「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
手順のメモ
前提条件 †
キッティングしてもらった初期状態の例
- Azure Subscription(EA)名の設定
- Azure ADの
- 作成
- 既定のディレクトリ名、ドメイン名の割当
- サービス管理者になるMicrosoftアカウントを追加
※ 2018/1月時点:
クラシックポータルが廃止され、
Azure ADドメインと同じドメインのMicrosoftアカウントをAzure ADに追加できなくなった。
(ドメイン名によって、個人アカウントではなく、組織アカウントと認識されるため)
基礎知識 †
- サブスクリプション
- ユーザ・アカウントに紐付き、
- アカウントポータルで管理。
※ ディレクトリとサブスクリプションのユーザ・アカウントは別でも可
- リソース・グループ
- サブスクリプションに紐付く。
- Azure Resource Managerで管理。
- リソース・オブジェクト
- リソース・グループに紐付く。
- Azure Resource Managerで管理。
Azure SubscriptionとAzure AD †
- 各 Azure Subscriptionは、1 つの Azure ADのディレクトリと関連付けられる。
- そのディレクトリに登録されたユーザ、グループ、
およびアプリケーションのみが、Azure サブスクリプションでリソースを管理できる。
関連付け( ≒ 信頼関係) †
- Azure Subscription に Azure AD が
- 含まれているのではない。
- 包含関係は無く、独立している。
- Azure Subscriptionは必ず 1 つの Azure AD に関連付けら( ≒ と信頼関係が構築さ)れている。
- Azure ADは複数のAzure Subscriptionに関連付けられる場合がある。
- 1 つの Azure Subscriptionが複数のディレクトリを指定することはできない。
(この関連はER図的に言って、Azure AD ---● Azure Subscription となる。)
- 関連付けを変更するためには、
- アカウント管理者が、Azure ADのアカウント(組織アカウント)の場合
Azure Subscriptionのアカウント管理者を別の Azure AD のユーザーに譲渡する作業が必要。
- アカウント管理者が、Microsoftアカウント(個人アカウント)の場合
Azure Subscriptionの所有者 + 変更前後のAzure ADのユーザー権限で変更可能。
- また、 Azure Subscriptionを Office 365 で利用している Azure AD に関連付けることも可能。
Azure SubscriptionとAzure ADの管理者 †
- 従って、アカウントの権限もAzure SubscriptionとAzure ADで別になっている。
- Azure Subscriptionの管理者でも Azure AD の全体管理者でなければ、Azure AD の管理はできない。
- 同様に、Azure AD の全体管理者であっても、必ずしも紐づくAzure Subscriptionの管理者ではない。
Azure Subscriptionの管理者 †
アカウント管理者 †
金銭や契約に関わる作業を行う。
- 概要
- Azure Subscriptionやサポートオプションの購入
- 購入後のオンライン請求書や契約管理
- 権限
- Azure Subscriptionやサポートオプションの購入
- Subscriptionごとのサービス管理者の指定
- オンライン請求書の発行やSubscription情報などのメール通知の受信
- オンライン請求書ならびに使用量レポートのダウンロード
- 支払方法の変更
- ポイント
- 各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。
(管理ポータルを利用するには、サービス管理者や共同管理者に指定する。)
- アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。
Microsoft Azure サポートまで連絡して変更して貰う必要がある。
サービス管理者 †
- Microsoft Azure の各種サービスを利用するための管理者。
- 各Subscriptionに 1 つサービス管理者が紐づいている。
- 管理ポータルへのアクセスおよび管理権限が与えられる。
- ポイント
一方で、
- アカウントポータルへのアクセス権および管理権限は与えられていない。
- サービス管理者はアカウント管理者によって変更できる。
共同管理者 †
- RBACアクセス制御を使用して、
Subscriptionに対して所有者というロールを割り当てれば、
従来のクラシック ポータルでの共同管理者相当になる。
各 Azure AD ディレクトリ (テナント) は独立しており、
- 例えば YYY.XXX.com という Azure AD ディレクトリの全体管理者はZZZ.XXX.com の全体管理者ではない。
- B2B の機能でZZZ.XXX.com から招待を受け、このディレクトリの全体管理者の権限の付与を受けることは可能。
参考 †
ベースの作成 †
リソース・グループ †
リソース・グループを作成する。
仮想ネットワーク †
リソース・グループに仮想ネットワークを作成する。
サブネット †
仮想ネットワークにサブネットを作成する。
仮想マシン †
リソース・グループに仮想マシンを作成する。
- 配置する仮想ネットワーク.サブネットを選択する。
- 以下の、関連するリソースも作成される。
NIC †
- パブリックIPアドレス
- FQDN名(DNS)を設定するか、
- パブリックIPアドレスを固定する。
※ 基本的に、管理ディスクの方が高額になる。
自動シャットダウン †
- ポータルから簡単に設定可能。
- 課金を軽減するため、必要に応じて設定を行う。
参考 †
アウトバウンド †
基本的に開放するが、必要に応じて絞る。
インバウンド †
基本的に全閉するが、必要に応じて開ける。
ユーザの追加 †
新しいユーザを追加する。 †
サービス管理者は、
- このままでは、 (Office365でなければ) メールは受け取れない。
- 50000ユーザまで無料だが、数が増えると破綻する。
新しいゲストユーザを招待する。 †
サービス管理者は、
「Azure Active Directory B2B collaboration」
でマイクロソフト・アカウントのユーザを招待する。
ユーザへ権限を付与する。 †
上記でアカウントを作成 or 招待しても初期状態で、
- Azure Subscriptionの権限はまったくない。
- Azure ADの権限はゲスト権限しかない。
なので、必要に応じて追加の権限付与(ロールにユーザを追加する)が必要になる。
リソースへの権限付与 †
ロール・レベルで制御する †
スコープを選択 †
役割(ロール)にユーザを追加 †
- 上記のスコープを選択して、
- アクセス制御(IAM)を選択し、
- 追加ボタンを押下
- 役割(ロール)を選択
- 必要に応じて役割(ロール)にユーザを追加
カスタム・ロールの作成と利用 †
カスタム・ロールを作成してユーザを追加。
ネットワーク間の接続を構成する。 †
参考 †
Tags: :インフラストラクチャ, :クラウド, :Azure