Azure Subscriptionの管理手順@エンプラ のバックアップの現在との差分(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• Azure Subscriptionの管理手順@エンプラ へ行く。
  • 1 (2017-12-07 (木) 16:59:19)
  • 2 (2017-12-07 (木) 19:18:45)
  • 3 (2017-12-08 (金) 11:58:14)
  • 4 (2017-12-08 (金) 15:04:59)
  • 5 (2017-12-11 (月) 20:21:53)
  • 6 (2017-12-11 (月) 22:31:57)
  • 7 (2017-12-12 (火) 15:12:44)
  • 8 (2018-01-23 (火) 15:57:47)
  • 9 (2018-01-24 (水) 11:02:10)
  • 10 (2018-02-08 (木) 17:07:42)
  • 11 (2018-02-14 (水) 13:43:13)
  • 12 (2018-02-14 (水) 14:38:57)
  • 13 (2018-02-14 (水) 20:54:52)
  • 14 (2018-02-15 (木) 10:34:02)
  • 15 (2018-02-15 (木) 18:16:34)
  • 16 (2018-02-16 (金) 18:34:01)
  • 17 (2019-12-04 (水) 16:44:14)
  • 18 (2019-12-04 (水) 21:33:37)
  • 19 (2020-04-15 (水) 12:15:16)
  • 20 (2020-05-07 (木) 18:12:27)
  • 21 (2020-10-02 (金) 11:13:52)
  • 22 (2021-03-03 (水) 15:38:52)
  • 23 (2021-03-04 (木) 20:08:09)
  • 24 (2021-06-24 (木) 19:43:06)
  • 25 (2021-08-26 (木) 17:43:38)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Azure Subscriptionの管理@エンプラ]]

* 目次 [#y36ada02]
#contents

*概要 [#pa3cd563]
手順のメモ
*前提条件 [#hdbb2e72]
キッティングしてもらった初期状態の例

-[[Azure]] Subscription（EA）名の設定

-[[Azure AD>Microsoft Azure Active Directory]]の
--作成
--既定のディレクトリ名、ドメイン名の割当
--サービス管理者になるMicrosoftアカウントを追加

-[[Azure AD>Microsoft Azure Active Directory]]に追加したMicrosoftアカウントを、
--[[Azure AD>Microsoft Azure Active Directory]]の全体管理者の役割（ロール）に追加
--[[Azure]] Subscriptionのサービス管理者の役割（ロール）に追加

※ 2018/1月時点:
>クラシックポータルが廃止され、~
[[Azure AD>Microsoft Azure Active Directory]]ドメインと同じドメインのMicrosoftアカウントを[[Azure AD>Microsoft Azure Active Directory]]に追加できなくなった。~
（ドメイン名によって、個人アカウントではなく、組織アカウントと認識されるため）

*ベースの作成 [#za332fe3]

**リソース・グループ [#if3a99f1]
リソース・グループを作成する。

**仮想ネットワーク [#s9e0e3b2]
リソース・グループに仮想ネットワークを作成する。
**ネットワーク [#b2a89919]

***仮想ネットワーク [#s9e0e3b2]
リソース・グループに[[仮想ネットワーク>Azureの仮想ネットワーク]]を作成する。

***サブネット [#ua9e4264]
仮想ネットワークにサブネットを作成する。
[[仮想ネットワークにサブネットを作成する。>Azureのサブネッティング]]

**仮想マシン [#e63f5530]
リソース・グループに仮想マシンを作成する。

-配置する仮想ネットワーク.サブネットを選択する。
-関連するリソースも作成される。
--NIC、パブリックIPアドレス
--ディスク、ストレージ・アカウント
-以下の、関連するリソースも作成される。

***パブリックIPアドレス [#g90ef0bd]
インバウンドを開ける場合、必要に応じて、パブリックIPアドレスを固定する。
***NIC [#ef4f7257]
-パブリックIPアドレス
--FQDN名（DNS）を設定するか、~
--パブリックIPアドレスを固定する。~

**[[NSG>#n32844af]] [#y926d302]
-サブネット向けに[[NSG>#n32844af]]を新規作成（既定値）。
-使用するVMに絞ったRDP/SSHのインバウンドを許可。
-作成した[[NSG>#n32844af]]をサブネットを関連付ける。
-VMのNICに関連付けられた[[NSG>#n32844af]]をすべて削除する。
***[[ディスク>Azureのディスク ストレージ]] [#nbc8c41f]
-[[非管理ディスク>Azureのディスク ストレージ#l33fe1bb]]（[[ストレージ・アカウント>Azureのストレージ#t36c3007]]）
-[[管理ディスク>Azureのディスク ストレージ#v086e7a2]]（HDD or SSD）

※ 基本的に、管理ディスクの方が高額になる。

***自動シャットダウン [#jd16e3cf]
-ポータルから簡単に設定可能。
-課金を軽減するため、必要に応じて設定を行う。

***参考 [#m7aea9f4]
-[[Azureのディスク ストレージ]]
-[[Azure仮想マシン 環境構築 | kokoni>http://blog.kokoni.jp/%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89%E7%B7%A8/azure%E6%96%B0%E3%83%9D%E3%83%BC%E3%82%BF%E3%83%AB%E3%81%A7%E4%BB%AE%E6%83%B3%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%AE%E4%BD%9C%E3%82%8A%E6%96%B9/]]

**[[Azure Bastion]] [#k8a4f09b]
[[Azure Bastion]]を使用すると、直接インバウンドを開けずに作業可能。~
（AzureBastionSubnetにインバウンドを開け、Azure Bastion経由にする）

***他との違い [#babc6cb5]
管理端末、保守端末向き。~
（他のDaaSはリモワなどの業務用）

***[[設定方法>Azure Bastion#g882be6e]] [#k662959d]

**[[NSG>#m9c392c1]] [#y926d302]

***アウトバウンド [#n40bcc4d]
-基本的に開放するが、必要に応じて絞る。
-[[Azure Firewall]]を利用可能だが高額。

***インバウンド [#l8365ae2]
-基本的に全閉するが、必要に応じて開ける。
-[[Azure Bastion>#k8a4f09b]]を使用すれば、直接インバウンドを開けずに作業可能。

***[[設定方法>Network Security Group (NSG)#da9caeeb]] [#c46f6235]

*ユーザの追加 [#f0fd4bde]
**新しいユーザを招待 [#t5e34b2e]

**新しいゲストユーザを招待 [#m2e7355d]
「[[Azure Active Directory B2B collaboration]]」でマイクロソフト・アカウントのユーザを招待
**新しいユーザを追加する。 [#t5e34b2e]
サービス管理者は、

*AADへの権限付与 [#l4a1c926]
AADの管理画面でディレクトリ・ロールを選択する。
-ユーザー
-全体管理者
-制限付き管理者
-[[Azure AD>Microsoft Azure Active Directory]]のドメイン内に直接~
「xxxxx@xxxx.onmicrosoft.com」~
の組織アカウントを作成・登録できる。

-このままでは、 (Office365でなければ)  メールは受け取れない。
-50000ユーザまで無料だが、数が増えると破綻する。

**新しいゲストユーザを招待する。 [#m2e7355d]
サービス管理者は、~

>「[[Azure Active Directory B2B collaboration]]」

でマイクロソフト・アカウントのユーザを[[招待>Microsoft Azure Active Directory#u0768137]]する。

**ユーザへ権限を付与する。 [#d504b88b]
上記でアカウントを作成 or [[招待>Microsoft Azure Active Directory#u0768137]]しても初期状態で、
-Azure Subscriptionの権限はまったくない。
-[[Azure AD>Microsoft Azure Active Directory]]の権限はゲスト権限しかない。

なので、必要に応じて追加の権限付与（ロールにユーザを追加する）が必要になる。

*リソースへの権限付与 [#b4489a3c]

**方法 [#h91b6bdb]
***スコープ [#a3215574]
スコープを選択
**[[%%アカウント権限を使用する%%>Azure Subscriptionの管理@エンプラ#s0e4e291]][#g5593f00]

**[[ロール・レベルで制御する>Role Based Access Control (RBAC)#g03fbf16]] [#h91b6bdb]

***スコープを選択 [#a3215574]
-サブスクリプション
-リソース・グループ
-リソース

***ロール [#c6673529]
***役割（ロール）にユーザを追加 [#c6673529]

-上記のスコープを選択して、
-アクセス制御（IAM）を選択し、
-追加ボタンを押下
--役割を選択
--必要に応じて役割にユーザを追加
--役割（ロール）を選択
--必要に応じて役割（ロール）にユーザを追加

**ユーザと権限 [#z6d135e9]
***カスタム・ロールの作成と利用 [#z6d135e9]
カスタム・ロールを作成してユーザを追加。

***管理者 [#g4d4c549]
-[[管理者の例>Role Based Access Control (RBAC)#ka8ea084]]

***作業者 [#v705f69d]
-[[作業者の例>Role Based Access Control (RBAC)#f47adf4e]]

*参考 [#c8ede674]

-Azure リソースの RBAC でカスタムロールを作成する – Junichi Anno's blog~
https://blogs.technet.microsoft.com/junichia/2016/12/13/azure-%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE-rbac-%E3%81%A7%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B/

**[[Azure Resource Manager]] [#i507fce0]
***[[Role Based Access Control (RBAC)]] [#peddfea0]
***[[Network Security Group (NSG)]] [#m9c392c1]

**[[Azure Active Directory B2B collaboration]] [#m41a45f2]

----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:セキュリティ]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.018 sec.