [#o7b05755]
***サブスクリプション [#o0fb0122]
サブスクリプションは(業務・環境の単位に)システムで分割しても良い。
***ディレクトリ [#xca07809]
-ディレクトリは分割不可能~
[[オンプレADと異なり、複数ドメイン、フォレスト等は無し>Active Directory(計画)#z70cc734]]
-他のディレクトリとの連携も可能
--[[オンプレミス・ディレクトリとの同期>Microsoft Azure Active Directory#yf5be6a6]]
--[[Azure Active Directory B2B collaboration>#da5a0f91]]。
-分割はしないが二重に作成するケースはある。
--認証専用ディレクトリ
---[[Office 365]]やユーザ・アプリケーションの認証のみを行う。
---[[オンプレミス・ディレクトリとの同期>Microsoft Azure Active Directory#yf5be6a6]]([[Office 365]]では必須)
---[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待を利用しない。
--VDC専用ディレクトリ
---VDCの操作者の権限制御のために利用する。
---オンプレと同期しない[[Azure Active Directory]]
---[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待を利用する。
**管理者 [#l30705f5]
***ユーザとの関連付け [#x3cdb8e4]
-[[アカウント管理者>#yc183cfd]]が、組織アカウントの場合~
--[[アカウント管理者>#yc183cfd]]
--[[サービス管理者>#o574888b]]
--[[共同管理者>#p5c389cc]]
-[[アカウント管理者>#yc183cfd]]が、個人アカウントの場合~
--[[アカウント管理者>#yc183cfd]]
--[[サービス管理者>#o574888b]]
--[[共同管理者>#p5c389cc]]
***[[Azure Active Directory管理者>Microsoft Azure Active Directory#y1da803f]]との関係 [#b1ddbc22]
別の機能であり、管理者も別もの。
-[[サブスクリプション管理者>#s0e4e291]]でも[[Azure Active Directoryの全体管理者>Microsoft Azure Active Directory#y1da803f]]でなければ、[[Azure Active Directory]] の管理はできない。
-同様に、[[Azure Active Directoryの全体管理者>Microsoft Azure Active Directory#y1da803f]]であっても、必ずしも紐づく[[サブスクリプション管理者>#s0e4e291]]ではない。
**参考 [#z80fcabf]
***[[AzADのテナント作成方法>Azure Active Directoryのテナント作成方法]] [#i907f382]
***Microsoft Docs [#oef8857f]
-Azure サブスクリプションと Azure AD の管理者~
https://docs.microsoft.com/ja-jp/archive/blogs/jpazureid/azure-subscription-azuread-admin
-既存の Azure サブスクリプションを Azure AD ディレクトリに追加する方法~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-how-subscriptions-associated-directory
*構成 [#fbfd8251]
**最小 [#t3ad5b4e]
***アカウント [#oced7087]
管理者アカウント (サブスクリプション レベルでのサービス管理者ロール)1つ。
[[サブスクリプション管理者>#s0e4e291]]アカウント
***ネットワーク [#v770ac8a]
1VNET内に、1サブネット
1[[VNET>Azureの仮想ネットワーク]]内に、1サブネット
***VM [#f3f0711e]
使用する数だけ用意する。
***[[NSG>#wafe436b]] [#y926d302]
1サブネット向けに1[[NSG>#wafe436b]]を作成する。
**拡大 [#o5c28e84]
***アカウント [#da5a0f91]
管理者権限(?)を付与することなく、~
複数のユーザを同じサブスクリプションでの業務に[[招待>Microsoft Azure Active Directory#u0768137]]できる。
[[サブスクリプション管理者>#s0e4e291]]権限を付与することなく、~
[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待で~
同じユーザが複数のサブスクリプションで管理作業をすることができる。
-共同管理者を追加する。
-作業者を追加する。
***ネットワーク [#fcffca21]
-[[Azureのサブネッティング]]
--DMZの構築
--サブネットの分割
-[[Azureの仮想ネットワーク ピアリング]]~
あとあと、仮想ネットワーク間を接続する。
-[[VPN Gateway]]の構築
--[[Site-to-Site VPN (S2S)>#nc8cb54b]]
--[[Point-to-Site VPN (P2S)>#m7fa6699]]
--[[VNet-to-VNet VPN (V2V)>#v19f82ff]]
***VM [#n5c6ba00]
使用する数だけ用意する。
***[[NSG>#wafe436b]] [#f5cfa9ef]
追加したサブネット間の通信に関する[[NSG>#wafe436b]]を追加し、サブネットに関連付ける。
*[[手順>Azure Subscriptionの管理手順@エンプラ]] [#y5903568]
**[[基礎知識>Azure Subscriptionの管理手順@エンプラ#q9fbb2b1]] [#g9e01b1c]
**[[ベースの作成>Azure Subscriptionの管理手順@エンプラ#za332fe3]] [#iae98ee2]
**[[ユーザの追加>Azure Subscriptionの管理手順@エンプラ#f0fd4bde]] [#j711e753]
**[[リソースへの権限付与>Azure Subscriptionの管理手順@エンプラ#b4489a3c]] [#a4b1336e]
**ネットワーク接続 [#i36e2529]
*参考 [#w8eeb356]
***[[仮想ネットワークに接続する。>Azureの仮想ネットワーク#tacd3237]] [#k7cbad78]
***[[OA-LANから管理端末に接続する。>OA-LANとAzureのVNETの分離]] [#ofab3997]
***[[Azure Virtual Data Center]] [#r7284c6b]
**[[手順>Azure Subscriptionの管理手順@エンプラ]] [#y5903568]
***[[基礎知識>Azure Subscriptionの管理手順@エンプラ#q9fbb2b1]] [#g9e01b1c]
***[[ベースの作成>Azure Subscriptionの管理手順@エンプラ#za332fe3]] [#iae98ee2]
***[[ユーザの追加>Azure Subscriptionの管理手順@エンプラ#f0fd4bde]] [#j711e753]
***[[リソースへの権限付与>Azure Subscriptionの管理手順@エンプラ#b4489a3c]] [#a4b1336e]
*信頼性・セキュリティ [#oa0004dd]
**[[Azureによる基盤開発法]] [#q883b6cf]
**[[Azureの高可用性設計]] [#jc25462d]
**[[Azureの監視と管理]] [#rc0e25b3]
**[[Azureのアクセス制御と権限]] [#q9b0d4fa]
**[[サービスのセキュア化>Azure Virtual Data Center#ye378ff8]] [#u461a664]
***[[仮想ネットワーク>Azure Virtual Data Center#x155d515]] [#j5e0d42d]
***[[ストレージ>Azure Virtual Data Center#l68c61c7]] [#lbe911a9]
***[[仮想マシン>Azure Virtual Data Center#na02cf07]] [#u7078f10]
***[[Firewall>Azure Virtual Data Center#s99f52da]] [#t22f1015]
***[[Backup>Azure Virtual Data Center#s4e7724e]] [#la4823a2]
***[[監視系>Azure Virtual Data Center#t868c1c5]] [#pbe2897a]
**参考 [#w24baa52]
***[[Azure Virtual Data Center]] [#vb268cb2]
***[[FgCF (Financial-grade Cloud Fundamentals)]] [#w1dfa187]
*参考 [#j6373349]
**Microsoft Docs [#ea478db1]
-Azure に移行する企業のためのベスト プラクティス~
https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-manager-subscription-governance
-サブスクリプション ガバナンスのシナリオと例~
https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-manager-subscription-examples
-Azure のネットワーク セキュリティに関するベスト プラクティス~
https://docs.microsoft.com/ja-jp/azure/best-practices-network-security
**[[Azureの監視と管理]] [#rc0e25b3]
具体的なセキュリティ強化策についてクラウドがガイドしてくれる。
***[[Log Analytics>Azureの監視と管理#e536ac01]] [#d3ffbf29]
***[[Azure Advisor>Azureの監視と管理#f547d1bb]] [#fb6ede72]
***[[Azure Security Center>Azureの監視と管理#ya8d8b14]] [#eee94875]
**[[Azureの高可用性設計]] [#jc25462d]
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュリティ]], [[:Azure]]