個人でMS Azureの実習を始める手順①
- Microsoftアカウントの準備
- 1. 適当なレジストラで独自ドメインを取得する
- 2. MicrosoftアカウントでAzureを新規契約する
- 3. Microsoftアカウントに全Azureリソースへのアクセス権を与える
- 4. Azure ADにカスタムドメインを追加し、プライマリドメインを変更する
- 5. Azure ADの管理者用のユーザを追加し「グローバル管理者」のAzure ADロールを割り当て、2要素認証を設定する
- 6. 作成したAzure ADの管理者に「所有者」のAzureロールを割り当てて、サブスクリプションの管理者に設定する
- 7. EMS E5の90日評価版ライセンスをアクティブ化する
- 8. Office365 Trialの取得
Microsoftアカウントの準備
今回は個人学習用なので、個人のMicrosoftアカウントを使用して始める。企業でOffice365、MS365を契約済みの場合、Azure AD Basicのラインセンスで既に組織アカウントが作成されているはず
- 適当なMicrosoftアカウントを作成する
- このドキュメントでは
hogexxx@example.com
とする
- このドキュメントでは
- Microsoftアカウントに2要素認証を設定する
- https://account.microsoft.com/security
- 高度なセキュリティオプションから2要素認証を有効化し、2要素目を登録する
1. 適当なレジストラで独自ドメインを取得する
さくらインターネットの場合、ドメイン取得 + メールボックス = 2,934円/年
何かしらサーバを契約しないとDNSのゾーンファイルを管理できなかったので、一番安いメールボックスを契約した。
このドキュメントでは aabbcc12345.net
とする
2. MicrosoftアカウントでAzureを新規契約する
https://azure.microsoft.com/ja-jp/free/ の "Start free" ボタンからウィザードに従って無料アカウントを作成する。
Microsoftアカウントがサブスクリプションの「アカウント管理者」兼「サービス管理者」に設定される。
「アカウント管理者」、「サービス管理者」は従来のサブスクリプション管理者の役割で強力な権限を持つ。割り当ての変更方法は後述する。
以下のサブスクリプションが作成され、下記「規定のディレクトリ」と紐づけされる
サブスクリプション名 | Azureサブスクリプション1(名称は後から変更可) |
以下のAzure AD/テナントが作成される
ディレクトリ名 | 規定のディレクトリ(名称は後から変更可) |
ライセンス | Azure AD Free |
プライマリドメイン | hogexxxexample.onmicrosoft.com |
Azure ADに以下のユーザが作成される
ユーザープリンシパル名 | hogexxx_example.com#EXT#@hogexxxexample.onmicrosoft.com |
Azure ADロール | グローバル管理者 |
ソース | Microsoft Account |
3. Microsoftアカウントに全Azureリソースへのアクセス権を与える
Azure Portal: 規定のディレクトリ ➡ プロパティ ➡ Azure リソースのアクセス管理
'自分のMicrosoftアカウント' は、このテナント内のすべての Azure サブスクリプションおよび管理グループへのアクセスを管理できます | Yes |
これを有効にしておかないと、MicrosoftアカウントでAzure MFAの管理画面等にアクセスする際、組織アカウントを要求されて画面遷移出来ない。
別の組織アカウントを管理者として運用するつもりであれば、多分不要な手順。
4. Azure ADにカスタムドメインを追加し、プライマリドメインを変更する
ドメイン名を追加する
Azure Portal: Azure AD ➡ カスタムドメイン名 ➡ カスタムドメインの追加
取得した独自ドメインを入力すると、ゾーンファイルに追加するTXTレコードが表示されるので、1ベンダのゾーン設定画面でレコードを追加する。*1
Azure Portal: Azure AD ➡ カスタムドメイン名 ➡ 追加したドメイン名をクリック ➡ ✓プライマリにする
5. Azure ADの管理者用のユーザを追加し「グローバル管理者」のAzure ADロールを割り当て、2要素認証を設定する
Azure Portal: Azure AD ➡ ユーザー ➡ 新しいユーザー
ユーザー名 | msazadmin@aabbcc12345.net |
名前 | mszaadmin |
場所 | 日本 |
役割(AzureADロール) | グローバル管理者 |
Azure Portal: Azure AD ➡ ユーザー ➡ msazadmin ➡ 認証方法
電話 | +81 90xxxxxxxx |
作成した組織アカウントでAzureポータルにサインインを試行し、SMSか電話認証を要求されることを確認する。
- Azure ADロールの「グローバル管理者」の呼び方(呼び方を統一してほしい。。。)
- Azure ADロールの「User」について
- PowershellからAzure AD Roleテンプレートの存在は確認出来るが、Enable出来ないしポータルにも表示されないため、暗黙のロール扱いと思われる
- Microsoft365からユーザを作成するときのロール選択に、User(no admin center access), Admin center access とあるため、Azure ADのロール無しユーザ=Userロールということっぽい
6. 作成したAzure ADの管理者に「所有者」のAzureロールを割り当てて、サブスクリプションの管理者に設定する
Azure Portal: サブスクリプション ➡ IAM ➡ +追加 ➡ ロールの割り当ての追加
役割(Azureロール) | 所有者 |
アクセスの割当先 | ユーザー、グループ、またはサービスプリンシパル |
選択 | msazadmin@aabbcc12345.net |
Azure ADロールと、Azureロールは別ものなので注意。*2
Azure ADロール | Azure ADに対するアクセス権 |
Azureロール | サブスクリプション(課金情報)・Azureリソースに対するアクセス権 AWSのIAMロールに相当 Azure初期は「サービス管理者」、「アカウント管理者」、「共同管理者」を使用していたが、現在はロールベースに変わって新規作成出来は出来ない 用途別にビルトインのロールが用意されているが、カスタムロールの作成も可能 「所有者」ロールは従来の「サービス管理者」に相当する |
従来のAzureロールの変更方法
従来の管理者ロールはAzureポータルから新規割り当て出来ないが、Azure契約者のアカウントに「サービス管理者」、「アカウント管理者」が割り当てられるため、必要に応じて割り当ての変更を申請する必要がある。
サービス管理者の変更 | Azure Portal: サブスクリプション ➡ プロパティ ➡ サービス管理者の変更*3 |
アカウント管理者の変更 | Azure Portal: コストの管理と請求 ➡ サブスクリプション ➡ 課金所有権を譲渡したいサブスクリプションをクリック ➡ 課金所有権の譲渡*4 |
7. EMS E5の90日評価版ライセンスをアクティブ化する
EMS E5が無いと色々検証出来ないので試用版をアクティブ化する。
EMS E5にはAzure AD P2, Multi-Factor Authentication, Intune, Azure Identity Protection等が含まれる。*5
Azure Portal: Azure AD ➡ ライセンス ➡ 全ての製品 ➡ 試用/購入 ➡ 右ペインから EMS E5 のアクティブ化をクリック
なお、EMSライセンスはMicrosoft365プロダクトなので、後述の通りMicrosoft365管理センターからか、適当な販社からボリュームライセンスの購入が多分正規の方法。
8. Office365 Trialの取得
Microsoft365プロダクト(EMS, Office, etc)のライセンスに対する購入・管理・支払いは、Microsoft365管理センターから実行・設定する。
Azureサブスクリプションと課金先が連携しないので注意。
https://admin.microsoft.com/AdminPortal/ (組織アカウントでアクセス)
トライアルライセンスの取得
Microsoft365管理センター -: 課金情報 ➡サービスを購入する ➡ Office 365 E3(≠月極め) ➡ 詳細 ➡ 無料試用版を入手する
支払方法(クレカ等)の設定 | Microsoft365管理センター: 課金情報 ➡ 支払い方法 |
使用中の製品の詳細 | Microsoft365管理センター: 課金情報 ➡ お使いの製品 |
ライセンス利用状況の詳細 | Microsoft365管理センター: 課金情報 ➡ ライセンス |