Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Azureの管理権限について

9.711 visualizaciones

Publicado el

Azure の RBAC と Azure AD の特権管理について
Azure AD の詳細と最新機能のデモは以下で詳解しています。
http://aka.ms/hx2p58

Publicado en: Tecnología
  • Sé el primero en comentar

Azureの管理権限について

  1. 1. 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 Microsoft Azure の 管理権限について V1.4 2015.11.25
  2. 2. Azure サブスクリプション Azure Active Directory テナント
  3. 3. サブスクリプション を作成 サービス管理者 サブスクリプションに関連付けられた ディレクトリ(Azure AD テナント) のユーザーを指定 管理 管理 管理 共同管理者 共同管理者 指定できない アカウント管理者 サブスクリプションに関連付けられた ディレクトリ(Azure AD テナント) のユーザーを指定
  4. 4. サブスクリプションごとに、Azure AD テナントを指定できる • サービス管理者は、指定した Azure AD テナン トから、サブスクリプションの「共同管理者」 を選択することができる • 共同管理者は、共同管理者を追加することはで きない • 共同管理者はサービス管理者同様、サブスクリ プション内のリソースを管理できる。ただし、 Azure AD テナントで管理できるのは自身のテ ナントのみ
  5. 5. 新ポータル 旧ポータル RBAC共 同 管 理 者 サ ー ビ ス 管 理 者 Azure Subscription Azure AD はRBAC フル RBAC
  6. 6. Azure Subscription サービス管理者すべて管理 すべて管理 共同管理者 所有者 共同作成者 閲覧者 DevTestラボユーザー セキュリティマネージャー ユーザーアクセス管理者 従来の仮想マシン作成協力者 ロール
  7. 7. ロール名 説明 API Management サービスの共同作業者 Application Insights コンポーネントを管理できます Application Insights コンポーネントの共同作業者 Application Insights コンポーネントを管理できます オートメーション オペレーター ジョブを開始、停止、中断、および再開できます BizTalk の共同作業者 BizTalk Services を管理できます ClearDB MySQL DB の共同作業者 ClearDB MySQL データベースを管理できます 共同作成者 アクセス権以外のすべてを管理できます。 Data Factory の共同作業者 Data Factory を管理できます DevTest Lab ユーザー すべてを表示し、仮想マシンを接続、開始、再起動、シャットダウンできます。 Document DB アカウントの共同作業者 Document DB アカウントを管理できます Intelligent Systems アカウントの共同作業者 Intelligent Systems アカウントを管理できます ネットワークの共同作業者 すべてのネットワーク リソースを管理できます NewRelic APM アカウントの共同作業者 NewRelic Application Performance Management アカウントおよびアプリケーションを管理できます 所有者 所有者は、アクセス権を含めすべてを管理できます。 閲覧者 閲覧者はすべてを閲覧できますが、変更を加えることはできません。 Redis Cache の共同作業者 Redis キャッシュを管理できます Scheduler Job Collection の共同作業者 Scheduler Job Collection を管理できます Search サービスの共同作業者 Search サービスを管理できます セキュリティ管理者 セキュリティ コンポーネント、セキュリティ ポリシー、および仮想マシンを管理できます SQL DB の共同作業者 SQL データベースを管理できますが、そのセキュリティ関連ポリシーは管理できません SQL セキュリティ管理者 SQL Server やデータベースのセキュリティ関連ポリシーを管理できます SQL Server の共同作業者 SQL サーバーおよびデータベースを管理できますが、そのセキュリティ関連ポリシーは管理できません 従来のストレージ アカウントの共同作業者 従来のストレージ アカウントを管理できます ストレージ アカウントの共同作業者 ストレージ アカウントを管理できます ユーザーアクセスの管理者 Azure リソースに対するユーザー アクセスを管理できます 従来の仮想マシンの共同作業者 接続している仮想ネットワークやストレージ アカウント以外の従来の仮想マシンを管理できます 仮想マシンの共同作業者 接続している仮想ネットワークやストレージ アカウント以外の仮想マシンを管理できます 従来のネットワークの共同作業者 接続している仮想ネットワークやストレージ アカウント以外の仮想マシンを管理できます Web プランの共同作業者 Web プランを管理できます Web サイトの共同作業者 Web サイトを管理できますが、接続されている Web プランは管理できません https://azure.microsoft.com/ja-jp/documentation/articles/role-based-access-built-in-roles/
  8. 8. サブスクリプション1 リソースグループ1 Compute Network Storage Application Insight WebApplication
  9. 9. premium
  10. 10. 付与数は 最小限に 保有期間は 最短に
  11. 11. 取得 利用 棚卸 削除 ここで停滞 保有者が増加
  12. 12. アクセス許可 課金 全体 パスワード サービス ユーザー 会社およびユーザー情報の参照 ○ ○ ○ ○ ○ Office サポート チケットの管理 ○ ○ ○ ○ ○ ユーザー パスワードのリセット ○ ○ ○ (制限付き)。課金管理者、 グローバル管理者、および サービス管理者のパスワー ドをリセットすることはで きません。 Office 製品に対する課金および購入操作の実行 ○ ○ ユーザー ビューの作成および管理 ○ ○ ユーザーおよびグループの作成、編集および削除および ユーザー ライセンスの管理 ○ ○ (制限付き)。グローバル 管理者を削除することも他 の管理者を作成することも できません。 ドメインの管理 ○ 会社情報の管理 ○ 他者への管理ロールのデリゲート ○ ディレクトリ同期の使用 ○
  13. 13. • Azure AD テナントに対する特権保有者の可視化と棚卸を半自動化 • セキュリティ管理者と特権保有者自身が行うためのインターフェース 特権を持つユーザーの可視化 永続化 延長 棚卸(レビュー) 有効時間 設定 削除 特権保有者を健全な状態に維持
  14. 14. セキュリティ管理者 ○○管理者(候補) ロール付与 ○○管理者(一時) アクティブ化 削除○○管理者(永続) 永続化
  15. 15. セキュリティ管理者 レビュー対象とする特権を選択 レビュー実施者とレビュー期間を指定 セキュリティ管 理者が行う メンバーが自分 自身で行う レビュー担当者 レビュー実施 承認 拒否

×