Interact 2018参加レポ

♯Azureの契約直前、直後に確認しておくこと10か条

Azureの契約プランについて、、
MSDN、Visualstudioのサブスクリプション？とかだと月1万くらいの特典が毎月ついてたりするのでお得。

♯従量課金制
使った分だけ課金。
基本クレジットカード
MSから直接購入

会社のクレジットカードを作成しなければならない
⇒結構ハードル高いので了承を得るのに大変だったりするかも

請求書払いもできるが、サードパーティー、外部サービスは「購入も支払いもできない！！！」
サードパーティってなんだろう。。

♯Azure CSP(Cloud Solution Provider)
サブスクリプション＋パートナーが提供する付加価値
購入方法はパートナーの仕様に依存
パートナー経由で購入

ASM形式のリソースは作成できない。。
⇒V1とかのリソースをCSPに移行するときに手間が発生する可能性あり
ASMとAMIがある。

・Azure Marketplaceの従量課金製品のほとんどは購入できない
　例えばSQLはサーバーを立てればライセンスがインクルードされている。
　が、redhatなんちゃらとかは購入ができない。

・Microsoftのサポートは購入的ない(パートナー契約のみ)

#EA (Enterprise Agreement)
大企業向けの一括購入プラン
年間使用分を事前に購入
MSから買うのではなく、プロバイダーから購入

注意点！！
・事前に年間金額を予測
買ってしまった金額は使い切らないと、1年でなくなってしまう。。

・Azure Marketplaceは購入できるが、ほとんどの製品は別請求となる。
　バラクーダーの製品とかを使う場合などには別請求。。
###このmarketplaceってのは注意！！

・StoreSimple使いたいなら現状EA選択　⇒ストレージみたいなやつ

契約を理解することで・・・
・新しいサブスクリプションを払い出してもらうのに、誰に依頼を投げればいいのかが分かるようになる。

♯MSAと組織アカウントの違い

MSA(Microsoftアカウント)
・ユーザが個人で作成できるアカウント
⇒MSが管理している

組織アカウント
・AzureADで管理される。自社など管理者が別途管理する


Azureでアカウントを管理するには、、、
⇒すべてを組織アカウントで管理すること！！！

MSAはリスクがある！！！
・セキュリティポリシーが強制できない
　例：多要素認証、パスワード強度など、個別に設定が必要

・5年ログインしないとアカウントが無効となる
　放置しているアカウントがAzureサブスクリプションのアカウント管理者の場合、最悪サブスクリプションが無効化されてしまう！！！


⇒じゃあどうすればいいの？

AzureADを最初に作っておく！！！
　⇒作った記憶がない。。。
 　　⇒じつはサブスクリプションを作った場合、メールアドレスに応じたAADが「勝手に作成」されてしまう。

・EAの場合には注意が必要
　MSAだとディレクトリが作られてしまう。

AzureのサブスクリプションでMSAで作るんじゃないの？？
⇒組織アカウントを起点に作る方法もある！！
　まずはディレクトリをつくってから


♯AzureADの管理を知っておく！！
いろいろロールがある。
ユーザーへのディレクトリロール割り当てを管理者が行っていく。


＜注意点＞
AzureADの管理者はあくまで「Azure AD内部のみ管理」

AzureADの全体管理者であっても、Azureサブスクリプション内で適切なロールが割り当たっていないのであれば、Azure上のリソースは管理できない
　
例外を設けることは可能。(Azureサブスクリプションの管理をつけることもオプションで設定可能)

♯AzureADとサブスクリプションの関係
AzureADにサブスクリプションが割り当てられている！！

すべてのサブスクリプションはAzureADテナントを信頼
MSAを使用してサブスクリプション作成すると、自動的にAzureADテナントが作成される！！！

MSAはAzureADのユーザDBにゲストユーザという形で登録される
？？

ディレクトリが異なるサブスクリプションは見えなくなる。
⇒ディレクトリを同じにしてやることもできる。


♯最上位のAzureロール
・アカウント管理者　←組織アカウントがおすすめ！！
 　サブスクリプション毎に1人
　サービス管理者を指定可能

・サービス管理者
　サブスクリプション内のすべてのリソースを管理可能

・共同管理者
　Azureの各種サービスを利用する
・制限付き管理者

＜注意＞
むやみやたらに管理者権限は付与しない！！！

⇒どうRBACをつけていけばいいのか？？
　⇒顧客の組織体系などに合わせて「所有者」「共同作成者」「作業者」などに分けて、最小限のロール割り当てを行う必要がある。

リソースグループの分け方も重要！！！
リソースグループはRBACとの組み合わせでシステム特性に合わせて分けていく

リソース管理の便利機能
・リソースのロック機能
　管理者側で、すべてのユーザに削除禁止または読専のどちらかにリソースをロックする機能
　⇒ユーザーの誤操作を防止する。

・Azure Resource Policy
 　サブスクリプション、リソースグループごとにリソースに対する規則を定義可能
RBACと違って、デプロイ中のリソースプロパティに

・Management Group(Preview)
・複数のサブスクリプションを管理するためのグループ
・グループごとにRBACを付与することが可能

♯サポートは必ず契約する！！！
有償サポートは4種類

一番下のDeveloperは8時間
サポートレベルAは少なくともStandard以上
開発環境ではDeveloperでもいいが、運用ではStandard以上じゃないと耐えられない

プログラム特典のサポートを利用する方法も

MSDNとかMSPertner NetworkとかSignature cloud support　⇒コンピテンシーが必要

まとめ
各種契約の制限の理解
アカウントは組織アカウントで統一
リソースには最小限のRBACを設定