![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure Subscriptionの管理@エンプラ]] -戻る([[Azure]]、[[Azure Active Directory]]) --[[Azureの評価環境を入手する]] --[[AzureのPoC環境を契約する]] --[[AzureのPoC環境を構築する]] --[[Azure上に素早く環境を構築する]] --[[AzADのテナント作成方法>Azure Active Directoryのテナント作成方法]] --[[Azure Subscriptionの管理@エンプラ]]~ '> Azure Subscriptionの管理手順@エンプラ ---[[Azureによる基盤開発法]] ---[[Azureの高可用性設計]] ---[[Azureの監視と管理]] ---[[Azureのアクセス制御と権限]] * 目次 [#y36ada02] #contents *前提条件 [#hdbb2e72] キッティングしてもらった初期状態の例 -[[Azure]] Subscription(EA)名の設定 -[[Azure AD>Microsoft Azure Active Directory]]の --作成 --既定のディレクトリ名、ドメイン名の割当 --サービス管理者になるMicrosoftアカウントを追加 -[[Azure AD>Microsoft Azure Active Directory]]に追加したMicrosoftアカウントを、 --[[Azure AD>Microsoft Azure Active Directory]]の全体管理者の役割(ロール)に追加 --[[Azure]] Subscriptionのサービス管理者の役割(ロール)に追加 ※ 2018/1月時点: >クラシックポータルが廃止され、~ [[Azure AD>Microsoft Azure Active Directory]]ドメインと同じドメインのMicrosoftアカウントを[[Azure AD>Microsoft Azure Active Directory]]に追加できなくなった。~ (ドメイン名によって、個人アカウントではなく、組織アカウントと認識されるため) *ベースの作成 [#za332fe3] **リソース・グループ [#if3a99f1] リソース・グループを作成する。 **ネットワーク [#b2a89919] ***仮想ネットワーク [#s9e0e3b2] リソース・グループに[[仮想ネットワーク>Azureの仮想ネットワーク]]を作成する。 ***サブネット [#ua9e4264] [[仮想ネットワークにサブネットを作成する。>Azureのサブネッティング]] **仮想マシン [#e63f5530] リソース・グループに仮想マシンを作成する。 -配置する仮想ネットワーク.サブネットを選択する。 -以下の、関連するリソースも作成される。 ***NIC [#ef4f7257] -パブリックIPアドレス --FQDN名(DNS)を設定するか、~ --パブリックIPアドレスを固定する。~ ***[[ディスク>Azureのディスク ストレージ]] [#nbc8c41f] -[[非管理ディスク>Azureのディスク ストレージ#l33fe1bb]]([[ストレージ・アカウント>Azureのストレージ#t36c3007]]) -[[管理ディスク>Azureのディスク ストレージ#v086e7a2]](HDD or SSD) ※ 基本的に、管理ディスクの方が高額になる。 ***自動シャットダウン [#jd16e3cf] -ポータルから簡単に設定可能。 -課金を軽減するため、必要に応じて設定を行う。 ***参考 [#m7aea9f4] -[[Azureのディスク ストレージ]] -[[Azure仮想マシン 環境構築 | kokoni>http://blog.kokoni.jp/%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89%E7%B7%A8/azure%E6%96%B0%E3%83%9D%E3%83%BC%E3%82%BF%E3%83%AB%E3%81%A7%E4%BB%AE%E6%83%B3%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%AE%E4%BD%9C%E3%82%8A%E6%96%B9/]] **[[Azure Bastion]] [#k8a4f09b] [[Azure Bastion]]を使用すると、直接インバウンドを開けずに作業可能。~ (AzureBastionSubnetにインバウンドを開け、Azure Bastion経由にする) ***他との違い [#babc6cb5] 管理端末、保守端末向き。~ (他のDaaSはリモワなどの業務用) ***[[設定方法>Azure Bastion#g882be6e]] [#k662959d] **[[NSG>#m9c392c1]] [#y926d302] ***アウトバウンド [#n40bcc4d] -基本的に開放するが、必要に応じて絞る。 -[[Azure Firewall]]を利用可能だが高額。 ***インバウンド [#l8365ae2] -基本的に全閉するが、必要に応じて開ける。 -[[Azure Bastion>#k8a4f09b]]を使用すれば、直接インバウンドを開けずに作業可能。 ***[[設定方法>Network Security Group (NSG)#da9caeeb]] [#c46f6235] *ユーザの追加 [#f0fd4bde] **新しいユーザを追加する。 [#t5e34b2e] サービス管理者は、 -[[Azure AD>Microsoft Azure Active Directory]]のドメイン内に直接~ 「xxxxx@xxxx.onmicrosoft.com」~ の組織アカウントを作成・登録できる。 -このままでは、 (Office365でなければ) メールは受け取れない。 -50000ユーザまで無料だが、数が増えると破綻する。 **新しいゲストユーザを招待する。 [#m2e7355d] サービス管理者は、~ >「[[Azure Active Directory B2B collaboration]]」 でマイクロソフト・アカウントのユーザを[[招待>Microsoft Azure Active Directory#u0768137]]する。 **ユーザへ権限を付与する。 [#d504b88b] 上記でアカウントを作成 or [[招待>Microsoft Azure Active Directory#u0768137]]しても初期状態で、 -Azure Subscriptionの権限はまったくない。 -[[Azure AD>Microsoft Azure Active Directory]]の権限はゲスト権限しかない。 なので、必要に応じて追加の権限付与(ロールにユーザを追加する)が必要になる。 *リソースへの権限付与 [#b4489a3c] **[[%%アカウント権限を使用する%%>Azure Subscriptionの管理@エンプラ#s0e4e291]][#g5593f00] **[[ロール・レベルで制御する>Role Based Access Control (RBAC)#g03fbf16]] [#h91b6bdb] ***スコープを選択 [#a3215574] -サブスクリプション -リソース・グループ -リソース ***役割(ロール)にユーザを追加 [#c6673529] -上記のスコープを選択して、 -アクセス制御(IAM)を選択し、 -追加ボタンを押下 --役割(ロール)を選択 --必要に応じて役割(ロール)にユーザを追加 ***カスタム・ロールの作成と利用 [#z6d135e9] カスタム・ロールを作成してユーザを追加。 -[[管理者の例>Role Based Access Control (RBAC)#ka8ea084]] -[[作業者の例>Role Based Access Control (RBAC)#f47adf4e]] ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:セキュリティ]]
