Azure Subscriptionの管理@エンプラ のバックアップの現在との差分(No.8)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• Azure Subscriptionの管理@エンプラ へ行く。
  • 1 (2017-11-27 (月) 09:30:30)
  • 2 (2017-11-27 (月) 09:56:14)
  • 3 (2017-11-27 (月) 15:45:37)
  • 4 (2017-11-27 (月) 19:06:56)
  • 5 (2017-11-28 (火) 15:13:13)
  • 6 (2017-11-28 (火) 18:19:59)
  • 7 (2017-11-29 (水) 12:28:09)
  • 8 (2017-11-30 (木) 10:58:57)
  • 9 (2017-12-06 (水) 15:42:08)
  • 10 (2017-12-07 (木) 19:48:30)
  • 11 (2017-12-08 (金) 12:19:18)
  • 12 (2017-12-11 (月) 19:17:45)
  • 13 (2018-02-06 (火) 14:22:31)
  • 14 (2018-04-11 (水) 12:45:50)
  • 15 (2018-04-18 (水) 16:55:52)
  • 16 (2018-04-19 (木) 09:26:27)
  • 17 (2018-04-26 (木) 11:00:35)
  • 18 (2019-12-04 (水) 21:34:24)
  • 19 (2020-04-15 (水) 12:15:49)
  • 20 (2020-04-23 (木) 08:38:11)
  • 21 (2020-04-24 (金) 18:14:36)
  • 22 (2020-05-05 (火) 19:48:27)
  • 23 (2020-05-05 (火) 23:29:06)
  • 24 (2020-05-07 (木) 11:37:39)
  • 25 (2020-05-07 (木) 18:12:11)
  • 26 (2020-10-02 (金) 11:15:03)
  • 27 (2021-01-08 (金) 13:09:10)
  • 28 (2021-02-08 (月) 16:51:07)
  • 29 (2021-02-13 (土) 11:07:27)
  • 30 (2021-02-24 (水) 11:44:55)
  • 31 (2021-03-03 (水) 15:37:06)
  • 32 (2021-03-04 (木) 20:43:12)
  • 33 (2021-03-04 (木) 23:38:24)
  • 34 (2021-03-05 (金) 10:43:33)
  • 35 (2021-03-08 (月) 13:13:46)
  • 36 (2021-03-12 (金) 16:11:42)
  • 37 (2021-03-12 (金) 22:22:57)
  • 38 (2021-03-13 (土) 18:52:59)
  • 39 (2021-03-17 (水) 14:01:07)
  • 40 (2021-03-17 (水) 20:38:17)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Azure]]
-戻る
--[[Azure]]
--[[Azure Active Directory]]

* 目次 [#e395f158]
#contents

*概要 [#lc19b0af]
キッティングしてもらったAzure Subscriptionを、~
-キッティングしてもらった[[Azure]]サブスクリプションを、~
エンタープライズ・ユースで安全に管理するには？的なトピック。

*詳細 [#f1603591]
以下を活用して、
-アカウントを管理する。
-アクセス権で操作や通信を制限し、
-必要に応じて[[VPN]]接続を利用する。
-以下の機能を活用することで、

**[[Azure Resource Manager]] [#oc702ce7]
--アカウントを管理する。
--アクセス権で操作や通信を制限し、
--必要に応じて[[VPN]]接続を利用する。

>安全に管理・利用できる。

*[[Azure Resource Manager (ARM)]] [#oc702ce7]
ロール定義、ロール割り当てで、アクセス権で操作を管理する。

***[[Role Based Access Control (RBAC)]] [#u9cff3c1]
**[[シェル>Azureのシェル]] [#xf27df8b]

***[[Azure Cloud Shell]] [#c7e3354c]
-Azure リソースを管理するための、ブラウザーでアクセスできるシェル。
-Linux ユーザーは [[Bash]] を、Windows ユーザーは PowerShell を選ぶことができる。

***[[Azure PowerShell]] [#q2041053]
[[Azure Resource Manager (ARM)]]モデルを使う一連のコマンドレットが用意されている。

***[[Azure CLI]] [#f6284eb0]
[[Azure PowerShell]]のPython版（Pythonがあれば動作する）。

**アクセス制御 [#y22b8263]

***[[Role Based Access Control (RBAC)]] [#xb08af06]
アカウントにロールを関連付ける。

***[[Network Security Group (NSG)]] [#n32844af]
通信を管理する。
>リソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則
***[[Network Security Group (NSG)]] [#wafe436b]
通信を管理する（リソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則）。

*サブスクリプション管理者 [#s0e4e291]
-現在は権限制御には使用しない~
（[[RBACアクセス制御>#xb08af06]]を使用するため）。

**[[VPN Gateway]] [#r9b224ff]
[[VPN]]接続を利用する。
-以下の特殊な用途でのみ使用する。
--課金管理用：[[アカウント管理者>#yc183cfd]]
--緊急事態用：[[サービス管理者 >#o574888b]]

**アカウント管理者 [#yc183cfd]
Account Administrator

***概要 [#s4b642c9]
-金銭や契約に関わる作業を行う。

-サブスクリプションやサポートオプションの
--購入
--購入後
---契約管理
---請求管理

***権限 [#bb310a40]
-サブスクリプションやサポートオプションの購入
-サブスクリプションごとの[[サービス管理者>#o574888b]]の指定
-オンライン請求書の発行やサブスクリプション情報などのメール通知の受信
-オンライン請求書ならびに使用量レポートのダウンロード
-支払方法の変更

***ポイント [#mbf9ce13]
-各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。~
（管理ポータルを利用するには、サービス管理者や共同管理者に指定する。）
-アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。~
Microsoft Azure サポートまで連絡して変更して貰う必要がある。

**サービス管理者 [#o574888b]
Service Administrator

***概要 [#f3889a54]
-[[Azure]]の各種サービスを利用するための管理者。
-各サブスクリプションに１つサービス管理者が紐づいている。
-管理ポータルへのアクセスおよび管理権限が与えられる。

***ポイント [#ae6d3264]
一方で、
-アカウントポータルへのアクセス権および管理権限は与えられていない。
-サービス管理者は[[アカウント管理者>#yc183cfd]]によって変更できる。

**共同管理者 [#p5c389cc]
Co-Administrator

-2017 年 10 月時点で新規登録できない。

-[[RBACアクセス制御>#xb08af06]]を使用して、~
サブスクリプションに対して所有者というロールを割り当てれば、~
従来のクラシック ポータルでの共同管理者相当になる。

*[[Azure Active Directory]]との関係 [#a18a5329]
-[[Azure Active Directory]]は、
--[[Azure]]の一機能に見えるが、違う。
--また、包含関係は無く、互いに独立している。
--ライセンス購入・課金の仕組みも独立している。~
[[Azure Active Directory]]の課金はサブスクリプションから~
引き落とされるのではなく、別途購入する形になる。

-各サブスクリプション
--...の配下に [[Azure Active Directory]]テナントが作られるのではない。
--...は、必ず 1 つの[[Azure Active Directory]]テナントを信頼している。

**カーディナリティ（多重度） [#x1b206c6]

***ディレクトリ [#ef9c4fe6]
-１つのサブスクリプションには、１つの[[Azure Active Directory]]のディレクトリに紐付く。
-１つの[[Azure Active Directory]]のディレクトリには、複数のサブスクリプションが紐付く。

 ディレクトリ → サブスクリプション

***ユーザ [#s58c5f5e]
-１つのサブスクリプションは、[[ディレクトリ>#ef9c4fe6]]に登録された複数人のユーザが操作できる。

-１人のユーザは、[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待によって、~
複数のディレクトリに所属して、複数のサブスクリプションを操作できる。

-故に、ポータルにログインして、操作するサブスクリプションを切替可能。

 ユーザ ←──────┐
 ↑　　　　　　　 　　↓
 └→ ディレクトリ → サブスクリプション

**サブスクリプションとディレクトリの分割 [#o7b05755]

***サブスクリプション [#o0fb0122]
サブスクリプションは（業務・環境の単位に）システムで分割しても良い。

***ディレクトリ [#xca07809]
-ディレクトリは分割不可能~
[[オンプレADと異なり、複数ドメイン、フォレスト等は無し>Active Directory（計画）#z70cc734]]

-他のディレクトリとの連携も可能
--[[オンプレミス・ディレクトリとの同期>Microsoft Azure Active Directory#yf5be6a6]]
--[[Azure Active Directory B2B collaboration>#da5a0f91]]。

-分割はしないが二重に作成するケースはある。

--認証専用ディレクトリ
---[[Office 365]]やユーザ・アプリケーションの認証のみを行う。
---[[オンプレミス・ディレクトリとの同期>Microsoft Azure Active Directory#yf5be6a6]]（[[Office 365]]では必須）
---[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待を利用しない。

--VDC専用ディレクトリ
---VDCの操作者の権限制御のために利用する。
---オンプレと同期しない[[Azure Active Directory]]
---[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待を利用する。

**管理者 [#l30705f5]

***ユーザとの関連付け [#x3cdb8e4]
-[[アカウント管理者>#yc183cfd]]が、組織アカウントの場合~
--[[アカウント管理者>#yc183cfd]]
--[[サービス管理者>#o574888b]]
--[[共同管理者>#p5c389cc]]

-[[アカウント管理者>#yc183cfd]]が、個人アカウントの場合~
--[[アカウント管理者>#yc183cfd]]
--[[サービス管理者>#o574888b]]
--[[共同管理者>#p5c389cc]]

***[[Azure Active Directory管理者>Microsoft Azure Active Directory#y1da803f]]との関係 [#b1ddbc22]
別の機能であり、管理者も別もの。

-[[サブスクリプション管理者>#s0e4e291]]でも[[Azure Active Directoryの全体管理者>Microsoft Azure Active Directory#y1da803f]]でなければ、[[Azure Active Directory]] の管理はできない。

-同様に、[[Azure Active Directoryの全体管理者>Microsoft Azure Active Directory#y1da803f]]であっても、必ずしも紐づく[[サブスクリプション管理者>#s0e4e291]]ではない。

**参考 [#z80fcabf]
***[[AzADのテナント作成方法>Azure Active Directoryのテナント作成方法]] [#i907f382]

***Microsoft Docs [#oef8857f]
-Azure サブスクリプションと Azure AD の管理者~
https://docs.microsoft.com/ja-jp/archive/blogs/jpazureid/azure-subscription-azuread-admin
-既存の Azure サブスクリプションを Azure AD ディレクトリに追加する方法~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-how-subscriptions-associated-directory

*構成 [#fbfd8251]

**最小 [#t3ad5b4e]

***アカウント [#oced7087]
管理者アカウント (サブスクリプション レベルでのサービス管理者ロール)１つ。
[[サブスクリプション管理者>#s0e4e291]]アカウント

***ネットワーク [#v770ac8a]
１VNET内に、１サブネット
１[[VNET>Azureの仮想ネットワーク]]内に、１サブネット

***VM [#f3f0711e]
使用する数だけ用意する。

***[[NSG>#n32844af]] [#y926d302]
-使用するVMに向けたRDP, SSHのインバウンドを追加。
-サブネットに新規作成した[[NSG>#n32844af]]を関連付ける。
-VMのNICに関連付けられた[[NSG>#n32844af]]をすべて削除する。
***[[NSG>#wafe436b]] [#y926d302]
１サブネット向けに１[[NSG>#wafe436b]]を作成する。

**拡大 [#o5c28e84]

***アカウント [#da5a0f91]
共同管理者を追加する。
[[サブスクリプション管理者>#s0e4e291]]権限を付与することなく、~
[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待で~
同じユーザが複数のサブスクリプションで管理作業をすることができる。 

>管理者権限を付与することなく、複数のユーザを同じサブスクリプションでの業務に招待できる。 

***ネットワーク [#fcffca21]
-サブネットの追加
-[[Azureのサブネッティング]]
--DMZの構築
--サブネットの分割

-[[VPN]]の構築
--Site-to-Site VPN (S2S)
--Point-to-Site VPN (P2S)
--VNet-to-VNet VPN (V2V)
-[[Azureの仮想ネットワーク ピアリング]]~
あとあと、仮想ネットワーク間を接続する。

-[[VPN Gateway]]の構築
--[[Site-to-Site VPN (S2S)>#nc8cb54b]]
--[[Point-to-Site VPN (P2S)>#m7fa6699]]
--[[VNet-to-VNet VPN (V2V)>#v19f82ff]]

***VM [#n5c6ba00]
使用する数だけ用意する。

***[[NSG>#n32844af]] [#f5cfa9ef]
追加したサブネット間の通信に関する[[NSG>#n32844af]]を追加し、サブネットに関連付ける。
***[[NSG>#wafe436b]] [#f5cfa9ef]
追加したサブネット間の通信に関する[[NSG>#wafe436b]]を追加し、サブネットに関連付ける。

*参考 [#w8eeb356]
**ネットワーク接続 [#i36e2529]

***[[仮想ネットワークに接続する。>Azureの仮想ネットワーク#tacd3237]] [#k7cbad78]
***[[OA-LANから管理端末に接続する。>OA-LANとAzureのVNETの分離]] [#ofab3997]
***[[Azure Virtual Data Center]] [#r7284c6b]

**[[手順>Azure Subscriptionの管理手順@エンプラ]] [#y5903568]
***[[基礎知識>Azure Subscriptionの管理手順@エンプラ#q9fbb2b1]] [#g9e01b1c]
***[[ベースの作成>Azure Subscriptionの管理手順@エンプラ#za332fe3]] [#iae98ee2]
***[[ユーザの追加>Azure Subscriptionの管理手順@エンプラ#f0fd4bde]] [#j711e753]
***[[リソースへの権限付与>Azure Subscriptionの管理手順@エンプラ#b4489a3c]] [#a4b1336e]

*信頼性・セキュリティ [#oa0004dd]

**[[Azureによる基盤開発法]] [#q883b6cf]

**[[Azureの高可用性設計]] [#jc25462d]

**[[Azureの監視と管理]] [#rc0e25b3]

**[[Azureのアクセス制御と権限]] [#q9b0d4fa]

**[[サービスのセキュア化>Azure Virtual Data Center#ye378ff8]] [#u461a664]

***[[仮想ネットワーク>Azure Virtual Data Center#x155d515]] [#j5e0d42d]
***[[ストレージ>Azure Virtual Data Center#l68c61c7]] [#lbe911a9]
***[[仮想マシン>Azure Virtual Data Center#na02cf07]] [#u7078f10]
***[[Firewall>Azure Virtual Data Center#s99f52da]] [#t22f1015]
***[[Backup>Azure Virtual Data Center#s4e7724e]] [#la4823a2]
***[[監視系>Azure Virtual Data Center#t868c1c5]] [#pbe2897a]

**参考 [#w24baa52]
***[[Azure Virtual Data Center]] [#vb268cb2]
***[[FgCF (Financial-grade Cloud Fundamentals)]] [#w1dfa187]

*参考 [#j6373349]

**Microsoft Docs [#ea478db1]
-Azure に移行する企業のためのベスト プラクティス~
https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-manager-subscription-governance

-サブスクリプション ガバナンスのシナリオと例~
https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-manager-subscription-examples

-Azure のネットワーク セキュリティに関するベスト プラクティス~
https://docs.microsoft.com/ja-jp/azure/best-practices-network-security

----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュリティ]], [[:Azure]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.025 sec.