Go to Qiita Advent Calendar 2024 Top
LoginSignup
3
8

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

俺でもわかるシリーズAdvent Calendar 2017

Day 11
@gamisan9999(Kentaro Kishigami)

初めてAzureにふれた俺がおさえておくべきポイントと絶賛緊縛死している話(しまじろうとの約束編)

Last updated at Posted at 2017-12-09

俺です。

この日記はドキュメントやチュートリアルを読まずにポチポチやって理解したことを書いてるので/dev/nullみたいなもんです。
実際Microsoftから公開されてるどの資料から読めば最強のAzure使いになれるのか、この日記に目を通してしまった優しいAzure使いの方、スッとコメントなげてもらえるとうれしーです。

さてさて、
Azure本気出して使おうと思って、コンピューティングリソースを起動よろしくハローワールドしようと思っていたのですが、
AWSのIAMみたいにアカウントをMFAで縛ったり、親子関係持たせて支払いよろしく哀愁する方法とかあるのないのどーすんだと調べていたら、
掘り続けて辛くなったけどそれなりにAzure始めるときの勘所は掴んだかもイヤホォォウからの深い絶望を味わっているという話です。

深い絶望を味わうってなにいってんだこいつって思うた方は一番下だけ見て下さい。(解決済み)

誰もわかる俺isすきるせっと

  • ひととおりいじったあとドキュメントよむ
  • AWSチョットワカル
  • 英語ヨメナイ

俺がわかったAzureの考え方

AWSだとIAMとBillingを抑えれば幸せになります。Azureの場合はAzureAD(AAD)とサブスクリプションです。
特にAADを抑えないと野良テナントできまくって後々辛いと思います。

  • AzureADを中心に考える
  • 企業内で複数の事業運営するイメージ

Azureアカウント超図解

さて超図解。しっくりできるようになるまでつらたんだった。

個人アカウント

MSアカウントに紐付きます。
image.png

企業アカウント

AzureADに紐付きます。弊社は今こんな感じです。
O365については、代表と社員はO365ライセンスしか当ててないけど、俺だけ検証用にE5当ててます。
MSのサブスクリプションは少ないライセンス数でチャレンジがやりやすいからすごくいい。ここまで機能使わねーなって思ったら翌月解約すりゃいいので。

image.png

企業アカウントの考えと金まわり

  • 1企業1アカウントでOK
  • 事業展開で顧客に提供しているアプリや、社内インフラの金勘定はサブスクリプション/リソースグループで割る。どの部署/プロダクトで計上する支払いなのって感覚でOK
  • サブスクリプションとリソースグループの紐付けは変更できない。1サブスクリプションに異なる性質を持つ事業のアプリ(サービス)は作らないほうが良い。
  • 共有ユーザーを作らずグループで箱作って、ユーザーをグループに割り当ててロールを付与するのがよいと考えられる。

AzureADの統合

AzureAD使いつつ、こーゆーケースの時どーすんだって疑問だけちょろっとドキュメント見て調べてみました

AzureADのユーザーをMFAやIPで縛りたい

さて縛ろう。AzureADであれば条件付きアクセスが提供されており、設定できます。新ポータルから利用できます。
ただなぜかユーザーのMFA設定は未だに旧ポータルでユーザー単位で有効化する必要があります。
めんどくせえええええええええええええええええええ。

ぐぐると旧ポータルでの設定記事が多いんですが、現時点だとダウトなのでGoogle様旧ポータル記事はインターネッツから抹消してくださいおねがいします。

条件付きアクセスの設定方法

Azure Active Directory の条件付きアクセス

超注意:条件付きアクセスの設定前は絶対ドキュメント読もうぜ

ドキュメント読む前に、適当にポチポチしてしまったせいで今こーなってる。はっはっは。

image.png

つーら。

MFA縛りを解く方法

MFAを有効化する単位はグループ/ユーザーで、今回試しに俺だけ縛った結果自爆した格好になっている。
そこで他に管理者ロールをもつ代表にそっとメッセを出す。

image.png

Azureポータルあまりふれたことない人でもさくさく解除できるよ。
イヤホォォウ!!

image.png

なんでこーなったのか

ちょいちょい調べた結果以下の通り。
今回条件付きアクセスを使ったのでAzure Premium P1以上のライセンスを条件付きアクセス適用対象のユーザーアカウントに割り当てて置かなければならない。
が、よくわかってなかったのでAzure Premium P1を有効化してない+ライセンスを買ってなかった。
とりあえずP1ライセンスを俺の分だけ便利そうなのでかいました。

(1)Azure Multifactor Authenticationのみ使う場合

  • 旧ポータルからMFA有効化でOK

(2)条件付きアクセスを使う場合

  • 旧ポータルからMFA有効化しなければならない
  • Azure Premium P1以上のライセンスを買って、O365画面から適用対象のユーザーへライセンスを割り当てておく必要がある。
  • 条件付きアクセスを設定する

- Azure Premium P1以上のライセンスを買って、O365画面から適用対象のユーザーへライセンスを割り当てておく必要がある。 をやらないとポータルにログインできなくなる

最高。アイルビーバックAzure

3
8
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
8

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?