「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Azure Subscriptionの管理@エンプラ]]

* 目次 [#y36ada02]
#contents

*概要 [#pa3cd563]
手順のメモ

*初期状態 [#hdbb2e72]
キッティングしてもらった初期状態

-[[Azure]]サブスクリプション(EA)名の設定
-[[Azure AD>Microsoft Azure Active Directory]]の作成、既定のディレクトリ名、ドメイン名の割当
-[[Azure]]サブスクリプション管理者ロールへのMicrosoftアカウント割当


*ベースの作成 [#za332fe3]
**リソース・グループ [#if3a99f1]
リソース・グループを作成する。

**仮想ネットワーク [#s9e0e3b2]
リソース・グループに仮想ネットワークを作成する。

***サブネット [#ua9e4264]
仮想ネットワークにサブネットを作成する。

**仮想マシン [#e63f5530]
リソース・グループに仮想マシンを作成する。
-配置する仮想ネットワーク.サブネットを選択する。
-関連するリソースも作成される。
--NIC、パブリックIPアドレス
--ディスク、ストレージ・アカウント

***パブリックIPアドレス [#g90ef0bd]
インバウンドを開ける場合、必要に応じて、パブリックIPアドレスを固定する。

**[[NSG>#n32844af]] [#y926d302]
-サブネット向けに[[NSG>#n32844af]]を新規作成(既定値)。
-使用するVMに絞ったRDP/SSHのインバウンドを許可。
-作成した[[NSG>#n32844af]]をサブネットを関連付ける。
-VMのNICに関連付けられた[[NSG>#n32844af]]をすべて削除する。

*ユーザの追加 [#f0fd4bde]
**新しいユーザを招待 [#t5e34b2e]

**新しいゲストユーザを招待 [#m2e7355d]
「[[Azure Active Directory B2B collaboration]]」でマイクロソフト・アカウントのユーザを招待

*リソースへの権限付与 [#b4489a3c]

**方法 [#h91b6bdb]
***スコープ [#a3215574]
スコープを選択
-サブスクリプション
-リソース・グループ
-リソース

***ロール [#c6673529]
-上記のスコープを選択して、
-アクセス制御(IAM)を選択し、
-追加ボタンを押下
--役割を選択
--必要に応じて役割にユーザを追加

**ユーザと権限 [#z6d135e9]

***管理者 [#g4d4c549]

***作業者 [#v705f69d]
-「DevTest Labs User」組込ロール
-「仮想マシンの起動と停止」カスタム・ロール(上記を更に絞る)
--SubsctionId を確認
 Get-AzureRmSubscription
--カスタム・ロールを作成
 $role = Get-AzureRmRoleDefinition "Virtual Machine Contributor"
 
 $role.Id = $Null
 $role.Name = "仮想マシンの起動と停止"
 $role.Description = "仮想マシンの起動と停止、再起動ができます"
 
 $role.Actions.Clear()
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/start/action")
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/restart/action")
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/read")
 $role.Actions.Add("Microsoft.Compute/virtualMachines//read")
 $role.Actions.Add("Microsoft.Compute/VirtualMachines/deallocate/action")
 
 $role.AssignableScopes.Clear()
 $role.AssignableScopes.Add("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx")
 
 New-AzureRmRoleDefinition -Role $role

-参考
--Azure リソースの RBAC でカスタムロールを作成する – Junichi Anno's blog~
https://blogs.technet.microsoft.com/junichia/2016/12/13/azure-%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE-rbac-%E3%81%A7%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B/

*ネットワーク設定 [#h7ad1145]
**[[サブネッティング>Azureのサブネッティング]] [#t6bba8fb]
-DMZの構築
-サブネットの分割

**仮想ネットワーク ピアリング [#x701f511]
あとあと、仮想ネットワーク間を接続する。

**[[VPN Gateway]]の構成 [#i543c723]
***P2S([[SSTP]]) [#y54b3cc0]
-[[VPN Gateway]]の作成
--[[サブネッティング可能な仮想ネットワークの作成>#t6bba8fb]]~
[[1仮想ネットワーク、1GatewaySubnetになるので注意>VPN Gateway]]
--ゲートウェイ サブネットの追加
--DNS サーバーの指定 (省略可能)
--仮想ネットワーク ゲートウェイの作成
---[VPN の種類] : [ルート ベース]
---[SKU] : [Basic]

-[[証明書]]の生成
--ルート証明書の *.cer ファイルの取得
--クライアント証明書を生成

-クライアント アドレス プールの追加
-ルート証明書の公開証明書データのアップロード
-エクスポートしたクライアント証明書のインストール
-クライアント アドレス プールの追加~
以下と重複しないプライベート IP アドレス範囲
--オンプレミス
--仮想ネットワーク

-[[証明書]]の設定
--ルート証明書の公開証明書データのアップロード
--エクスポートしたクライアント証明書のインストール

-VPN クライアント構成パッケージの生成とインストール

-Azure への接続
--GatewaySubnetが存在する仮想ネットワークにサブネットを追加する。
--ソコに、VMを追加して、プライベートIPアドレスでアクセスする。

*AADへの権限付与 [#l4a1c926]
AADの管理画面でディレクトリ・ロールを選択する。

**ユーザー [#pb51124b]
**全体管理者 [#k536194e]
**制限付き管理者 [#rdf255bb]

*参考 [#c8ede674]

**[[シェル]] [#o8027531]

***[[Azure PowerShell]] [#g779c4ef]
***[[Azure Cloud Shell]] [#ff988d21]

**[[Azure Resource Manager]] [#i507fce0]

***[[Role Based Access Control (RBAC)]] [#peddfea0]
***[[Network Security Group (NSG)]] [#m9c392c1]

**[[Azure Active Directory B2B collaboration]] [#m41a45f2]

----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]
トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS