Azure の契約種類としては、MOSP、CSP、EA/ESA/SCE などがあります。各契約の種類の違いについての説明は、本記事では省きます。この中の EA/ESA/SCE 契約で Azure を始める場合は、EA ポータルを使い、会社のような組織として Azure をご利用するための準備が必要です。
この投稿では、EA ポータルを初めて使うための方法と、そのあとの使い方についてご紹介します。本投稿が、組織として Azure を本格的に活用していくための最初の一歩の力になれば幸いです。
EA ポータルとは
EA ポータルとは、EA/ESA/SCE 契約をされているお客様が、組織としての契約に紐づく Azure サブスクリプションを払い出したり、その作業を特定の人に限定させるときに使うポータル画面です。EA ポータルではまた、EA/ESA/SCE 契約の中で、どの部署や組織が、どの Azure サービスを、いくら位使ったか? といったコスト管理にも役立ちます。
なお EA ポータルは、Azure のリソース、例えば VM インスタンスやSQL Database などの作成や管理を行う Azure ポータルとは異なります。
EA ポータルを使い始める前に
EA ポータルにまだ誰もサインインしたことがない状態では、EA/ESA/SCE 契約をされていて、Azure Prepayment を購入されていたとしても、有効化されていません。つまりまだ Azure を使える状態になっていません。
最初のエンタープライズ管理者で EA ポータルにサインインすることが、EA/ESA/SCE 契約において Azure を使い始める第一歩になります。
★ 理解しよう①「エンタープライズ管理者とは」
エンタープライズ管理者とは、EA 契約の全体管理者で、後述する部署管理者やアカウント所有者を管理するように指定されたユーザです。
最初のエンタープライズ管理者には、EA ポータルへの招待メールが届きます。通常、この招待メールが届くユーザは組織の Azure AD のユーザです。このユーザのメールアドレス、パスワードで EA ポータルにサインインするのが最初の手順になります。
★ 理解しよう②「EA ポータルの階層と管理者」
EA ポータルでは、組織として Azure サブスクリプションの払い出しやコストを確認など、管理をしやすくするために、下図のように複数の階層とその管理者が存在します。
- エンタープライズ管理者 - 課金情報の参照。Azure Prepayment の表示を行う
- 部署管理者 - 部署の管理者として、管理下のアカウント所有者の課金情報の参照を行う.
- アカウント所有者 - サブスクリプションの作成、課金情報の参照を行う。このアカウントにメンテナンス情報などがメール通知される。1 サブスクリプションに 1人.
- サービス管理者 - Azure ポータルの管理者。サブスクリプションに 1人.
EA ポータルを使い始める
では EA ポータルにサインインし、各種設定を行っていきましょう。この記事の Goal は、EA ポータルで必要な手順を行い、最終的には EA/ESA/SCE に紐づくサブスクリプションを払い出すことです。
手順は 1. から10. まであります。
1. 招待メールを確認
以下のような招待メールが届いていることを確認します。
もし招待メールが届いていない場合、最初のエンタープライズ管理者が異なるメールアドレスで登録されている、または別の人で登録されている可能性が考えられます。社内で確認しても分からない場合は、EA/ESA/SCE 契約をされた LSP (ライセンス ソリューション パートナー)またはマイクロソフト社の担当営業にお問い合わせください。
2. EA ポータルへのサインイン
ブラウザを In-Private モードで開き (Chrome の場合はプライベートウィンドウ)、以下のURLにアクセスします。
ea.azure.com
サインイン画面が表示されますので、1. の招待メールが届いたユーザーのメールアドレス、Azure AD に登録されているパスワードを使用してサインインします。
組織の Azure AD の設定によっては、多要素認証を求められたり、組織の追加の認証画面が表示されるケースがあります。組織に必要な手順を踏んでください。
3. EA ポータルの初期設定
EA ポータルに無事サインインが済むと、以下のような画面が表示されます。
画面上部の "加入契約" "部門" "アカウント" "サブスクリプション" という箇所がタブになっており、それぞれ EA ポータルの階層を表しています。
画面左側 "加入契約の詳細" で、現在の契約内容の情報を確認できます。
この中の "認証レベル" という箇所に注目してください。
認証レベルの設定内容によって、EA ポータルに登録できる各種ユーザの種類が変わります。
- Microsoft アカウントのみ - Microsoft アカウントのみ使用できます。
- 職場または学校アカウント - 1つの Azure AD に登録されているユーザーのみ使用できます。
- テナント間の職場または学校アカウント - 複数の異なる Azure AD に登録されているユーザーを使用できます。
- 混在アカウント - Microsoft アカウントまたは 1つの Azure AD に登録されているユーザのどちらでも利用可能です。
通常、EA ポータルに登録する各種管理者アカウントは、企業で管理しているユーザであるはずなので、"職場または学校アカウント" を使います。
もし、EA ポータルに登録する各種管理者アカウントとして、複数の Azure AD に登録されているユーザを使いたい場合には、"テナント間の職場または学校アカウント" に設定してください。これは例えば、本社用の Azure AD と グループ企業の Azure AD が異なっていて、いずれの Azure AD ユーザも EA ポータルの管理者として登録したいケースが考えられます。
なお、この認証レベルの変更は、"認証レベル" の右端にある鉛筆アイコンをクリックすることで変更できます。
4. エンタープライズ管理者の追加 (オプション)
複数のエンタープライズ管理者を登録したい場合は、画面右上の "+ 管理者の追加" をクリックし、必要な情報を入力します。最後に "追加"をクリックします。
5. 部署と部署管理者の設定 (オプション)
"部署" 階層を作成すると、その部署での Azure の課金状況が把握できます。実際の部署 (情報システム部など)で作成してもいいですし、例えば世界中で Azure を利用されるのであれば "Japan" "US" といった地域ごとの階層を作るのも良いと思います。
部署の作成は、画面上部の "部門" タブに移動し、右上の "+ 部署の追加" をクリックします。必要な情報を入力し、最後に "追加" をクリックします。
6. アカウントとアカウント所有者の設定
アカウントというと、ユーザの意味を想像されるかもしれませんが、ここでのアカウントは、銀行口座の意味でとらえたほうが理解しやすいです。
ではアカウントと所有者を作成しましょう。
画面上部の "アカウント" タブに移動し、右上の "+ アカウントの追加" をクリックします。必要な情報を入力し、最後に "追加" をクリックします。
ここで作成する "アカウント所有者" はとても重要な人になります。というのは、このアカウント所有者がこの後のサブスクリプションの払い出しを行うからです。
例えば、情報システム部門や CCoE (クラウド活用推進組織) が一元的にサブスクリプションの払い出しを行いたい場合は、このアカウント所有者をその部門の人にしてください。そうではなく、各部門にサブスクリプションの払い出しの権限を委譲する場合は、その各部門の管理者をアカウント所有者にしてください。
なお、アカウントにはアカウント所有者は一人だけ登録できます。
7. アカウント所有者で EA ポータルにサインイン
6.で作成したアカウント所有者で、In-Private モードのブラウザから EA ポータルにサインインしてください。
ここからの作業は、アカウント所有者として登録したユーザで行います。
作成したアカウント所有者で EA ポータルにサインインすると、以下の警告画面が表示されるはずです。
この警告画面は、もしアカウント所有者が MSDN サブスクリプションを保持している場合、紐づいている MSDN 特典が失われることと、MSDNなどでこのユーザが所有している既存サブスクリプションはすべて、EA に紐づくサブスクリプションに変換されることを示しています。
問題がある場合は、ここで "キャンセル" をクリックして、再度、どのユーザをアカウント所有者にすべきか検討してください。
ここでは "続行" をクリックしたとして説明を進めます。
注) 警告画面の下の方が隠れてしまって "続行" をクリックできない場合は、ブラウザのスケールを 70% など小さくすると現れます。。
8. アカウント所有者でサブスクリプションを払い出し
画面上部の "サブスクリプション" タブに移動し、右上の "+ サブスクリプションの追加" をクリックします。
)
ここで画面が Azure ポータルに切り替わり、以下の画面が表示されます。
画面には "Microsoft Azure エンタープライズ" というサブスクリプションプランが表示されています。これを選ぶことで、作成するサブスクリプションが EA/ESA/SCE に紐づき、利用料が Prepayment から消費されることになります。
"標準オファーを選択します" をクリックします。
次に以下のような画面が表示されますので、必要な情報を入力し、最後に画面下の "このサブスクリプションは Enterprise Agreement に準拠…" のチェックボックスにチェックを入れてください。それ以外のチェックボックスは任意です。
最後に以下の画面が表示されます。アンケートですので回答は任意です。
9. サブスクリプションの設定
これでサブスクリプションが作成されました。
Azure ポータルで画面右上を見ると、"アカウント所有者" のユーザでサインインしていることが分かります。
このユーザは "サービス管理者" でもあります。"サービス管理者" は自分のサブスクリプションに対する一通りの権限を持っていますので、この後、このサブスクリプションにサブスクリプションの別の管理者を追加したり、"共同管理者" と呼ばれる一通りの権限を持つ管理者の追加もできます。
それではやってみましょう。
Azure ポータル上でサブスクリプションのアイコン(鍵マーク)をクリックして、サブスクリプション画面に移動します。
デフォルトの名前 "Microsoft Azure エンタープライズ" で作成されたサブスクリプションをクリックします。
以下の画面が表示されます。
この画面では、今見ているサブスクリプションに対し、Azure AD のどのユーザにどのような権限を与えるか、いわゆる RBAC を登録します。
画面上部の "+ 追加" をクリックします。
今回は最も強い権限である "共同作成者" として別の Azure AD ユーザを登録してみます。
共同管理者として登録する Azure AD ユーザを検索し "追加" をクリックします。
10. 最後のひと設定
いかがでしょうか。
ここまでの作業で、EA ポータルにて必要な各種作業を行い、さらにアカウント所有者にてサブスクリプションの払い出しを行い、さらにサブスクリプションに対するもう一人の管理者 (共同管理者) を追加できました。
最後に、サブスクリプション名がデフォルトの名前のままになっているのを変更しましょう。たとえばこのサブスクリプションの上にのせるシステムや機能を表す名称にすると良いと思います。
ではやってみましょう。
Azure ポータルにて、画面上部の検索窓に "サブスクリプション" と入力してみてください。検索結果にサブスクリプションのアイコンが表示されると思いますのでクリックしてください。
"Microsoft Azure エンタープライズ" サブスクリプションをクリックします。
以下の画面が表示されます。
"名前の変更" をクリックして、名称を変更します。
こちらの変更が Azure ポータルに反映されるには 10-20分程度かかると思います。
本記事はここまでです。
また別の記事でお会いしましょー。