Azure Subscriptionの管理@エンプラ
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Azure]]
--[[Azure Active Directory]]
* 目次 [#e395f158]
#contents
*概要 [#lc19b0af]
-キッティングしてもらった[[Azure]]サブスクリプションを、~
エンタープライズ・ユースで安全に管理するには?的なトピッ...
-以下の機能を活用することで、
--アカウントを管理する。
--アクセス権で操作や通信を制限し、
--必要に応じて[[VPN]]接続を利用する。
>安全に管理・利用できる。
*[[Azure Resource Manager (ARM)]] [#oc702ce7]
ロール定義、ロール割り当てで、アクセス権で操作を管理する。
**[[シェル>Azureのシェル]] [#xf27df8b]
***[[Azure Cloud Shell]] [#c7e3354c]
-Azure リソースを管理するための、ブラウザーでアクセスでき...
-Linux ユーザーは [[Bash]] を、Windows ユーザーは PowerSh...
***[[Azure PowerShell]] [#q2041053]
[[Azure Resource Manager (ARM)]]モデルを使う一連のコマン...
***[[Azure CLI]] [#f6284eb0]
[[Azure PowerShell]]のPython版(Pythonがあれば動作する)。
**アクセス制御 [#y22b8263]
***[[Role Based Access Control (RBAC)]] [#xb08af06]
アカウントにロールを関連付ける。
***[[Network Security Group (NSG)]] [#wafe436b]
通信を管理する(リソースへのネットワーク トラフィックを許...
*サブスクリプション管理者 [#s0e4e291]
-現在は権限制御には使用しない~
([[RBACアクセス制御>#xb08af06]]を使用するため)。
-以下の特殊な用途でのみ使用する。
--課金管理用:[[アカウント管理者>#yc183cfd]]
--緊急事態用:[[サービス管理者 >#o574888b]]
**アカウント管理者 [#yc183cfd]
Account Administrator
***概要 [#s4b642c9]
-金銭や契約に関わる作業を行う。
-サブスクリプションやサポートオプションの
--購入
--購入後
---契約管理
---請求管理
***権限 [#bb310a40]
-サブスクリプションやサポートオプションの購入
-サブスクリプションごとの[[サービス管理者>#o574888b]]の指定
-オンライン請求書の発行やサブスクリプション情報などのメー...
-オンライン請求書ならびに使用量レポートのダウンロード
-支払方法の変更
***ポイント [#mbf9ce13]
-各種サービスを利用する管理ポータルへのアクセス権および管...
(管理ポータルを利用するには、サービス管理者や共同管理者...
-アカウント管理者の変更は、セキュリティ上の観点から、ユー...
Microsoft Azure サポートまで連絡して変更して貰う必要があ...
**サービス管理者 [#o574888b]
Service Administrator
***概要 [#f3889a54]
-[[Azure]]の各種サービスを利用するための管理者。
-各サブスクリプションに1つサービス管理者が紐づいている。
-管理ポータルへのアクセスおよび管理権限が与えられる。
***ポイント [#ae6d3264]
一方で、
-アカウントポータルへのアクセス権および管理権限は与えられ...
-サービス管理者は[[アカウント管理者>#yc183cfd]]によって変...
**共同管理者 [#p5c389cc]
Co-Administrator
-2017 年 10 月時点で新規登録できない。
-[[RBACアクセス制御>#xb08af06]]を使用して、~
サブスクリプションに対して所有者というロールを割り当てれ...
従来のクラシック ポータルでの共同管理者相当になる。
*[[Azure Active Directory]]との関係 [#a18a5329]
-[[Azure Active Directory]]は、
--[[Azure]]の一機能に見えるが、違う。
--また、包含関係は無く、互いに独立している。
--ライセンス購入・課金の仕組みも独立している。~
[[Azure Active Directory]]の課金はサブスクリプションから~
引き落とされるのではなく、別途購入する形になる。
-各サブスクリプション
--...の配下に [[Azure Active Directory]]テナントが作られ...
--...は、必ず 1 つの[[Azure Active Directory]]テナントを...
**カーディナリティ(多重度) [#x1b206c6]
***ディレクトリ [#ef9c4fe6]
-1つのサブスクリプションには、1つの[[Azure Active Direc...
-1つの[[Azure Active Directory]]のディレクトリには、複数...
ディレクトリ → サブスクリプション
***ユーザ [#s58c5f5e]
-1つのサブスクリプションは、[[ディレクトリ>#ef9c4fe6]]に...
-1人のユーザは、[[Azure Active Directory B2B collaborati...
複数のディレクトリに所属して、複数のサブスクリプションを...
-故に、ポータルにログインして、操作するサブスクリプション...
ユーザ ←──────┐
↑ ↓
└→ ディレクトリ → サブスクリプション
**サブスクリプションとディレクトリの分割 [#o7b05755]
***サブスクリプション [#o0fb0122]
サブスクリプションは(業務・環境の単位に)システムで分割...
***ディレクトリ [#xca07809]
-ディレクトリは分割不可能~
[[オンプレADと異なり、複数ドメイン、フォレスト等は無し>Ac...
-他のディレクトリとの連携も可能
--[[オンプレミス・ディレクトリとの同期>Microsoft Azure Ac...
--[[Azure Active Directory B2B collaboration>#da5a0f91]]。
-分割はしないが二重に作成するケースはある。
--認証専用ディレクトリ
---[[Office 365]]やユーザ・アプリケーションの認証のみを行...
---[[オンプレミス・ディレクトリとの同期>Microsoft Azure A...
---[[Azure Active Directory B2B collaboration>#da5a0f91]]...
--VDC専用ディレクトリ
---VDCの操作者の権限制御のために利用する。
---オンプレと同期しない[[Azure Active Directory]]
---[[Azure Active Directory B2B collaboration>#da5a0f91]]...
**管理者 [#l30705f5]
***ユーザとの関連付け [#x3cdb8e4]
-[[アカウント管理者>#yc183cfd]]が、組織アカウントの場合~
--[[アカウント管理者>#yc183cfd]]
--[[サービス管理者>#o574888b]]
--[[共同管理者>#p5c389cc]]
-[[アカウント管理者>#yc183cfd]]が、個人アカウントの場合~
--[[アカウント管理者>#yc183cfd]]
--[[サービス管理者>#o574888b]]
--[[共同管理者>#p5c389cc]]
***[[Azure Active Directory管理者>Microsoft Azure Active ...
別の機能であり、管理者も別もの。
-[[サブスクリプション管理者>#s0e4e291]]でも[[Azure Active...
-同様に、[[Azure Active Directoryの全体管理者>Microsoft A...
**参考 [#z80fcabf]
***[[AzADのテナント作成方法>Azure Active Directoryのテナ...
***Microsoft Docs [#oef8857f]
-Azure サブスクリプションと Azure AD の管理者~
https://docs.microsoft.com/ja-jp/archive/blogs/jpazureid/...
-既存の Azure サブスクリプションを Azure AD ディレクトリ...
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
*構成 [#fbfd8251]
**最小 [#t3ad5b4e]
***アカウント [#oced7087]
[[サブスクリプション管理者>#s0e4e291]]アカウント
***ネットワーク [#v770ac8a]
1[[VNET>Azureの仮想ネットワーク]]内に、1サブネット
***VM [#f3f0711e]
使用する数だけ用意する。
***[[NSG>#wafe436b]] [#y926d302]
1サブネット向けに1[[NSG>#wafe436b]]を作成する。
**拡大 [#o5c28e84]
***アカウント [#da5a0f91]
[[サブスクリプション管理者>#s0e4e291]]権限を付与すること...
[[Azure Active Directory B2B collaboration>#da5a0f91]]の...
同じユーザが複数のサブスクリプションで管理作業をすること...
***ネットワーク [#fcffca21]
-[[Azureのサブネッティング]]
--DMZの構築
--サブネットの分割
-[[Azureの仮想ネットワーク ピアリング]]~
あとあと、仮想ネットワーク間を接続する。
-[[VPN Gateway]]の構築
--[[Site-to-Site VPN (S2S)>#nc8cb54b]]
--[[Point-to-Site VPN (P2S)>#m7fa6699]]
--[[VNet-to-VNet VPN (V2V)>#v19f82ff]]
***VM [#n5c6ba00]
使用する数だけ用意する。
***[[NSG>#wafe436b]] [#f5cfa9ef]
追加したサブネット間の通信に関する[[NSG>#wafe436b]]を追加...
**ネットワーク接続 [#i36e2529]
***[[仮想ネットワークに接続する。>Azureの仮想ネットワーク...
***[[OA-LANから管理端末に接続する。>OA-LANとAzureのVNETの...
***[[Azure Virtual Data Center]] [#r7284c6b]
**[[手順>Azure Subscriptionの管理手順@エンプラ]] [#y59035...
***[[基礎知識>Azure Subscriptionの管理手順@エンプラ#q9fbb...
***[[ベースの作成>Azure Subscriptionの管理手順@エンプラ#z...
***[[ユーザの追加>Azure Subscriptionの管理手順@エンプラ#f...
***[[リソースへの権限付与>Azure Subscriptionの管理手順@エ...
*信頼性・セキュリティ [#oa0004dd]
**[[Azureによる基盤開発法]] [#q883b6cf]
**[[Azureの高可用性設計]] [#jc25462d]
**[[Azureの監視と管理]] [#rc0e25b3]
**[[Azureのアクセス制御と権限]] [#q9b0d4fa]
**[[サービスのセキュア化>Azure Virtual Data Center#ye378f...
***[[仮想ネットワーク>Azure Virtual Data Center#x155d515]...
***[[ストレージ>Azure Virtual Data Center#l68c61c7]] [#lb...
***[[仮想マシン>Azure Virtual Data Center#na02cf07]] [#u7...
***[[Firewall>Azure Virtual Data Center#s99f52da]] [#t22f...
***[[Backup>Azure Virtual Data Center#s4e7724e]] [#la4823...
***[[監視系>Azure Virtual Data Center#t868c1c5]] [#pbe289...
**参考 [#w24baa52]
***[[Azure Virtual Data Center]] [#vb268cb2]
***[[FgCF (Financial-grade Cloud Fundamentals)]] [#w1dfa1...
*参考 [#j6373349]
**Microsoft Docs [#ea478db1]
-Azure に移行する企業のためのベスト プラクティス~
https://docs.microsoft.com/ja-jp/azure/azure-resource-man...
-サブスクリプション ガバナンスのシナリオと例~
https://docs.microsoft.com/ja-jp/azure/azure-resource-man...
-Azure のネットワーク セキュリティに関するベスト プラクテ...
https://docs.microsoft.com/ja-jp/azure/best-practices-net...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Azure]]
--[[Azure Active Directory]]
* 目次 [#e395f158]
#contents
*概要 [#lc19b0af]
-キッティングしてもらった[[Azure]]サブスクリプションを、~
エンタープライズ・ユースで安全に管理するには?的なトピッ...
-以下の機能を活用することで、
--アカウントを管理する。
--アクセス権で操作や通信を制限し、
--必要に応じて[[VPN]]接続を利用する。
>安全に管理・利用できる。
*[[Azure Resource Manager (ARM)]] [#oc702ce7]
ロール定義、ロール割り当てで、アクセス権で操作を管理する。
**[[シェル>Azureのシェル]] [#xf27df8b]
***[[Azure Cloud Shell]] [#c7e3354c]
-Azure リソースを管理するための、ブラウザーでアクセスでき...
-Linux ユーザーは [[Bash]] を、Windows ユーザーは PowerSh...
***[[Azure PowerShell]] [#q2041053]
[[Azure Resource Manager (ARM)]]モデルを使う一連のコマン...
***[[Azure CLI]] [#f6284eb0]
[[Azure PowerShell]]のPython版(Pythonがあれば動作する)。
**アクセス制御 [#y22b8263]
***[[Role Based Access Control (RBAC)]] [#xb08af06]
アカウントにロールを関連付ける。
***[[Network Security Group (NSG)]] [#wafe436b]
通信を管理する(リソースへのネットワーク トラフィックを許...
*サブスクリプション管理者 [#s0e4e291]
-現在は権限制御には使用しない~
([[RBACアクセス制御>#xb08af06]]を使用するため)。
-以下の特殊な用途でのみ使用する。
--課金管理用:[[アカウント管理者>#yc183cfd]]
--緊急事態用:[[サービス管理者 >#o574888b]]
**アカウント管理者 [#yc183cfd]
Account Administrator
***概要 [#s4b642c9]
-金銭や契約に関わる作業を行う。
-サブスクリプションやサポートオプションの
--購入
--購入後
---契約管理
---請求管理
***権限 [#bb310a40]
-サブスクリプションやサポートオプションの購入
-サブスクリプションごとの[[サービス管理者>#o574888b]]の指定
-オンライン請求書の発行やサブスクリプション情報などのメー...
-オンライン請求書ならびに使用量レポートのダウンロード
-支払方法の変更
***ポイント [#mbf9ce13]
-各種サービスを利用する管理ポータルへのアクセス権および管...
(管理ポータルを利用するには、サービス管理者や共同管理者...
-アカウント管理者の変更は、セキュリティ上の観点から、ユー...
Microsoft Azure サポートまで連絡して変更して貰う必要があ...
**サービス管理者 [#o574888b]
Service Administrator
***概要 [#f3889a54]
-[[Azure]]の各種サービスを利用するための管理者。
-各サブスクリプションに1つサービス管理者が紐づいている。
-管理ポータルへのアクセスおよび管理権限が与えられる。
***ポイント [#ae6d3264]
一方で、
-アカウントポータルへのアクセス権および管理権限は与えられ...
-サービス管理者は[[アカウント管理者>#yc183cfd]]によって変...
**共同管理者 [#p5c389cc]
Co-Administrator
-2017 年 10 月時点で新規登録できない。
-[[RBACアクセス制御>#xb08af06]]を使用して、~
サブスクリプションに対して所有者というロールを割り当てれ...
従来のクラシック ポータルでの共同管理者相当になる。
*[[Azure Active Directory]]との関係 [#a18a5329]
-[[Azure Active Directory]]は、
--[[Azure]]の一機能に見えるが、違う。
--また、包含関係は無く、互いに独立している。
--ライセンス購入・課金の仕組みも独立している。~
[[Azure Active Directory]]の課金はサブスクリプションから~
引き落とされるのではなく、別途購入する形になる。
-各サブスクリプション
--...の配下に [[Azure Active Directory]]テナントが作られ...
--...は、必ず 1 つの[[Azure Active Directory]]テナントを...
**カーディナリティ(多重度) [#x1b206c6]
***ディレクトリ [#ef9c4fe6]
-1つのサブスクリプションには、1つの[[Azure Active Direc...
-1つの[[Azure Active Directory]]のディレクトリには、複数...
ディレクトリ → サブスクリプション
***ユーザ [#s58c5f5e]
-1つのサブスクリプションは、[[ディレクトリ>#ef9c4fe6]]に...
-1人のユーザは、[[Azure Active Directory B2B collaborati...
複数のディレクトリに所属して、複数のサブスクリプションを...
-故に、ポータルにログインして、操作するサブスクリプション...
ユーザ ←──────┐
↑ ↓
└→ ディレクトリ → サブスクリプション
**サブスクリプションとディレクトリの分割 [#o7b05755]
***サブスクリプション [#o0fb0122]
サブスクリプションは(業務・環境の単位に)システムで分割...
***ディレクトリ [#xca07809]
-ディレクトリは分割不可能~
[[オンプレADと異なり、複数ドメイン、フォレスト等は無し>Ac...
-他のディレクトリとの連携も可能
--[[オンプレミス・ディレクトリとの同期>Microsoft Azure Ac...
--[[Azure Active Directory B2B collaboration>#da5a0f91]]。
-分割はしないが二重に作成するケースはある。
--認証専用ディレクトリ
---[[Office 365]]やユーザ・アプリケーションの認証のみを行...
---[[オンプレミス・ディレクトリとの同期>Microsoft Azure A...
---[[Azure Active Directory B2B collaboration>#da5a0f91]]...
--VDC専用ディレクトリ
---VDCの操作者の権限制御のために利用する。
---オンプレと同期しない[[Azure Active Directory]]
---[[Azure Active Directory B2B collaboration>#da5a0f91]]...
**管理者 [#l30705f5]
***ユーザとの関連付け [#x3cdb8e4]
-[[アカウント管理者>#yc183cfd]]が、組織アカウントの場合~
--[[アカウント管理者>#yc183cfd]]
--[[サービス管理者>#o574888b]]
--[[共同管理者>#p5c389cc]]
-[[アカウント管理者>#yc183cfd]]が、個人アカウントの場合~
--[[アカウント管理者>#yc183cfd]]
--[[サービス管理者>#o574888b]]
--[[共同管理者>#p5c389cc]]
***[[Azure Active Directory管理者>Microsoft Azure Active ...
別の機能であり、管理者も別もの。
-[[サブスクリプション管理者>#s0e4e291]]でも[[Azure Active...
-同様に、[[Azure Active Directoryの全体管理者>Microsoft A...
**参考 [#z80fcabf]
***[[AzADのテナント作成方法>Azure Active Directoryのテナ...
***Microsoft Docs [#oef8857f]
-Azure サブスクリプションと Azure AD の管理者~
https://docs.microsoft.com/ja-jp/archive/blogs/jpazureid/...
-既存の Azure サブスクリプションを Azure AD ディレクトリ...
https://docs.microsoft.com/ja-jp/azure/active-directory/a...
*構成 [#fbfd8251]
**最小 [#t3ad5b4e]
***アカウント [#oced7087]
[[サブスクリプション管理者>#s0e4e291]]アカウント
***ネットワーク [#v770ac8a]
1[[VNET>Azureの仮想ネットワーク]]内に、1サブネット
***VM [#f3f0711e]
使用する数だけ用意する。
***[[NSG>#wafe436b]] [#y926d302]
1サブネット向けに1[[NSG>#wafe436b]]を作成する。
**拡大 [#o5c28e84]
***アカウント [#da5a0f91]
[[サブスクリプション管理者>#s0e4e291]]権限を付与すること...
[[Azure Active Directory B2B collaboration>#da5a0f91]]の...
同じユーザが複数のサブスクリプションで管理作業をすること...
***ネットワーク [#fcffca21]
-[[Azureのサブネッティング]]
--DMZの構築
--サブネットの分割
-[[Azureの仮想ネットワーク ピアリング]]~
あとあと、仮想ネットワーク間を接続する。
-[[VPN Gateway]]の構築
--[[Site-to-Site VPN (S2S)>#nc8cb54b]]
--[[Point-to-Site VPN (P2S)>#m7fa6699]]
--[[VNet-to-VNet VPN (V2V)>#v19f82ff]]
***VM [#n5c6ba00]
使用する数だけ用意する。
***[[NSG>#wafe436b]] [#f5cfa9ef]
追加したサブネット間の通信に関する[[NSG>#wafe436b]]を追加...
**ネットワーク接続 [#i36e2529]
***[[仮想ネットワークに接続する。>Azureの仮想ネットワーク...
***[[OA-LANから管理端末に接続する。>OA-LANとAzureのVNETの...
***[[Azure Virtual Data Center]] [#r7284c6b]
**[[手順>Azure Subscriptionの管理手順@エンプラ]] [#y59035...
***[[基礎知識>Azure Subscriptionの管理手順@エンプラ#q9fbb...
***[[ベースの作成>Azure Subscriptionの管理手順@エンプラ#z...
***[[ユーザの追加>Azure Subscriptionの管理手順@エンプラ#f...
***[[リソースへの権限付与>Azure Subscriptionの管理手順@エ...
*信頼性・セキュリティ [#oa0004dd]
**[[Azureによる基盤開発法]] [#q883b6cf]
**[[Azureの高可用性設計]] [#jc25462d]
**[[Azureの監視と管理]] [#rc0e25b3]
**[[Azureのアクセス制御と権限]] [#q9b0d4fa]
**[[サービスのセキュア化>Azure Virtual Data Center#ye378f...
***[[仮想ネットワーク>Azure Virtual Data Center#x155d515]...
***[[ストレージ>Azure Virtual Data Center#l68c61c7]] [#lb...
***[[仮想マシン>Azure Virtual Data Center#na02cf07]] [#u7...
***[[Firewall>Azure Virtual Data Center#s99f52da]] [#t22f...
***[[Backup>Azure Virtual Data Center#s4e7724e]] [#la4823...
***[[監視系>Azure Virtual Data Center#t868c1c5]] [#pbe289...
**参考 [#w24baa52]
***[[Azure Virtual Data Center]] [#vb268cb2]
***[[FgCF (Financial-grade Cloud Fundamentals)]] [#w1dfa1...
*参考 [#j6373349]
**Microsoft Docs [#ea478db1]
-Azure に移行する企業のためのベスト プラクティス~
https://docs.microsoft.com/ja-jp/azure/azure-resource-man...
-サブスクリプション ガバナンスのシナリオと例~
https://docs.microsoft.com/ja-jp/azure/azure-resource-man...
-Azure のネットワーク セキュリティに関するベスト プラクテ...
https://docs.microsoft.com/ja-jp/azure/best-practices-net...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
ページ名: