Interact 2018参加レポ

♯Azureの契約直前、直後に確認しておくこと10か条

Azureの契約プランについて、、
MSDN、Visualstudioのサブスクリプション?とかだと月1万くらいの特典が毎月ついてたりするのでお得。

♯従量課金制
使った分だけ課金。
基本クレジットカード
MSから直接購入

会社のクレジットカードを作成しなければならない
⇒結構ハードル高いので了承を得るのに大変だったりするかも

請求書払いもできるが、サードパーティー、外部サービスは「購入も支払いもできない!!!」
サードパーティってなんだろう。。

♯Azure CSP(Cloud Solution Provider)
サブスクリプション+パートナーが提供する付加価値
購入方法はパートナーの仕様に依存
パートナー経由で購入

ASM形式のリソースは作成できない。。
⇒V1とかのリソースをCSPに移行するときに手間が発生する可能性あり
ASMとAMIがある。

・Azure Marketplaceの従量課金製品のほとんどは購入できない
 例えばSQLはサーバーを立てればライセンスがインクルードされている。
 が、redhatなんちゃらとかは購入ができない。

・Microsoftのサポートは購入的ない(パートナー契約のみ)

#EA (Enterprise Agreement)
大企業向けの一括購入プラン
年間使用分を事前に購入
MSから買うのではなく、プロバイダーから購入

注意点!!
・事前に年間金額を予測
買ってしまった金額は使い切らないと、1年でなくなってしまう。。

・Azure Marketplaceは購入できるが、ほとんどの製品は別請求となる。
 バラクーダーの製品とかを使う場合などには別請求。。
###このmarketplaceってのは注意!!

・StoreSimple使いたいなら現状EA選択 ⇒ストレージみたいなやつ

契約を理解することで・・・
・新しいサブスクリプションを払い出してもらうのに、誰に依頼を投げればいいのかが分かるようになる。

♯MSAと組織アカウントの違い

MSA(Microsoftアカウント)
・ユーザが個人で作成できるアカウント
⇒MSが管理している

組織アカウント
・AzureADで管理される。自社など管理者が別途管理する


Azureでアカウントを管理するには、、、
⇒すべてを組織アカウントで管理すること!!!

MSAはリスクがある!!!
・セキュリティポリシーが強制できない
 例:多要素認証、パスワード強度など、個別に設定が必要

・5年ログインしないとアカウントが無効となる
 放置しているアカウントがAzureサブスクリプションのアカウント管理者の場合、最悪サブスクリプションが無効化されてしまう!!!


⇒じゃあどうすればいいの?

AzureADを最初に作っておく!!!
 ⇒作った記憶がない。。。
   ⇒じつはサブスクリプションを作った場合、メールアドレスに応じたAADが「勝手に作成」されてしまう。

・EAの場合には注意が必要
 MSAだとディレクトリが作られてしまう。

AzureのサブスクリプションでMSAで作るんじゃないの??
⇒組織アカウントを起点に作る方法もある!!
 まずはディレクトリをつくってから


♯AzureADの管理を知っておく!!
いろいろロールがある。
ユーザーへのディレクトリロール割り当てを管理者が行っていく。


<注意点>
AzureADの管理者はあくまで「Azure AD内部のみ管理」

AzureADの全体管理者であっても、Azureサブスクリプション内で適切なロールが割り当たっていないのであれば、Azure上のリソースは管理できない
 
例外を設けることは可能。(Azureサブスクリプションの管理をつけることもオプションで設定可能)

♯AzureADとサブスクリプションの関係
AzureADにサブスクリプションが割り当てられている!!

すべてのサブスクリプションはAzureADテナントを信頼
MSAを使用してサブスクリプション作成すると、自動的にAzureADテナントが作成される!!!

MSAはAzureADのユーザDBにゲストユーザという形で登録される
??

ディレクトリが異なるサブスクリプションは見えなくなる。
⇒ディレクトリを同じにしてやることもできる。


♯最上位のAzureロール
・アカウント管理者 ←組織アカウントがおすすめ!!
  サブスクリプション毎に1人
 サービス管理者を指定可能

・サービス管理者
 サブスクリプション内のすべてのリソースを管理可能

・共同管理者
 Azureの各種サービスを利用する
・制限付き管理者

<注意>
むやみやたらに管理者権限は付与しない!!!

⇒どうRBACをつけていけばいいのか??
 ⇒顧客の組織体系などに合わせて「所有者」「共同作成者」「作業者」などに分けて、最小限のロール割り当てを行う必要がある。

リソースグループの分け方も重要!!!
リソースグループはRBACとの組み合わせでシステム特性に合わせて分けていく

リソース管理の便利機能
・リソースのロック機能
 管理者側で、すべてのユーザに削除禁止または読専のどちらかにリソースをロックする機能
 ⇒ユーザーの誤操作を防止する。

・Azure Resource Policy
  サブスクリプション、リソースグループごとにリソースに対する規則を定義可能
RBACと違って、デプロイ中のリソースプロパティに

・Management Group(Preview)
・複数のサブスクリプションを管理するためのグループ
・グループごとにRBACを付与することが可能

♯サポートは必ず契約する!!!
有償サポートは4種類

一番下のDeveloperは8時間
サポートレベルAは少なくともStandard以上
開発環境ではDeveloperでもいいが、運用ではStandard以上じゃないと耐えられない

プログラム特典のサポートを利用する方法も

MSDNとかMSPertner NetworkとかSignature cloud support ⇒コンピテンシーが必要

まとめ
各種契約の制限の理解
アカウントは組織アカウントで統一
リソースには最小限のRBACを設定

この記事が気に入ったらサポートをしてみませんか?