- 追加された行はこの色です。
- 削除された行はこの色です。
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>Azure Subscriptionの管理@エンプラ]]
* 目次 [#y36ada02]
#contents
*概要 [#pa3cd563]
手順のメモ
*前提条件 [#hdbb2e72]
キッティングしてもらった初期状態の例
*初期状態 [#hdbb2e72]
キッティングしてもらった初期状態
-[[Azure]] Subscription(EA)名の設定
-[[Azure AD>Microsoft Azure Active Directory]]の作成、既定のディレクトリ名、ドメイン名の割当
-[[Azure]] Subscription管理者ロールへのMicrosoftアカウント割当
*基礎知識 [#q9fbb2b1]
-[[Azure AD>Microsoft Azure Active Directory]]の
--作成
--既定のディレクトリ名、ドメイン名の割当
--サービス管理者になるMicrosoftアカウントを追加
**Azure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]] [#scba47d9]
-各 Azure Subscriptionは、1 つの [[Azure AD>Microsoft Azure Active Directory]]のディレクトリと関連付けられる。
-[[Azure AD>Microsoft Azure Active Directory]]に追加したMicrosoftアカウントを、
--[[Azure AD>Microsoft Azure Active Directory]]の全体管理者の役割(ロール)に追加
--[[Azure]] Subscriptionのサービス管理者の役割(ロール)に追加
-そのディレクトリに登録されたユーザ、グループ、~
およびアプリケーションのみが、Azure サブスクリプションでリソースを管理できる。
※ 2018/1月時点:
>クラシックポータルが廃止され、~
[[Azure AD>Microsoft Azure Active Directory]]ドメインと同じドメインのMicrosoftアカウントを[[Azure AD>Microsoft Azure Active Directory]]に追加できなくなった。~
(ドメイン名によって、個人アカウントではなく、組織アカウントと認識されるため)
***関連付け(≒信頼関係) [#g11ce67b]
-Azure Subscription に [[Azure AD>Microsoft Azure Active Directory]] が
--含まれているのではない。
--包含関係は無く、独立している。
-Azure Subscriptionは必ず 1 つの [[Azure AD>Microsoft Azure Active Directory]] に関連付けら(≒と信頼関係が構築さ)れている。~
(この関連はER図的に行って、Azure Subscription ---● [[Azure AD>Microsoft Azure Active Directory]] となる。)
--[[Azure AD>Microsoft Azure Active Directory]]は複数のAzure Subscriptionに関連付けられる場合がある。
--1 つの Azure Subscriptionが複数のディレクトリを指定することはできない。
-関係の変更
--関連付けを変更するためには、~
Azure Subscriptionのアカウント管理者を別の [[Azure AD>Microsoft Azure Active Directory]] のユーザーに譲渡する作業が必要。
--また、 Azure Subscriptionを Office 365 で利用している [[Azure AD>Microsoft Azure Active Directory]] に関連付けることも可能。
***Azure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]]の管理者 [#s4cb6b45]
-Azure ADのアカウントは、Azure Subscriptionの[[RBACアクセス制御>Role Based Access Control (RBAC)]]でも利用しているが、~
Azure ADのアカウントを使用した[[Azure AD自体のアクセス制御>Microsoft Azure Active Directory#db1663dd]]は、これとはまた、別の機能。
-従って、アカウントの権限もAzure Subscriptionと[[Azure AD>Microsoft Azure Active Directory]]で別になっている。
--Azure Subscriptionの管理者でも [[Azure AD>Microsoft Azure Active Directory]] の全体管理者でなければ、[[Azure AD>Microsoft Azure Active Directory]] の管理はできない。
--同様に、[[Azure AD>Microsoft Azure Active Directory]] の全体管理者であっても、必ずしも紐づくAzure Subscriptionの管理者ではない。
**Azure Subscriptionの管理者 [#ve0241cb]
***アカウント管理者 [#yc183cfd]
金銭や契約に関わる作業を行う。
-概要
--Azure Subscriptionやサポートオプションの購入
--購入後のオンライン請求書や契約管理
-権限
--Azure Subscriptionやサポートオプションの購入
--Subscriptionごとのサービス管理者の指定
--オンライン請求書の発行やSubscription情報などのメール通知の受信
--オンライン請求書ならびに使用量レポートのダウンロード
--支払方法の変更
-ポイント
--各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。~
(管理ポータルを利用するには、サービス管理者や共同管理者に指定する。)
--アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。~
Microsoft Azure サポートまで連絡して変更して貰う必要がある。
***サービス管理者 [#o574888b]
-Microsoft Azure の各種サービスを利用するための管理者。
-各Subscriptionに 1 つサービス管理者が紐づいている。
-管理ポータルへのアクセスおよび管理権限が与えられる。
-ポイント
--一方で、アカウントポータルへのアクセス権および管理権限は与えられていない。
--サービス管理者はアカウント管理者によって変更できる。
***共同管理者 [#p5c389cc]
-2017 年 10 月時点で新規登録できない。
-[[Role Based Access Control (RBAC)>#c9847841]]を使用して、~
Subscriptionに対して所有者というロールを割り当てれば、~
従来のクラシック ポータルでの共同管理者相当になる。
***[[Role Based Access Control (RBAC)]] [#c9847841]
**[[Azure ADの管理者>Microsoft Azure Active Directory#y1da803f]] [#q172b705]
各 Azure AD ディレクトリ (テナント) は独立しており、
-ある Azure AD で全体管理者になっていても別の Azure AD の全体管理者になるわけではない。
-例えば YYY.XXX.com という Azure AD ディレクトリの全体管理者はZZZ.XXX.com の全体管理者ではない。
-[[B2B>Azure Active Directory B2B collaboration]] の機能でZZZ.XXX.com から招待を受け、このディレクトリの全体管理者の権限の付与を受けることは可能。
**参考 [#ibbbd383]
-Azure サブスクリプションと Azure AD の管理者 – Japan Azure Identity Support Blog~
https://blogs.technet.microsoft.com/jpazureid/2017/11/04/azure-subscription-azuread-admin/
--Microsoft Azure の各種アカウント権限について – Microsoft Azure サポート チーム サイト~
https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/303/
--Microsoft Docs
---既存の Azure サブスクリプションを Azure AD ディレクトリに追加する方法~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-how-subscriptions-associated-directory
---Azure Active Directory の管理者ロールの割り当て~
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-assign-admin-roles-azure-portal
---Azure AD へのカスタム ドメインの追加~
https://docs.microsoft.com/ja-jp/azure/active-directory/add-custom-domain
*ベースの作成 [#za332fe3]
**リソース・グループ [#if3a99f1]
リソース・グループを作成する。
**仮想ネットワーク [#s9e0e3b2]
**ネットワーク [#b2a89919]
***仮想ネットワーク [#s9e0e3b2]
リソース・グループに[[仮想ネットワーク>Azureの仮想ネットワーク]]を作成する。
***サブネット [#ua9e4264]
[[仮想ネットワークにサブネットを作成する。>Azureのサブネッティング]]
**仮想マシン [#e63f5530]
リソース・グループに仮想マシンを作成する。
-配置する仮想ネットワーク.サブネットを選択する。
-以下の、関連するリソースも作成される。
***NIC [#ef4f7257]
-パブリックIPアドレス
--FQDN名(DNS)を設定するか、~
--パブリックIPアドレスを固定する。~
***[[ディスク>Azureのディスク ストレージ]] [#nbc8c41f]
-管理ディスク(HDD or SSD)
-非管理ディスク(ストレージ・アカウント)
-[[非管理ディスク>Azureのディスク ストレージ#l33fe1bb]]([[ストレージ・アカウント>Azureのストレージ#t36c3007]])
-[[管理ディスク>Azureのディスク ストレージ#v086e7a2]](HDD or SSD)
※ 基本的に、管理ディスクの方が高額になる。
***自動シャットダウン [#jd16e3cf]
-ポータルから簡単に設定可能。
-課金を軽減するため、必要に応じて設定を行う。
***参考 [#m7aea9f4]
-Azure仮想マシン 環境構築 | kokoni~
http://blog.kokoni.jp/%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89%E7%B7%A8/azure%E6%96%B0%E3%83%9D%E3%83%BC%E3%82%BF%E3%83%AB%E3%81%A7%E4%BB%AE%E6%83%B3%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%AE%E4%BD%9C%E3%82%8A%E6%96%B9/#i-6
-[[Azureのディスク ストレージ]]
-[[Azure仮想マシン 環境構築 | kokoni>http://blog.kokoni.jp/%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89%E7%B7%A8/azure%E6%96%B0%E3%83%9D%E3%83%BC%E3%82%BF%E3%83%AB%E3%81%A7%E4%BB%AE%E6%83%B3%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%AE%E4%BD%9C%E3%82%8A%E6%96%B9/]]
**[[NSG>#n32844af]] [#y926d302]
**[[Azure Bastion]] [#k8a4f09b]
[[Azure Bastion]]を使用すると、直接インバウンドを開けずに作業可能。~
(AzureBastionSubnetにインバウンドを開け、Azure Bastion経由にする)
***他との違い [#babc6cb5]
管理端末、保守端末向き。~
(他のDaaSはリモワなどの業務用)
***[[設定方法>Azure Bastion#g882be6e]] [#k662959d]
**[[NSG>#m9c392c1]] [#y926d302]
***アウトバウンド [#n40bcc4d]
基本的に開放するが、必要に応じて絞る。
-基本的に開放するが、必要に応じて絞る。
-[[Azure Firewall]]を利用可能だが高額。
***インバウンド [#l8365ae2]
-サブネット向けに[[NSG>#n32844af]]を新規作成(既定値)。
-使用するVMに絞ったRDP/SSHのインバウンドを許可。
-作成した[[NSG>#n32844af]]をサブネットを関連付ける。
-VMのNICに関連付けられた[[NSG>#n32844af]]をすべて削除する。
-基本的に全閉するが、必要に応じて開ける。
-[[Azure Bastion>#k8a4f09b]]を使用すれば、直接インバウンドを開けずに作業可能。
***[[設定方法>Network Security Group (NSG)#da9caeeb]] [#c46f6235]
*ユーザの追加 [#f0fd4bde]
**新しいユーザを招待 [#t5e34b2e]
**新しいゲストユーザを招待 [#m2e7355d]
「[[Azure Active Directory B2B collaboration]]」でマイクロソフト・アカウントのユーザを招待
**新しいユーザを追加する。 [#t5e34b2e]
サービス管理者は、
*リソースへの権限付与 [#b4489a3c]
-[[Azure AD>Microsoft Azure Active Directory]]のドメイン内に直接~
「xxxxx@xxxx.onmicrosoft.com」~
の組織アカウントを作成・登録できる。
**アカウント権限を使用する [#g5593f00]
[[コチラ>#p5c389cc]]を参照。
-このままでは、 (Office365でなければ) メールは受け取れない。
-50000ユーザまで無料だが、数が増えると破綻する。
-参考
--Microsoft Azure サポート チーム サイト
---Microsoft Azure の各種アカウント権限について~
https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/303/
---アカウント管理者・サービス管理者・共同管理者の変更方法について~
https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/293/
**新しいゲストユーザを招待する。 [#m2e7355d]
サービス管理者は、~
--Azure 管理者サブスクリプション ロールを追加または変更する~
https://docs.microsoft.com/ja-jp/azure/billing/billing-add-change-azure-subscription-administrator#types-of-azure-admin-accounts
>「[[Azure Active Directory B2B collaboration]]」
**ロール・レベルで制御する [#h91b6bdb]
でマイクロソフト・アカウントのユーザを[[招待>Microsoft Azure Active Directory#u0768137]]する。
**ユーザへ権限を付与する。 [#d504b88b]
上記でアカウントを作成 or [[招待>Microsoft Azure Active Directory#u0768137]]しても初期状態で、
-Azure Subscriptionの権限はまったくない。
-[[Azure AD>Microsoft Azure Active Directory]]の権限はゲスト権限しかない。
なので、必要に応じて追加の権限付与(ロールにユーザを追加する)が必要になる。
*リソースへの権限付与 [#b4489a3c]
**[[%%アカウント権限を使用する%%>Azure Subscriptionの管理@エンプラ#s0e4e291]][#g5593f00]
**[[ロール・レベルで制御する>Role Based Access Control (RBAC)#g03fbf16]] [#h91b6bdb]
***スコープを選択 [#a3215574]
-サブスクリプション
-リソース・グループ
-リソース
***役割(ロール)にユーザを追加 [#c6673529]
-上記のスコープを選択して、
-アクセス制御(IAM)を選択し、
-追加ボタンを押下
--役割(ロール)を選択
--必要に応じて役割(ロール)にユーザを追加
**カスタム・ロールの作成と利用 [#z6d135e9]
カスタム・ロールを作成して権限を付与する。
***カスタム・ロールの作成と利用 [#z6d135e9]
カスタム・ロールを作成してユーザを追加。
***管理者 [#g4d4c549]
・・・
-[[管理者の例>Role Based Access Control (RBAC)#ka8ea084]]
***作業者 [#v705f69d]
-[[作業者の例>Role Based Access Control (RBAC)#f47adf4e]]
-「DevTest Labs User」組込ロールを更に絞った、~
「仮想マシンの起動と停止」カスタム・ロールを作成。
-[[Azure Cloud Shell]]などを使用して以下を実行。
--SubsctionId を確認
Get-AzureRmSubscription
--カスタム・ロールを作成
$role = Get-AzureRmRoleDefinition "Virtual Machine Contributor"
$role.Id = $Null
$role.Name = "仮想マシンの起動と停止"
$role.Description = "仮想マシンの起動と停止、再起動ができます"
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Compute/VirtualMachines/start/action")
$role.Actions.Add("Microsoft.Compute/VirtualMachines/restart/action")
$role.Actions.Add("Microsoft.Compute/VirtualMachines/read")
$role.Actions.Add("Microsoft.Compute/virtualMachines//read")
$role.Actions.Add("Microsoft.Compute/VirtualMachines/deallocate/action")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx") <--- Get-AzureRmSubscription で取得した SubsctionId を指定。
New-AzureRmRoleDefinition -Role $role
-参考
--[[アクセス権(ロール)の割当>Role Based Access Control (RBAC)#l0030995]]
**ネットワーク間の接続を構成する。 [#q8da8532]
***[[仮想ネットワーク ピアリング>Azureの仮想ネットワーク ピアリング#a86756f4]] [#x701f511]
***[[VPN Gatewayの構成>VPN Gateway#ka4047f2]] [#i543c723]
*参考 [#c8ede674]
**[[シェル]] [#o8027531]
***[[Azure PowerShell]] [#g779c4ef]
***[[Azure Cloud Shell]] [#ff988d21]
**[[Azure Resource Manager]] [#i507fce0]
***[[Role Based Access Control (RBAC)]] [#peddfea0]
***[[Network Security Group (NSG)]] [#m9c392c1]
**[[Azure Active Directory B2B collaboration]] [#m41a45f2]
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:セキュリティ]]
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
