「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[Azure]] --[[Azure Active Directory]] * 目次 [#e395f158] #contents *概要 [#lc19b0af] -キッティングしてもらった[[Azure]]サブスクリプションを、~ エンタープライズ・ユースで安全に管理するには?的なトピック。 -以下の機能を活用することで、 --アカウントを管理する。 --アクセス権で操作や通信を制限し、 --必要に応じて[[VPN]]接続を利用する。 >安全に管理・利用できる。 *[[Azure Resource Manager (ARM)]] [#oc702ce7] ロール定義、ロール割り当てで、アクセス権で操作を管理する。 **[[シェル>Azureのシェル]] [#xf27df8b] ***[[Azure Cloud Shell]] [#c7e3354c] -Azure リソースを管理するための、ブラウザーでアクセスできるシェル。 -Linux ユーザーは [[Bash]] を、Windows ユーザーは PowerShell を選ぶことができる。 ***[[Azure PowerShell]] [#q2041053] [[Azure Resource Manager (ARM)]]モデルを使う一連のコマンドレットが用意されている。 ***[[Azure CLI]] [#f6284eb0] [[Azure PowerShell]]のPython版(Pythonがあれば動作する)。 **アクセス制御 [#y22b8263] ***[[Role Based Access Control (RBAC)]] [#xb08af06] アカウントにロールを関連付ける。 ***[[Network Security Group (NSG)]] [#wafe436b] 通信を管理する(リソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則)。 *サブスクリプション管理者 [#s0e4e291] -現在は権限制御には使用しない~ ([[RBACアクセス制御>#xb08af06]]を使用するため)。 -以下の特殊な用途でのみ使用する。 --課金管理用:[[アカウント管理者>#yc183cfd]] --緊急事態用:[[サービス管理者 >#o574888b]] **アカウント管理者 [#yc183cfd] Account Administrator ***概要 [#s4b642c9] -金銭や契約に関わる作業を行う。 -サブスクリプションやサポートオプションの --購入 --購入後 ---契約管理 ---請求管理 ***権限 [#bb310a40] -サブスクリプションやサポートオプションの購入 -サブスクリプションごとの[[サービス管理者>#o574888b]]の指定 -オンライン請求書の発行やサブスクリプション情報などのメール通知の受信 -オンライン請求書ならびに使用量レポートのダウンロード -支払方法の変更 ***ポイント [#mbf9ce13] -各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。~ (管理ポータルを利用するには、サービス管理者や共同管理者に指定する。) -アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。~ Microsoft Azure サポートまで連絡して変更して貰う必要がある。 **サービス管理者 [#o574888b] Service Administrator ***概要 [#f3889a54] -[[Azure]]の各種サービスを利用するための管理者。 -各サブスクリプションに1つサービス管理者が紐づいている。 -管理ポータルへのアクセスおよび管理権限が与えられる。 ***ポイント [#ae6d3264] 一方で、 -アカウントポータルへのアクセス権および管理権限は与えられていない。 -サービス管理者は[[アカウント管理者>#yc183cfd]]によって変更できる。 **共同管理者 [#p5c389cc] Co-Administrator -2017 年 10 月時点で新規登録できない。 -[[RBACアクセス制御>#xb08af06]]を使用して、~ サブスクリプションに対して所有者というロールを割り当てれば、~ 従来のクラシック ポータルでの共同管理者相当になる。 *[[Azure Active Directory]]との関係 [#a18a5329] -[[Azure Active Directory]]は、 --[[Azure]]の一機能に見えるが、違う。 --また、包含関係は無く、互いに独立している。 --ライセンス購入・課金の仕組みも独立している。~ [[Azure Active Directory]]の課金はサブスクリプションから~ 引き落とされるのではなく、別途購入する形になる。 -各サブスクリプション --...の配下に [[Azure Active Directory]]テナントが作られるのではない。 --...は、必ず 1 つの[[Azure Active Directory]]テナントを信頼している。 **カーディナリティ(多重度) [#x1b206c6] ***ディレクトリ [#ef9c4fe6] -1つのサブスクリプションには、1つの[[Azure Active Directory]]のディレクトリに紐付く。 -1つの[[Azure Active Directory]]のディレクトリには、複数のサブスクリプションが紐付く。 ディレクトリ → サブスクリプション ***ユーザ [#s58c5f5e] -1つのサブスクリプションは、[[ディレクトリ>#ef9c4fe6]]に登録された複数人のユーザが操作できる。 -1人のユーザは、[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待によって、~ 複数のディレクトリに所属して、複数のサブスクリプションを操作できる。 -故に、ポータルにログインして、操作するサブスクリプションを切替可能。 ユーザ ←──────┐ ↑ ↓ └→ ディレクトリ → サブスクリプション **サブスクリプションとディレクトリの分割 [#o7b05755] ***サブスクリプション [#o0fb0122] サブスクリプションは(業務・環境の単位に)システムで分割しても良い。 ***ディレクトリ [#xca07809] -ディレクトリは分割不可能~ [[オンプレADと異なり、複数ドメイン、フォレスト等は無し>Active Directory(計画)#z70cc734]] -他のディレクトリとの連携も可能 --[[オンプレミス・ディレクトリとの同期>Microsoft Azure Active Directory#yf5be6a6]] --[[Azure Active Directory B2B collaboration>#da5a0f91]]。 -分割はしないが二重に作成するケースはある。 --認証専用ディレクトリ ---[[Office 365]]やユーザ・アプリケーションの認証のみを行う。 ---[[オンプレミス・ディレクトリとの同期>Microsoft Azure Active Directory#yf5be6a6]]([[Office 365]]では必須) ---[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待を利用しない。 --VDC専用ディレクトリ ---VDCの操作者の権限制御のために利用する。 ---オンプレと同期しない[[Azure Active Directory]] ---[[Azure Active Directory B2B collaboration>#da5a0f91]]の招待を利用する。 **管理者 [#l30705f5] ***ユーザとの関連付け [#x3cdb8e4] -[[アカウント管理者>#yc183cfd]]が、組織アカウントの場合~ --[[アカウント管理者>#yc183cfd]] --[[サービス管理者>#o574888b]] --[[共同管理者>#p5c389cc]] -[[アカウント管理者>#yc183cfd]]が、個人アカウントの場合~ --[[アカウント管理者>#yc183cfd]] --[[サービス管理者>#o574888b]] --[[共同管理者>#p5c389cc]] ***[[Azure Active Directory管理者>Microsoft Azure Active Directory#y1da803f]]との関係 [#b1ddbc22] 別の機能であり、管理者も別もの。 -[[サブスクリプション管理者>#s0e4e291]]でも[[Azure Active Directoryの全体管理者>Microsoft Azure Active Directory#y1da803f]]でなければ、[[Azure Active Directory]] の管理はできない。 -同様に、[[Azure Active Directoryの全体管理者>Microsoft Azure Active Directory#y1da803f]]であっても、必ずしも紐づく[[サブスクリプション管理者>#s0e4e291]]ではない。 **参考 [#z80fcabf] ***[[AzADのテナント作成方法>Azure Active Directoryのテナント作成方法]] [#i907f382] ***Microsoft Docs [#oef8857f] -Azure サブスクリプションと Azure AD の管理者~ https://docs.microsoft.com/ja-jp/archive/blogs/jpazureid/azure-subscription-azuread-admin -既存の Azure サブスクリプションを Azure AD ディレクトリに追加する方法~ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-how-subscriptions-associated-directory *構成 [#fbfd8251] **最小 [#t3ad5b4e] ***アカウント [#oced7087] [[サブスクリプション管理者>#s0e4e291]]アカウント ***ネットワーク [#v770ac8a] 1[[VNET>Azureの仮想ネットワーク]]内に、1サブネット ***VM [#f3f0711e] 使用する数だけ用意する。 ***[[NSG>#wafe436b]] [#y926d302] 1サブネット向けに1[[NSG>#wafe436b]]を作成する。 **拡大 [#o5c28e84] ***アカウント [#da5a0f91] [[サブスクリプション管理者>#s0e4e291]]権限を付与することなく、~ [[Azure Active Directory B2B collaboration>#da5a0f91]]の招待で~ 同じユーザが複数のサブスクリプションで管理作業をすることができる。 ***ネットワーク [#fcffca21] -[[Azureのサブネッティング]] --DMZの構築 --サブネットの分割 -[[Azureの仮想ネットワーク ピアリング]]~ あとあと、仮想ネットワーク間を接続する。 -[[VPN Gateway]]の構築 --[[Site-to-Site VPN (S2S)>#nc8cb54b]] --[[Point-to-Site VPN (P2S)>#m7fa6699]] --[[VNet-to-VNet VPN (V2V)>#v19f82ff]] ***VM [#n5c6ba00] 使用する数だけ用意する。 ***[[NSG>#wafe436b]] [#f5cfa9ef] 追加したサブネット間の通信に関する[[NSG>#wafe436b]]を追加し、サブネットに関連付ける。 **ネットワーク接続 [#i36e2529] ***[[仮想ネットワークに接続する。>Azureの仮想ネットワーク#tacd3237]] [#k7cbad78] ***[[OA-LANから管理端末に接続する。>OA-LANとAzureのVNETの分離]] [#ofab3997] ***[[Azure Virtual Data Center]] [#r7284c6b] *[[手順>Azure Subscriptionの管理手順@エンプラ]] [#y5903568] **[[基礎知識>Azure Subscriptionの管理手順@エンプラ#q9fbb2b1]] [#g9e01b1c] **[[ベースの作成>Azure Subscriptionの管理手順@エンプラ#za332fe3]] [#iae98ee2] **[[ユーザの追加>Azure Subscriptionの管理手順@エンプラ#f0fd4bde]] [#j711e753] **[[リソースへの権限付与>Azure Subscriptionの管理手順@エンプラ#b4489a3c]] [#a4b1336e] **[[手順>Azure Subscriptionの管理手順@エンプラ]] [#y5903568] ***[[基礎知識>Azure Subscriptionの管理手順@エンプラ#q9fbb2b1]] [#g9e01b1c] ***[[ベースの作成>Azure Subscriptionの管理手順@エンプラ#za332fe3]] [#iae98ee2] ***[[ユーザの追加>Azure Subscriptionの管理手順@エンプラ#f0fd4bde]] [#j711e753] ***[[リソースへの権限付与>Azure Subscriptionの管理手順@エンプラ#b4489a3c]] [#a4b1336e] *信頼性・セキュリティ [#oa0004dd] **[[Azureによる基盤開発法]] [#q883b6cf] **[[Azureの高可用性設計]] [#jc25462d] **[[Azureの監視と管理]] [#rc0e25b3] **[[Azureのアクセス制御と権限]] [#q9b0d4fa] **[[サービスのセキュア化>Azure Virtual Data Center#ye378ff8]] [#u461a664] ***[[仮想ネットワーク>Azure Virtual Data Center#x155d515]] [#j5e0d42d] ***[[ストレージ>Azure Virtual Data Center#l68c61c7]] [#lbe911a9] ***[[仮想マシン>Azure Virtual Data Center#na02cf07]] [#u7078f10] ***[[Firewall>Azure Virtual Data Center#s99f52da]] [#t22f1015] ***[[Backup>Azure Virtual Data Center#s4e7724e]] [#la4823a2] ***[[監視系>Azure Virtual Data Center#t868c1c5]] [#pbe2897a] **参考 [#w24baa52] ***[[Azure Virtual Data Center]] [#vb268cb2] ***[[FgCF (Financial-grade Cloud Fundamentals)]] [#w1dfa187] *参考 [#j6373349] **Microsoft Docs [#ea478db1] -Azure に移行する企業のためのベスト プラクティス~ https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-manager-subscription-governance -サブスクリプション ガバナンスのシナリオと例~ https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-manager-subscription-examples -Azure のネットワーク セキュリティに関するベスト プラクティス~ https://docs.microsoft.com/ja-jp/azure/best-practices-network-security ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュリティ]], [[:Azure]]