Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Azureの契約直前・直後に意識しておくこと10箇条

5,931 views

Published on

Interact 2018 の資料

Published in: Technology

Azureの契約直前・直後に意識しておくこと10箇条

  1. 1. Azureの契約直前・直後に 意識しておくこと10箇条 Interact 2018 @yuiashikaga
  2. 2. 自己紹介 Copyright© 2018, @yuiashikaga All Rights Reserved. 2 足利 惟 @yuiashikaga 株式会社 pnop 所属 Microsoft Azure だけでお仕事してます Azure とはかれこれ8年くらいのお付き合い Japan Azure User Group (JAZUG) 運営メンバー 勉強会の企画、運営、登壇などを通じてAzureの魅力を発信 Facebookで「JAZUG」検索!! Microsoft MVP for Azure (2016年4月~2018年6月) カメラ、釣り、レース観戦 OLYMPUS、バス釣り、F1、Super GT
  3. 3. このセッションの内容とゴール Azure上で動くシステムの管理ではなく、Azureそのものの管理 の話になります Copyright© 2018, @yuiashikaga All Rights Reserved. 3 これから Azure を使う すでにバリバリ使っている 10箇条を意識して管理し やすい環境に 自分が管理している環境 を見直すきっかけに
  4. 4. ということで・・・ このセッションでインフラのお話しは 一切出てきません!!(`・ω・´)キリッ Copyright© 2018, @yuiashikaga All Rights Reserved. 4
  5. 5. なぜこのセッションを・・・ インフラの人って結局 Azure の契約とか 管理とか兼任してる人が多い印象… Copyright© 2018, @yuiashikaga All Rights Reserved. 5
  6. 6. アンケート Azure はこれから導入する予定 Azure サブスクリプションを個人で使っている 会社から Azure のサブスクリプションをもらって使っている 会社の Azure サブスクリプションの管理をしている Copyright© 2018, @yuiashikaga All Rights Reserved. 6
  7. 7. 注意点 本セッションは 2018年6月30日 現在の情報を基に作成してます 最新情報はWebで!! Copyright© 2018, @yuiashikaga All Rights Reserved. 7
  8. 8. 1. Azure の契約を今一度確認すべし 従量課金? CSP? EA? Copyright© 2018, @yuiashikaga All Rights Reserved. 8
  9. 9. Azure の契約プランて実はたくさん Copyright© 2018, @yuiashikaga All Rights Reserved. 9 https://azure.microsoft.com/ja-jp/support/legal/offer-details/
  10. 10. 従量課金制 使った分だけお支払い 基本はクレジットカード払い (請求書払いに変更可能) Microsoft から直接購入 Copyright© 2018, @yuiashikaga All Rights Reserved. 10 • 会社のクレジットカードを作成しなければならない • 請求書払いの場合、サードパーティと外部サービスは購入も支払い もできない • 別サブスクリプションをクレジットカードで契約する必要がある
  11. 11. Azure CSP (Cloud Solution Provider) サブスクリプション + パートナーが提供する付加価値 購入方法はパートナーの仕様に依存(基本は従量課金) パートナー経由で購入 Copyright© 2018, @yuiashikaga All Rights Reserved. 11 • ASM (Classic)形式のリソースは作成できない • Azure Marketplace の従量課金製品のほとんどは購入できない • Microsoft のサポートは購入できない (パートナー提供のみ)
  12. 12. EA (Enterprise Agreement) 大企業向けの一括購入プラン 年間使用分を事前に購入 (Azure Monetary Commit) LSP (ライセンスプロバイダー)経由で購入 Copyright© 2018, @yuiashikaga All Rights Reserved. 12 • 事前に年間金額を予測 • Azure Marketplace の購入は出来るがほとんどの製品は別請求 (Monetary Commit から消費されない) • StorSimple 使いたいなら現状EA一択 https://www.microsoft.com/ja-jp/Licensing/how-to-buy/LSP.aspx
  13. 13. なぜ契約を理解する必要があるか サブスクリプションを払い出してもらうのに、誰に依頼を投げ たらいいかわからない問題 (自社でもお客様の担当者でも) Copyright© 2018, @yuiashikaga All Rights Reserved. 13 EAの場合 アカウント管理者に依頼 CSPの場合 パートナーに依頼
  14. 14. 2. MSAと組織アカウントの違いを 理解すべし Copyright© 2018, @yuiashikaga All Rights Reserved. 14
  15. 15. Copyright© 2018, @yuiashikaga All Rights Reserved. 15 現在、Microsoft Azure を管理するために 使用しているアカウントの種類ってご存知ですか
  16. 16. Microsoft アカウントと組織アカウント Copyright© 2018, @yuiashikaga All Rights Reserved. 16 Azure
  17. 17. (おさらい) Azure Active Directory とは? クラウドの認証基盤 Azure, Office 365, Microsoft Intune, Dynamics CRM などの基盤 組織独自のアプリ、2,600 以上の SaaS アプリとの連携 (SSO) オンプレミスの Active Directory と ID 同期/ID 連携が可能 Copyright© 2018, @yuiashikaga All Rights Reserved. 17
  18. 18. Azure でのアカウント管理 おすすめは Copyright© 2018, @yuiashikaga All Rights Reserved. 18 すべてを組織アカウントで管理することです
  19. 19. Microsoft Azure を MSA で管理することのリスク セキュリティポリシーが強制できない 例:パスワード強度、多要素認証、監査 5年ログインしないとアカウントが無効となる 放置しているアカウントが Azure サブスクリプションのアカウント 管理者の場合、最悪サブスクリプションが無効化 Copyright© 2018, @yuiashikaga All Rights Reserved. 19
  20. 20. 3. Azure AD は最初に作っておくべし Copyright© 2018, @yuiashikaga All Rights Reserved. 20
  21. 21. Azure AD 勝手に作られる問題 MSAを起点としてサブスクリプションを作った場合、メールアドレ スに応じたAzure ADテナントが勝手に作成されてしまう EAの場合には注意が必要 (アカウント管理者がMSAだと・・・) CSPは仕組み上 Azure AD を指定する必要があるので問題なし Copyright© 2018, @yuiashikaga All Rights Reserved. 21
  22. 22. Azure のサブスクリプションて MSA で作るもの じゃないの? 組織アカウントを起点に作る方法もあります https://account.azure.com/organization/ Copyright© 2018, @yuiashikaga All Rights Reserved. 22
  23. 23. 4. Azure ADの管理者を理解すべし Copyright© 2018, @yuiashikaga All Rights Reserved. 23
  24. 24. Azure AD 主要ディレクトリロール Copyright© 2018, @yuiashikaga All Rights Reserved. 24 全体管理者 課金管理者 パスワード管理者 ユーザー管理者 会社情報とユーザー情報の表示 ○ ○ ○ ○ Office サポート チケットの管理 ○ ○ ○ ○ Office 製品の課金操作と購入操作の実行 ○ ○ ユーザー パスワードのリセット ○ ○ ○ ユーザー ビューの作成と管理 ○ ○ ユーザーとグループの作成、編集、削除、および ユーザー ライセンスの管理 ○ ○ ドメインの管理 ○ 会社情報の管理 ○ 他のユーザーへの管理者ロールの委任 ○ ディレクトリ同期の使用 ○ Multi-Factor Authentication の有効化または無効化 ○
  25. 25. ユーザーへのディレクトリロール割り当て Copyright© 2018, @yuiashikaga All Rights Reserved. 25
  26. 26. ポイント Azure AD の管理者はあくまで Azure AD 内部を管理 Azure AD の全体管理者であっても、Azure サブスクリプショ ン内で適切なロールが割り当たっていない場合、Azure上のリ ソースは管理できない 例外を設けることは可能 Copyright© 2018, @yuiashikaga All Rights Reserved. 26
  27. 27. 5. Azure ADとサブスクリプションの 関係を理解すべし Copyright© 2018, @yuiashikaga All Rights Reserved. 27
  28. 28. Azure サブスクリプションと AAD の関係って? Copyright© 2018, @yuiashikaga All Rights Reserved. 28 Azure サブスクリプション リソースグループ 仮想マシンリソース Functionsリソース SQL DBリソース VNETリソース WebAppリソース Azure ADリソース
  29. 29. Azure サブスクリプションと AAD の関係 Copyright© 2018, @yuiashikaga All Rights Reserved. 29 hogehoge.onmicrosoft.com テナント Subscription A サービス管理者 制限付き管理者 Subscription B サービス管理者 制限付き管理者 Subscription C サービス管理者 制限付き管理者 Office 365 Subscription
  30. 30. Azure サブスクリプションと AAD の関係って? すべてのサブスクリプションは Azure AD テナントを信頼 MSA を使用してサブスクリプション を作成すると、自動的に Azure AD テ ナントが作成 Azure AD テナント間でサブスクリプ ションを譲渡可能 Copyright© 2018, @yuiashikaga All Rights Reserved. 30 Azure AD tenant Sub1 Sub2 Sub3
  31. 31. MSA って Azure AD の中ではどういう位置づけ? Azure AD のユーザーDB にゲストユーザーとして MSA の参照 情報が登録される Copyright© 2018, @yuiashikaga All Rights Reserved. 31
  32. 32. 他のディレクトリのユーザーを登録したい 他ディレクトリのユーザーもゲストユーザーという形で登録可 能 (Azure AD B2B) Copyright© 2018, @yuiashikaga All Rights Reserved. 32
  33. 33. アカウントとサブスクリプションでこんな関係も Copyright© 2018, @yuiashikaga All Rights Reserved. 33 contso.com ディレクトリ 組織アカウント helen@contso.com ユーザー Users Subscription A サービス管理者 = helen@contso.com fabrikam.com ディレクトリ 組織アカウント helen@contso.com ゲストユーザー Users Subscription B 閲覧者 = helen@contso.com
  34. 34. 複数のディレクトリをどう切り替えるか Copyright© 2018, @yuiashikaga All Rights Reserved. 34
  35. 35. ディレクトリの変更も可能だけど。。。 現行ディレクトリをもとに Azure の管理者を決めているので、 その情報がすべてなくなってしまう Copyright© 2018, @yuiashikaga All Rights Reserved. 35 contso.com ディレクトリ Subscription A fabrikam.com ディレクトリ Subscription B
  36. 36. ディレクトリを一緒にしておくといいことも ネットワーク系の機能が使える (VNET Peeringとか) リソースのサブスクリプション間移動が可能 Copyright© 2018, @yuiashikaga All Rights Reserved. 36
  37. 37. 6. Azure の管理者を理解すべし Copyright© 2018, @yuiashikaga All Rights Reserved. 37
  38. 38. 最上位の Azure ロール アカウント管理者 ← 組織アカウントがおススメ 課金情報の管理 サブスクリプション内のリソース管理は出来ない サブスクリプション毎に1人 サブスクリプションを作成可能 サービス管理者を指定可能 (デフォルトはアカウント管理者と同じ) サービス管理者 (所有者) サブスクリプション内のすべてのリソースを管理 共同管理者を指定可能 (今は非推奨) Copyright© 2018, @yuiashikaga All Rights Reserved. 38
  39. 39. 一般的な管理者 共同管理者 Azureの各種サービスを利用するための管理者 現在は非推奨 (下の制限付き管理者を適切に設定する) • 現行の管理ポータル上では「所有者」となってしまう 制限付き管理者 RBACにて設定された範囲のリソース管理者 • 例えば仮想マシンの管理のみが行える管理者 Copyright© 2018, @yuiashikaga All Rights Reserved. 39
  40. 40. Copyright© 2018, @yuiashikaga All Rights Reserved. 40
  41. 41. 制限付き管理者 (RBAC 組み込みロール) Copyright© 2018, @yuiashikaga All Rights Reserved. 41
  42. 42. 7. むやみやらたに管理者ロールを 渡すべからず Copyright© 2018, @yuiashikaga All Rights Reserved. 42
  43. 43. Role-Based Access Control (RBAC) Azure のリソースに対して細かいアク セス制御が可能 スコープごとにセキュリティプリン シパルに対しロールを割り当てるこ とでアクセスを許可 セキュリティプリンシパル:ユーザー、 グループ ロール:ビルトイン or カスタムロール スコープ:サブスクリプション、リソー スグループ、個々のリソース Copyright© 2018, @yuiashikaga All Rights Reserved. 43
  44. 44. やりがちなこと ユーザーに権限割り当てたいけど、RBACとか難しいし。。。 いちいちリソース毎に権限管理とか疲れちゃうし。。。 全員に管理者権限与えておけばいっか。。。 Copyright© 2018, @yuiashikaga All Rights Reserved. 44
  45. 45. Copyright© 2018, @yuiashikaga All Rights Reserved. 45
  46. 46. RBACの一例 Copyright© 2018, @yuiashikaga All Rights Reserved. 46 サブスクリプション リソースグループ リソース 責任者 作業者 特定作業者 例)仮想マシンの管理のみ 監視者 “作業時のリスクを減らすために最小限のロール割り当てを行ってください”
  47. 47. 8. リソースは適切に分けるべし Copyright© 2018, @yuiashikaga All Rights Reserved. 47
  48. 48. Resource Group 関連するリソースをまとめて管理 同一サブスクリプション内の Azure 仮想マシ ン、ストレージ アカウント、SQL DBなど、種 類の異なるさまざまなリソースをグループ化 できる それぞれのリソースは、1 つのリソー ス グループにのみ存在 別リージョンのリソースも同一のグ ループで管理可能 リソースグループ単位で削除可能 Copyright© 2018, @yuiashikaga All Rights Reserved.
  49. 49. Resource Group の分け方例 Copyright© 2018, @yuiashikaga All Rights Reserved. 49 “RBACと組み合わせて役割やシステム特性に応じたグルーピングを行う”
  50. 50. 9. リソース管理の便利機能を 抑えておくべし Copyright© 2018, @yuiashikaga All Rights Reserved. 50
  51. 51. リソースロック 管理側ですべてのユーザーに削除禁止または読み取り専用のど ちらかの状態にリソースをロックする機能 ユーザーの誤操作を防止する Copyright© 2018, @yuiashikaga All Rights Reserved. 51
  52. 52. Azure Resource Policy サブスクリプション、リソースグループごとにリソースに対す る規則を定義することが可能 RBACと違いデプロイ中のリソースプロパティに焦点 リソース場所、SKUなどを制御可能 Copyright© 2018, @yuiashikaga All Rights Reserved. 52
  53. 53. Copyright© 2018, @yuiashikaga All Rights Reserved. 53
  54. 54. Copyright© 2018, @yuiashikaga All Rights Reserved. 54
  55. 55. Management Group (Preview) 複数のサブスクリプションを管理するためのグループ グループごとにRBACを付与することが可能 Copyright© 2018, @yuiashikaga All Rights Reserved. 55
  56. 56. 10. サポートは必ず契約しておくべし Copyright© 2018, @yuiashikaga All Rights Reserved. 56
  57. 57. 有償サポートは必ず契約しましょう Copyright© 2018, @yuiashikaga All Rights Reserved. 57
  58. 58. 有償サポートを契約する理由 課金やクオータ (コア数などの制限) 解除は無償サポートの範囲 テクニカルサポートは、有償サポート契約が必要 Azure に障害が発生した場合、24*7の緊急対応を要請するには 緊急度A(sev .A) に対応したスタンダード以上の契約が必要 Copyright© 2018, @yuiashikaga All Rights Reserved. 58
  59. 59. プログラム特典のサポートを利用する方法も Microsoft Partner Network MSDN Signature Cloud Support Copyright© 2018, @yuiashikaga All Rights Reserved. 59
  60. 60. まとめ Copyright© 2018, @yuiashikaga All Rights Reserved. 60
  61. 61. まとめ 各種契約の制限を理解しましょう アカウントは組織アカウントで統一しましょう Azure AD 管理者 != Azure サブスクリプション管理者 リソースには最小限のRBACを設定しましょう サポートは必ず契約しましょう Copyright© 2018, @yuiashikaga All Rights Reserved. 61
  62. 62. アンケートにご協力ください! Compass Interract2018ページにアンケートへのリンクとQRコードがあります https://interact.connpass.com/event/77420/ アンケートリンク • https://forms.office.com/Pages/ResponsePage.aspx?id=0emDRJ2XDkOMJVhhhABT1kY0s84rWEFM h6lvLSQ5jRNUQkQ1NzRUV1BZVUY5T1JNUVNSWlhCMlhNMy4u Copyright© 2018, @yuiashikaga All Rights Reserved. 62

×