microsoft azureを利用する前に必ず知っておきた …microsoft azure...

Microsoft Azureを利用する前に必ず知っておきたいこと

2018/08/28 Ver. 1.0

日本ビジネスシステムズ株式会社

© 2014 Japan Business Systems, Inc. 2© 2014 Japan Business Systems, Inc. 2Copyright © Japan Business Systems, Inc. 2

1. 本ドキュメントの位置付けについて2. Microsoft Azureのライセンスプログラム3. Microsoft Azure利用開始までの流れ4. Microsoft Azure利用における留意事項

• ポータルの種類• ポータルの操作と管理• 管理者アカウントと役割• アカウントの種類と管理• Azure ADテナントとは• Azure ADテナントとテナントの関係• 「テナント」という単語について• Azure ADディレクトリとローカルドメインのID同期• Azure ADディレクトリを一元管理する理由• Azure ADディレクトリ統合イメージ• Azure ADディレクトリ統合の手順

5. サブスクリプションの管理方法• サブスクリプション管理要素• サービス管理者アカウントの種類• Microsoft Azure課金の集計単位• EA契約によるサブスクリプション管理構成例

6. Appendix7. 免責事項

Agenda

※本資料は2018年8月28日時点の情報に基づくものです。本資料閲覧時にはシステム改修等で変更されている可能性もございます。


Microsoft Azureは、Microsoft社が用意したガイドを用いて利用を開始することができますが、これまでのMicrosoftクラウドサービスの利用状況や今後の利用目的によって、利用開始前にAzure ADテナントの調査および設計作業を行うことが必要となります。

上記を怠ったために、以下の状況に陥る事例がありました。

利用を開始したあとで意図せず管理工数が大きくなるユーザー管理が二重管理になる Microsoft Azure環境に設定した権限が失われる

本ドキュメントにはAzureを中心にMicrosoftのクラウドサービス群の利用を開始する前に必ず認識いただきたい重要な項目を記載してあります。本ドキュメントを活用し適切な環境を整えてからサービスをご利用下さい。

<対象となるお客様>• これから新規にMicrosoftクラウドサービス (Azure、Office365など)の導入を検討• 既にいずれかのMicrosoftクラウドサービスをご利用いただいていて、追加でMicrosoft

Azureの契約を検討

1.本ドキュメントの位置付けについて


Microsoft Azureには、様々なお客様の用途に合わせたライセンスプログラムが用意されています。ライセンスプログラムの種類をご理解いただき、お客様の条件にあったものを選択いただき、ご契約ください。

2.Microsoft Azureのライセンスプログラム

項目 MOSP Open CSP EA/ESA SCE

対象のお客様• 使った分だけ月払いしたい• すぐにでも利用開始したい

(Web経由での申し込み)

• Azureを少額の前払いで利用したい

• 前払いの残額がなくなったらサービスが停止しても構わない

• 使った分だけ月払いしたい• CSP提供者の付加価値を利

用したい

• 全社規模で利用状況を管理したい• Azureを前払いで利用したい• 前払いの残額がなくなってもサービス利用を続けたい

既にEA/ESA契約を締結しており、契約やテナントを分けたくない

既存EA/ESAとは契約やテナントを分けて運用したい

契約期間期間なし期間なし(購入金額の有効期間は1年)

CSP提供企業から利用分を毎月請求 3年間

購入条件特になしAzure Service Subscription を1本以上購入(1本：¥11,200)

CSP提供企業から利用分を毎月請求

• OfficeなどをのEA/ESA契約を締結済み

• Azure MC※1を発注し利用が可能

• Azure単体で契約可能• 契約期間内は、毎年約

140万円のMC購入が必要

請求クレジットカード

orMSからの請求書

Azure Service Subscription 購入分をリセラーから請求 CSP提供社からの請求 MC購入分 / 超過料金をLSP※2から請求

支払い方法利用分を月払い(後払い) Azure Service Subscription購入分を前払い利用分を月払い(後払い) • MC：購入分を前払い

• 超過料金：利用分を後払い

契約先マイクロソフト社マイクロソフト社 CSPパートナーマイクロソフト社

サポート提供社マイクロソフト社マイクロソフト社 CSPパートナーマイクロソフト社

サポート購入 MOSPで購入 MOSPで購入 CSPパートナーから購入ライセンス契約で購入可能

Reserved Instanceの提供〇 × 〇〇

Market Placeの提供〇 × 〇〇

※1 MC … マネタリーコミットメント※2 LSP … Licensing Solution Partnerマイクロソフトオンラインサブスクリプション契約 (https://azure.microsoft.com/ja-jp/support/legal/subscription-agreement/)

https://azure.microsoft.com/ja-jp/support/legal/subscription-agreement/


Open CSP EA(ESA/SCE含む)

Microsoft Azureをご利用いただくまでの流れを以下に示します。

3.Microsoft Azure利用開始までの流れ

ライセンス契約

サブスクリプション作成

Azureポータルへサインイン(初めに作成したMicrosoftアカウント)


サブスクリプション作成(CSPパートナー側作業)

Azureポータルへサインイン(初めに作成した組織アカウント)


EAポータルへサインイン(初めに作成したMicrosoftアカウント)

アカウント管理者作成※1

(必要に応じて「部署」を作成)

アカウントポータルへサインイン(作成したアカウント管理者)

サブスクリプション作成

Azureポータルへサインイン(作成したアカウント管理者)

※1 EA契約の場合、複数のポータル、管理者アカウントで構成され、サブスクリプションを管理していく必要があるため、将来的な利用方針および課金管理方法を考慮し、管理構造を設計する必要があります。(最適な利用方法のご提案が必要でしたら弊社に依頼ください)

アカウント準備Microsoft Azureを新規契約する際、既に Microsoft AzureやOffice 365を契約しているか否かによって、契約するライセンスプログラムの選定、管理者アカウントを「Microsoftアカウント」、「組織アカウント」のどちらで契約するのかを検討する必要があります。(CSPはライセンス契約時に管理アカウントとして組織アカウントを作成するか、既存の組織アカウントを利用するかを選択します)

※最適な利用方法のご提案が必要でしたら弊社に依頼ください。

管理アカウント作成(CSPパートナー側で組織アカウント作成)

既存の組織アカウントを利用するように

構成


■ポータルの種類Microsoft Azureは、複数のポータルで管理されます。各ポータルの用途、操作を理解いただきご利用ください。

4.Microsoft Azure利用における留意事項

EAポータルアカウントポータル Azureポータル

エンタープライズ管理者の追加、部門作成およびその管理者の指定、アカウント作成およびその管理者の指定、Microsoft Azureの利用料金参照が可能。

新規サブスクリプションの作成や停止、名前の変更、利用状況の管理、支払い方法の変更、サブスクリプションの譲渡、サービス管理者や所有者の任命といった管理操作が可能。

リソースやリソースグループの管理操作、サブスクリプションに設定されたクォータの増加、利用可能リージョンの拡大、各種お問い合わせ、といったAzure サポートとの連絡が可能。

EA Open EA Open CSP EA


■ポータルの操作と管理5種類の管理者ロール構造と、3つのポータルの関連性は下図のようになります。目的に合わせて使い分ける必要があります。


EAポータル

アカウントポータル

Azureポータル

エンタープライス管理者

部署管理者

アカウント管理者

サブスクリプションサブスクリプションサブスクリプションサブスクリプション


サービス管理者所有者所有者…





部署管理者を設定しない運用も可能(部署を作成しない)EA

Open EA

Open CSP EA


■管理者アカウントと役割Microsoft Azureには、5種類の異なる役割を持った管理者がいます。このうち、EA契約

に特化した管理者は「エンタープライズ管理者」と「部署管理者」となります。


管理者アカウント役割関連するライセンスプログラム

エンタープライズ管理者EA契約の全体管理者で、部署管理者やアカウント管理者を管理するように指定された Microsoft アカウント/ 組織アカウント。複数登録可。

部署管理者部署を管理、新しいアカウント管理者を作成・管理するように指定された Microsoft アカウント / 組織アカウント。複数登録可。

アカウント管理者サブスクリプションとサービス管理者を管理するMicrosoft アカウント / 組織アカウント。複数登録可。

サービス管理者Microsoft Azure の各種サービスを利用するための管理者 (Microsoft アカウント / 組織アカウント)。サブスクリプション毎に 1 アカウントのみ登録可。

所有者Microsoft Azure の各種サービスを利用するための管理者 (Microsoft アカウント / 組織アカウント)。サブスクリプション毎に複数登録可。

EA

EA

Open EA

Open EA

Open CSP EA


■管理者アカウントと役割各管理者アカウントが実施できるオプションを以下に示します。


機能操作ポータルエンタープライズ管理者部署管理者アカウント

管理者サービス管理者所有者

エンタープライズポータルへのアクセス EA ○ ○ ○ × ×

エンタープライズ管理者の追加・削除 EA ○ × × × ×

すべてのアカウントのサービス利用状況・請求額の表示 EA ○ × × × ×

部署管理者の追加・削除 EA ○ ○ × × ×

部署の作成 EA ○ × × × ×

部署の管理 (例: 部署とアカウントの紐づけ) EA × 〇 × × ×

アカウント管理者の追加・削除 EA ○ ○ × × ×

サブスクリプションの作成・削除アカウント × × ○ × ×

サービス管理者の変更アカウント × × ○ × ×

所有者の追加・削除 Azure × × × ○ ○

Azureポータルへのアクセス(実際のサービス利用) Azure × × × ○ ○

• エンタープライズ管理者は複数登録いただけます• EA 契約の有償サポートプランは、契約に紐づくすべてのサブスクリプションにて利用可能です。• 1つのアカウントを、エンタープライズ管理者とアカウント管理者の両方に割り当てることができます• 1つのサブスクリプションに対し、複数のアカウント管理者は登録できません• 初期設定では、アカウント管理者がそのままサービス管理者になっています• アカウント管理者とサブスクリプションの紐付きをお客様側で変更することはできません。

参考サイト：https://blogs.msdn.microsoft.com/dsazurejp/2015/10/21/azure-4/

https://blogs.msdn.microsoft.com/dsazurejp/2015/10/21/azure-4/


■アカウントの種類と管理Microsoft Azureの3つのポータルは、「個人アカウント」と「組織アカウント」の2種

類のアカウントのどちらか、あるいは両方で利用することができます。同じメールアドレス、利用者であっても種類が異なるアカウントは別のアカウントとな

りますので注意が必要となります。


個人アカウント• Microsoftアカウント• 個人が任意のメールアドレスで作成できるアカウント※

※ただし、Azure Active Directoryに登録されているメールドメインでは新規取得はできない

組織アカウント• Azure Active Directoryで管理されたアカウント• Microsoft Office 365のアカウント• 個人で自由に取得はできず管理者によって作成される


4.Microsoft Azure利用における留意事項■Azure ADテナントとはAzure ADテナントとは、Azure ADの1つのディレクトリのことを指します。Microsoft Azureサブスクリプションと Azure Active Directory(以下、Azure AD)の関係ですが、 Microsoft AzureのサブスクリプションにAzure ADが含まれているというイメージを持たれている方もいるかもしれませんが、それは間違いです。

正しくはMicrosoft AzureサブスクリプションとAzure ADには包含関係は無く独立しており、Microsoft Azureサブスクリプションは必ず1つのAzure ADに関連付けられていますので、両者の関係性は右下図のようになります。

この例ではMicrosoft Office 365で利用しているアカウント情報をMicrosoft Azure のサブスクリプションも参照し、サブスクリプションへのアクセス権限の付与などにもそのまま利用します。

Azure AD

Azureサブスクリプション Azure ADAzureサブスクリプション

Azureサブスクリプション

Microsoft Office 365


4.Microsoft Azure利用における留意事項■Azure ADテナントとテナントの関係

Azure ADテナントと関連する言葉として「テナント」という言葉があります。テナントとは、Microsoftクラウドを契約した企業のことを指します。Microsoft社との契約は、基本的には企業ごとに一つの契約となります。

企業によっては、一つのテナントに対して本番環境、検証環境用などで認証を分けるために複数のAzure ADディレクトリを持つこともありますが、一つのディレクトリで一元管理することを推奨いたします。

jbs-a.comjbs-b.com

jbs-c.comjbs-d.com

Azure AD

テナント

jbs-a.comjbs-b.comjbs-c.comjbs-d.com

Azure AD

テナント

カスタムドメインカスタムドメイン

※カスタムドメインは複数登録できますが、複数のAzure ADディレクトリに同じカスタムドメインを登録することはできません。

推奨


4.Microsoft Azure利用における留意事項■「テナント」という単語について

「テナント」という単語は定義が曖昧であり、以下のような様々な意味合いで同じ言葉が使われるケースがあります。

会話の中で「テナント」という言葉を使う場合にはそれが何を指すのか十分注意してください。

• Microsoft社と契約した一企業単位をテナントと表現• グループ会社を含めた企業全体をテナントと表現• Azure ADディレクトリ単位をテナントと表現


4.Microsoft Azure利用における留意事項■Azure ADディレクトリとローカルドメインのID同期

Microsoft Office 365を契約されている場合、オンプレミス環境のローカルドメインとAzure ADでID同期が行われていることが推奨されています。

Microsoft Azure用のAzure ADと、Microsoft Office 365用のAzure ADを分けて管理する場合、複数のAzure ADに同じカスタムドメイン(xxxx.onmicrosoft.com以外のドメイン)を登録することができないため、異なるドメインを用意する必要があります。

また、単一のActive Directoryから複数のAzure ADに同期することもできません。Active DirectoryとAzure ADとの対応は1対1となります。

※xxxx.onmicrosoft.comドメインは、Azure ADを構成した際に設定される既定のドメイン名となります。

オンプレミス環境のローカルドメインをAzure

ADへ同期


4.Microsoft Azure利用における留意事項■Azure ADディレクトリを一元管理する理由

複数のMicrosoftクラウドサービスを契約される場合、以下のように運用管理面、セキュリティ面の観点から、Azure ADディレクトリは一元化することを推奨いたします。

• IDとパスワードがクラウドサービスによって異なると管理が煩雑となる• 不正アクセスがあった際、監査ログからユーザの絞り込みが困難となる

Azure AD

Azureサブスクリプション

Microsoft Office 365オンプレミス

ドメインコントローラ

jbs.com

カスタムドメイン

ID同期



非推奨構成推奨構成

Azure AD

EAポータル


Azureポータル(サブスクリプション)


Microsoft Office 365(その他Microsoftクラウドサービス)

個人アカウント

個人アカウント

組織アカウント



Azure AD

EAポータル




Microsoft Office 365(その他Microsoftクラウドサービス)






■Azure ADディレクトリ統合イメージMicrosoft Azureで使用する3つのポータルに限らず、Microsoft Office 365を含めた全

てのMicrosoftクラウドサービスを、単一のAzure ADで管理することを推奨します。


4.Microsoft Azure利用における留意事項■Azure ADディレクトリ統合の手順

Microsoftクラウドの利用状況に応じたMicrosoft Azure契約時のAzure ADディレクトリ統合手順について、以下に示します。(※契約済みのライセンス上でAzure ADが正しく運用されていることが前提となります)

契約済みライセンス Open新規購入 CSP新規購入 EA新規購入他Microsoftクラウドサービス(Office 365等)

新規購入

Open契約あり既存Azure ADに登録された組織アカウントで契約、サブスクリプションを作成する

既存Azure ADに登録された組織アカウントで契約、サブスクリプションを作成する

EA契約後、既存のサブスクリプションをEA契約内にサブスクリプション転送することを推奨


CSP契約ありCSP契約でサブスクリプションの追加購入することを推奨


EA契約後、既存のサブスクリプションをEA契約内にサブスクリプション転送することを推奨

既存Azure ADに登録された組織アカウントで契約、サブスクリプションを作成

EA契約ありEA契約内でサブスクリプションを追加作成することを推奨

EA契約内でサブスクリプションを追加作成することを推奨

EA契約内でサブスクリプションを追加作成することを推奨


他Microsoftクラウドサービス(Office 365等)契約あり






5.サブスクリプションの管理方法■サブスクリプション管理要素

Microsoft Azureの「サブスクリプション」とは、課金管理、リソース管理を行うための1つの単位となります。

そのサブスクリプションを管理するのが「サービス管理者」、「アカウント管理者」、「部署管理者」、「エンタープライズ管理者」となり、以下に各管理者アカウントの役割を記載します。

管理者役割説明

エンタープライズ管理者権限管理各管理者アカウントの管理

部署管理者コスト管理利用料のクォータ制限

アカウント管理者予算管理プロジェクト、組織の予算

サービス管理者課金管理、リソース管理 Microsoft Azure利用料金、リソースの管理


5.サブスクリプションの管理方法■サービス管理者アカウントの種類

サブスクリプションは、アカウント管理者を紐づけて作成されるため、アカウント管理者がサービス管理者となり、サブスクリプションを所有、管理します。

サブスクリプションに紐づくAzure ADは、権限を保持していれば「ディレクトリを変更する」操作により紐づけ先Azure ADディレクトリの変更が可能です。

サービス管理者は、サブスクリプションの中で他のユーザーに対してロールベースでアクセス制御を行えます。

このときに参照、設定可能なユーザーおよびグループは下記のどちらかのみとなります。

• 組織アカウント (サブスクリプションに紐付いたAzure AD内のアカウント)• 個人アカウント (Microsoftアカウント)

※Azure ADにカスタムドメインが登録されているメールアドレスを利用している個人アカウントは設定不可

図1 Azure ADディレクトリ図2 アカウント


■Microsoft Azure課金の集計単位Microsoft Azureの課金集計を効率的に実施するためには、課金することを前提とした構

造を作成しておく必要があります。そのため、Microsoft Azureの構造設計と課金構造の設計を一致させることが重要となり、

事前に設計しておかなければ課金管理ができなくなってしまう恐れがあります。

5.サブスクリプションの管理方法

名称内容作成方法 EA CSP 備考

エンタープライズ契約またはテナント

CSPの場合はテナント、EA契約の場合はEA契約単位で管理契約時に提供〇〇

部署所属しているアカウントおよびサブスクリプションをまとめて管理

部署は必須でないが、アカウントを所属させ管理することが可能〇 -

アカウント所有しているサブスクリプションをまとめて管理

サブスクリプションを作成するには必須〇 -

サブスクリプションサブスクリプション内のすべてのサービスをまとめて管理サービスを実行できる環境の単位〇〇

タグタグ付けされたサービス(リソース)をまとめて管理サービスデプロイ時付与〇 - ポリシーでタグ必須に

することは可能

リソースグループリソースグループ毎に管理サービスデプロイ時付与〇〇

サービス(リソース) 最小単位サービスデプロイ時〇〇


■EA契約によるサブスクリプション管理構成例弊社が推奨するEA契約時の管理者アカウント構造、Azure ADディレクトリ統合の構成例を以下に示

します。なお、アカウントは全てMicrosoft Office 365のAzure ADディレクトリで管理された組織アカウントで構成します。

5.サブスクリプションの管理方法

Azure ADエンタープライス管理者

Ichiro.Sato

クラウドプラットフォーム部Jiro.Suzuki

アカウント管理者Saburo.Takahashi

サブスクリプションMI2G

サブスクリプションMI1G

サブスクリプションMI3G サブスクリプション

サービス管理者Saburo.Takahashi

Rokuro.Ito

アカウント管理者Shiro.Tanaka

サービス管理者Shiro.Tanaka

Shichiro.Yamamoto

サービス管理者Goro.Watanabe

Hachiro.Nakamura

サービス管理者Goro.Watanabe

Kuro.Kobayashi

Ichiro.SatoJiro.SuzukiSaburo.TakahashiShiro.TanakaGoro.WatanabeRokuro.ItoShichiro.YamamotoHachiro.NakamuraKuro.Kobayashi

カスタムドメイン

jbs.com


アカウント管理者Goro.Watanabe

• コスト管理(利用料のクォータ制限)

• 予算管理(プロジェクト、組織の予算)

• 権限管理(各管理者アカウントの管理)

• 課金管理 (Azure利用料金)• リソース管理 (Azureリソース)


■過去事例の紹介①Azure担当者の変更作業にて意図せずAzureサブスクリプションの権

限が初期化されてしまった事例

1. お客さまにて担当者の変更(引き継ぎ)の必要が発生した2. 新規担当者のアカウントに対してAzureサブスクリプションの転送操作を行った3. Azureサブスクリプションは正常に転送されたが、新担当者のみしかAzure管理ポー

タルにアクセスできない状況となった

この事例では正しくAzureサブスクリプションの転送操作を行っていただきました。しかし、転送元と転送先アカウントはどちらもマイクロソフトアカウントでした。Microsoftアカウント間でのサブスクリプション転送操作では権限の初期化が発生します。この結果、権限が初期化されました。

アカウントにはMicrosoftアカウントではなく組織アカウントを利用していれば、防げた問題でした。(組織アカウント間でのサブスクリプション転送であれば権限は初期化されない)

6.Appendix


■過去事例の紹介②不要な新規Microsoft Azure契約を締結してしまった事例

1. 組織内ですでにMicrosoft Azureを利用していた2. 現在の管理者に都度操作依頼をする運用を行っていた3. 現管理者とは別のユーザーがAzureポータル上での管理を行いたい状況があった4. 要望の実現のために別途新規のMicrosoft Azure契約を結んだ

この事例では、本来は既存のサブスクリプションに対して新規ユーザーの権限を付与する対応を行えばよいだけであり、新規の契約は不要でした。

ですが、Microsoft Azureの構造の理解が不足している状況で無駄に新規契約を結ぶ対応を取ってしまいました。

6.Appendix


■過去事例の紹介③毎月の利用料集計に工数が必要な状況になってしまった事例

1. 必要に応じてリクエストベースでAzureサブスクリプションを払い出し、利用料金はサブスクリプション毎に集計可能とする設計で運用を行っていた

2. Azureサブスクリプションの管理者が「所有者」権限を別ユーザーに払い出した3. 別ユーザーが同一Azureサブスクリプション内で別の用途のシステムを構築した4. 結果的に単一Azureサブスクリプション内で利用料金をリソースごとに把握、集計す

る必要が発生してしまった

この事例は、料金集計単位の定義とユーザーの権限が曖昧なまま利用を開始してしまい、利用実態に合わせて料金集計作業側で工夫せざるを得なくなった例です。

ユーザーに払い出す権限をコントロールし、ルールに合致するようにポリシーをシステム的に定義する等の対応をすることで防げた事態でした。

6.Appendix


■過去事例の紹介④ユーザー管理が二重管理になってしまった事例

1. Microsoft Office 365を利用していた2. CSP契約にてMicrosoft Azureの利用を別途開始した3. Microsoft Azureの権限管理にMicrosoft Office 365のユーザーおよびグループを利

用したい状況となった4. 当初CSP契約締結時に新規にAzure ADを作成してしまったためMicrosoft Office 365

のユーザーおよびグループは利用できず、二重管理となってしまった

この事例は当初Microsoft Azure、Microsoft Office 365、Azure ADおよびCSP契約の関係性をよく理解していない中でCSP契約を結んでしまった例です。

CSP契約は複数の会社と結ぶことができるためより注意が必要です。

6.Appendix


本書に記載した情報は、記載時点において、お客様がMicrosoft Azureを利用される際の参考のため提供するものです。JBSは絶えず変化する市場に対応しており、記載情報に関して、正確性等を保証するものではなく、いかなる責務を負うものではありません。

本書の著作権等はJBSまたは第三者に帰属しています。本書の利用に際しては著作権等の遵守をお願いいたします。著作権法上認められている場合を除き、JBSの書面による明確な許可なく、本書の如何なる部分についても、転載、データベース化やネットワーク公開等は禁止されています。

本書に関し、JBSは特許権等の知的財産権を保有する場合があります。本書の提供は、これらの知的財産権のライセンスを与えるものではありません。

7.免責事項

microsoft azureを利用する前に必ず知っ ておきた …microsoft azure...

Documents

microsoft azureを利用する前に必ず知っておきた …microsoft azure...