彷徨うITエンジニアの雑記

ITインフラ関連の雑記とか

個人でMS Azureの実習を始める手順①

Microsoftアカウントの準備

今回は個人学習用なので、個人のMicrosoftアカウントを使用して始める。企業でOffice365、MS365を契約済みの場合、Azure AD Basicのラインセンスで既に組織アカウントが作成されているはず

  • 適当なMicrosoftアカウントを作成する
    • このドキュメントでは hogexxx@example.com とする

1. 適当なレジストラ独自ドメインを取得する

さくらインターネットの場合、ドメイン取得 + メールボックス = 2,934円/年

何かしらサーバを契約しないとDNSのゾーンファイルを管理できなかったので、一番安いメールボックスを契約した。
このドキュメントでは aabbcc12345.net とする

2. MicrosoftアカウントでAzureを新規契約する

https://azure.microsoft.com/ja-jp/free/ の "Start free" ボタンからウィザードに従って無料アカウントを作成する。

Microsoftアカウントがサブスクリプションの「アカウント管理者」兼「サービス管理者」に設定される。
「アカウント管理者」、「サービス管理者」は従来のサブスクリプション管理者の役割で強力な権限を持つ。割り当ての変更方法は後述する。

以下のサブスクリプションが作成され、下記「規定のディレクトリ」と紐づけされる

サブスクリプション Azureサブスクリプション1(名称は後から変更可)

以下のAzure AD/テナントが作成される

ディレクトリ名 規定のディレクトリ(名称は後から変更可)
ライセンス Azure AD Free
プライマリドメイン hogexxxexample.onmicrosoft.com

Azure ADに以下のユーザが作成される

ユーザープリンシパル hogexxx_example.com#EXT#@hogexxxexample.onmicrosoft.com
Azure ADロール グローバル管理者
ソース Microsoft Account

3. Microsoftアカウントに全Azureリソースへのアクセス権を与える

Azure Portal: 規定のディレクトリ ➡ プロパティ ➡ Azure リソースのアクセス管理

'自分のMicrosoftアカウント' は、このテナント内のすべての Azure サブスクリプションおよび管理グループへのアクセスを管理できます Yes

これを有効にしておかないと、MicrosoftアカウントでAzure MFAの管理画面等にアクセスする際、組織アカウントを要求されて画面遷移出来ない。
別の組織アカウントを管理者として運用するつもりであれば、多分不要な手順。

4. Azure ADにカスタムドメインを追加し、プライマリドメインを変更する

ドメイン名を追加する

Azure Portal: Azure AD ➡ カスタムドメイン名 ➡ カスタムドメインの追加

取得した独自ドメインを入力すると、ゾーンファイルに追加するTXTレコードが表示されるので、1ベンダのゾーン設定画面でレコードを追加する。*1

追加したカスタムドメインをプライマリドメインに変更する

Azure Portal: Azure AD ➡ カスタムドメイン名 ➡ 追加したドメイン名をクリック ➡ ✓プライマリにする

5. Azure ADの管理者用のユーザを追加し「グローバル管理者」のAzure ADロールを割り当て、2要素認証を設定する

Azure Portal: Azure AD ➡ ユーザー ➡ 新しいユーザー

ユーザー名 msazadmin@aabbcc12345.net
名前 mszaadmin
場所 日本
役割(AzureADロール) グローバル管理者

Azure Portal: Azure AD ➡ ユーザー ➡ msazadmin ➡ 認証方法

電話 +81 90xxxxxxxx

作成した組織アカウントでAzureポータルにサインインを試行し、SMSか電話認証を要求されることを確認する。

  • Microsoft Authenticatorのアプリを使用する場合はAzure AD P2ライセンスを購入し、ユーザにアサインする必要がある
  • Azure ADロールの「グローバル管理者」の呼び方(呼び方を統一してほしい。。。)
    • Azure Portal : グローバル管理者
    • Microsoft365管理センター : 全体管理者
    • API : Company Administrator
  • Azure ADロールの「User」について
    • PowershellからAzure AD Roleテンプレートの存在は確認出来るが、Enable出来ないしポータルにも表示されないため、暗黙のロール扱いと思われる
    • Microsoft365からユーザを作成するときのロール選択に、User(no admin center access), Admin center access とあるため、Azure ADのロール無しユーザ=Userロールということっぽい

6. 作成したAzure ADの管理者に「所有者」のAzureロールを割り当てて、サブスクリプションの管理者に設定する

Azure Portal: サブスクリプション ➡ IAM ➡ +追加 ➡ ロールの割り当ての追加

役割(Azureロール) 所有者
アクセスの割当先 ユーザー、グループ、またはサービスプリンシパル
選択 msazadmin@aabbcc12345.net

Azure ADロールと、Azureロールは別ものなので注意。*2

Azure ADロール Azure ADに対するアクセス権
Azureロール サブスクリプション(課金情報)・Azureリソースに対するアクセス権
AWSのIAMロールに相当
Azure初期は「サービス管理者」、「アカウント管理者」、「共同管理者」を使用していたが、現在はロールベースに変わって新規作成出来は出来ない
用途別にビルトインのロールが用意されているが、カスタムロールの作成も可能
「所有者」ロールは従来の「サービス管理者」に相当する

従来のAzureロールの変更方法

従来の管理者ロールはAzureポータルから新規割り当て出来ないが、Azure契約者のアカウントに「サービス管理者」、「アカウント管理者」が割り当てられるため、必要に応じて割り当ての変更を申請する必要がある。

サービス管理者の変更 Azure Portal: サブスクリプション ➡ プロパティ ➡ サービス管理者の変更*3
アカウント管理者の変更 Azure Portal: コストの管理と請求 ➡ サブスクリプション ➡ 課金所有権を譲渡したいサブスクリプションをクリック ➡ 課金所有権の譲渡*4

7. EMS E5の90日評価版ライセンスをアクティブ化する

EMS E5が無いと色々検証出来ないので試用版をアクティブ化する。
EMS E5にはAzure AD P2, Multi-Factor Authentication, Intune, Azure Identity Protection等が含まれる。*5

Azure Portal: Azure AD ➡ ライセンス ➡ 全ての製品 ➡ 試用/購入 ➡ 右ペインから EMS E5 のアクティブ化をクリック

なお、EMSライセンスはMicrosoft365プロダクトなので、後述の通りMicrosoft365管理センターからか、適当な販社からボリュームライセンスの購入が多分正規の方法。

8. Office365 Trialの取得

Microsoft365プロダクト(EMS, Office, etc)のライセンスに対する購入・管理・支払いは、Microsoft365管理センターから実行・設定する。
Azureサブスクリプションと課金先が連携しないので注意。
https://admin.microsoft.com/AdminPortal/ (組織アカウントでアクセス)

トライアルライセンスの取得

Microsoft365管理センター -: 課金情報 ➡サービスを購入する ➡ Office 365 E3(≠月極め) ➡ 詳細 ➡ 無料試用版を入手する

支払方法(クレカ等)の設定 Microsoft365管理センター: 課金情報 ➡ 支払い方法
使用中の製品の詳細 Microsoft365管理センター: 課金情報 ➡ お使いの製品
ライセンス利用状況の詳細 Microsoft365管理センター: 課金情報 ➡ ライセンス