Azure EA契約(Enterprise Agreement)をしているユーザーが使用することができるポータル画面「Azure EA Portal」の画面と機能を紹介します。

• そもそもEA契約とは？
• Azure EA ポータルの画面、機能一覧
  • 「管理」→ 加入契約情報や管理者の確認、編集を行う画面
    • 加入契約
    • 部門
    • アカウント
    • サブスクリプション
  • 「レポート」→ リソースの使用状況や料金表などを確認、レポート出力できる画面
    • 使用状況の概要
    • サービス使用量レポート
    • 使用状況のダウンロード
    • 料金シート
    • Power BI レポート
  • 「通知」→　最新情報の通知欄
  • 「ヘルプ」→　公式ページへのリンク
• 参考リンク

そもそもEA契約とは？

EA契約とはMicrosoft Azure を使用する契約形態の一つです。この話はとても難しい話ですので今回は割愛します。
一応参考になりそうなページのリンクを貼っておきます。
Azureの4つのライセンス形態と料金 ～Azure CSPを利用するメリット～｜Microsoft Azureコラム｜東京エレクトロンデバイス

Azure EA ポータルの画面、機能一覧

Azure EA ポータルでは下記のような画面があります。

• 「管理」→ 加入契約情報や管理者の確認、編集を行う画面
• 「レポート」→ リソースの使用状況や料金表などを確認、レポート出力できる画面
• 「通知」→　最新情報の通知欄
• 「ヘルプ」→　公式ページへのリンク

今回はそれぞれの画面の役割と機能について実際の画面を使用しながら一つずつ紹介していこうと思います。

「管理」→ 加入契約情報や管理者の確認、編集を行う画面

加入契約情報や登録している部門・アカウント・サブスクリプションの情報を確認、編集することができます。

加入契約

加入契約している情報と管理者の一覧を確認できます。ここでいう管理者とはEAポータルにアクセスできるユーザーのことで管理者の追加、削除や権限の変更もこの画面から行えます。
※表示されている情報は公開用に編集したものです。

右上のアクティブのチェックボックスが初期値でONになっていますが、OFFにすることで契約期間が終了したときの加入情報を確認することもできます。基本的にEA契約は契約期間が決まっているため、過去の加入契約に紐づくに情報やコストを確認するためにはこの画面で加入契約を切り替えないと確認ができないので注意が必要です。

カレントで選択されている契約番号は画面左上で確認できます。情報を表示するレポートのボタンが使えない場合は契約番号を複数持っていて、カレント契約が選択されていない場合があります。その場合は「管理→加入契約→加入契約のリスト」から表示したい契約を選択しましょう。

こちらで表示されている管理者がAzure EAポータルにアクセスできるユーザーです。この画面から管理者の追加、削除、編集が可能です。

管理者の追加画面。コストの通知頻度の設定や読み取り専用かどうかを設定可能。読み取り専用にするとEAポータル上で設定の追加、変更の操作はできなくなります。

部門

部署を追加することでAzureサービスの使用状況やコストについて、部門ごとに管理することができます。

部署追加画面

アカウント

アカウントの管理を行うことができます。上述したEAポータルにアクセスできるユーザーの「管理者」とは別物であることに注意が必要です。「アカウント」はコストに紐づくグループ分けみたいなもののようです。Microsoftの公式ドキュメントによると事業部、昨日チーム、地理的な場所単位で作られる例が挙げられていました。

アカウント追加画面

サブスクリプション

加入契約に紐づくサブスクリプションの表示、作成を行います。ここで表示されていて有効なサブスクリプションがMicrosoft Azure上でサブスクリプションとして利用可能です。
※サブスクリプション名やサブスクリプションのGUIDはランダムで取得したものに変更しています
自分には権限がなかったのでサブスクリプションの追加画面は載せられませんが恐らく、アカウント所有者として追加されたユーザーのみがサブスクリプションの作成を行えます。

「レポート」→ リソースの使用状況や料金表などを確認、レポート出力できる画面

レポートの画面ではコストの使用状況、サービスの使用量、使用状況のファイル出力、料金シートの表示、Power BIレポートでの出力を行うことができます。

使用状況の概要

使用状況の概況では支払いに関する概要情報が表示されます。

通常のAzureサブスクリプションの考え方と違い、EA契約ですと年払いで先に支払い、残高を超過した分は毎月請求される仕組みの方が多いと思います(パートナー企業によって違うかもしれませんが)。こちらの例ですと2017年8月の期首時点で1,000,000円の残高があり、8月に40,000円使ったので、8月の期末残高は960,000円という見方ができます。残高がなくなるとサービス超過分の金額の部分に反映されます。
画像下の「Azureサービス」の部分は選択された月にサービスごとにどれだけ使用して、単価がどれくらいで、どれだけ料金がかかったかが記されています。

サービス使用量レポート

サービス使用量レポートは検索期間の間に「サービス」の「測定単位ごとにどれだけ使用したか」を出力します。よくAzureの料金計算ツールで使用量を予測で入れて見積もったりすると思いますが、その使用量の実際の結果ですね。

使用状況のダウンロード

月ごとの「残高と料金」、「使用状況の詳細」、「Marketplace の料金」、「料金シート」をCSVファイルでダウンロードできます。私はこちらの機能を使うことが今のところ一番多いですね。料金などで細かい項目とかを知りたいときにExcelファイルに変換して集計して使用することが多いです。最近はAzure Portalのコストマネジメント機能もかなり充実してきたので使用することは減ってきましたが。ダウンロードできるファイルの詳細については後日別記事で紹介したいと思います。
こちらの「使用状況の詳細」画面からEAポータルのAPI「Azure Enterprise REST API」で情報を取ってくるのに必要なAPIキーを生成できます。EAポータルAPIを使用することで自信が作成したアプリケーションからEAポータルで表示される情報を取得することが可能になります(その話については後日別記事で紹介できたらと思います)。

料金シート

Azure EA契約では販売パートナーごとにAzureリソースの料金が定められているため公式ページで公開されている料金とは違う可能性があります。そのため、EA契約を行っている方は自身が使用する正確なリソース料金の単価はこちらの料金シートから確認します。

こちらの「料金シートの単価」 × 「サービス使用量」が「実際に課金されるコスト」ですね。

Power BI レポート

Azure Cost Management コネクタ を使用すると、Azureコストを Power BI でレポート表示できるようになります。

「通知」→　最新情報の通知欄

Azure EA契約、EAポータル、コスト関連の通知情報が表示されます。

「ヘルプ」→　公式ページへのリンク

ヘルプ画面のリンクです。下記MS公式ページにリンクされていました。
Azure エンタープライズ ポータルを使い始める | Microsoft Docs
ちなみにEAポータル関連のサポートリクエストはAzureポータルから行うことが可能です。

参考リンク

docs.microsoft.com

ある日、Microsoft Azure Recovery Services(MARS)エージェントを使ったバックアップが動かなくなった。
発生したエラーメッセージで検索しても情報がほとんどなかったので解決方法を共有します。

• 発生した現象
  • バックアップのジョブが一切発生していない状態
  • バックアップを行っているサーバーでエージェントの画面を開くと下記のエラー
  • PowershellでMSOnlineBackupコマンドを実行しても同様のエラーになる
• 原因と解決方法
  • 原因はバックアップ対象マシンのコンピューター名が変わったことが要因
  • 解決方法

発生した現象

バックアップのジョブが一切発生していない状態

バックアップジョブはある日を境に一切動いていなかった。
失敗のジョブが発生しているわけではないのでAzure Backupの通知機能が動かないので注意。

バックアップを行っているサーバーでエージェントの画面を開くと下記のエラー

何も情報が表示されない...

resource not provisioned in service stamp

PowershellでMSOnlineBackupコマンドを実行しても同様のエラーになる

PS C:\Windows\system32> get-obpolicy
get-obpolicy : The current operation failed due to an internal service error "Resource not provisioned in service s
". Please retry the operation after some time. If the issue persists, please contact Microsoft support.
発生場所 行:1 文字:1
+ get-obpolicy
+ ~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Get-OBPolicy], DlsException
    + FullyQualifiedErrorId : ResourceNotYetProvisioned,Microsoft.Internal.CloudBackup.Commands.GetCBPolicyCommand

原因と解決方法

原因はバックアップ対象マシンのコンピューター名が変わったことが要因

Azure BackupのMARSエージェントは初回設定時からバックアップ対象マシンのコンピュータ名を変えてしまうとうまく動作しないらしく、「Resource not provisioned in service stamp」エラーはコンピュータ名を変えてしまったときに発生する事象のようです。

エラーが発生したマシンをしらべてみたところ、 うまく動作しなくなった日からコンピュータ名が変更されていることがわかったのでこれが原因だと断定しました。

解決方法

解決方法は2通りある。

1. コンピュータ名を戻す
2. 新しいコンピュータ名でAzure Backupに再登録する

私は再登録パターンで対応したところ、
うまく動きました。

AFUN40 - Azureセキュリティの基礎

Azureのセキュリティ機能についてのわかりやすく紹介してもらえました。

顧客側の過失によるセキュリティリスクが増価する

2020年までに顧客側の過失により発生するクラウドセキュリティの問題は95%に達するだろう
ガートナー
クラウドセキュリティは共有責任

セキュリティのゴール

• セキュリティ状況の把握とその改善方法の理解
• 永続的な管理者特権の最小化
• 影響の大きなデータに対してどうやってアクセス制限をかけるか
• SQLインジェクションアタックや漏洩の検知
• ADやAzureテレメトリの不信なアクテビティの検知

セキュリティセンター

• すべてのリソースに対してセキュリティについての可視化、制御、ガイダンスしてくれる

• セキュリティスコア

  • 一目でセキュリティ対策ができているか確認できる

• レコメンデーション

  • 各リソースごとに必要なセキュリティ設定をレコメンドしてくれる

• 規制コンプライアンス
  国際的なコンプライアンスにカバーしている確認できる コンプライアンスに対して自分のリソースがどれくらい対応しているかを確認できる。

• どうやってセキュリティの問題を解決するか

  • リソースのセキュリティ権益
    • 何をやってほしいのか書いてある
    • Just In Time Access 特権の権限は必要な時だけ付与するのが現在のセキュリティの常識
    • ボタン1クリックで解決してくれる

特権ID管理(Azure AD P2の機能)

• RBACの権限付与がちゃんとできているのかを確認する

• 特権ID管理の画面を開く

  • 自分が持っているロールが表示される
  • 資格のあるロール 特権もっているけど有効になっていないロール

  • アクティブなロール

    • 今使えるロール

  • システム管理者は一時的に特権を与えることができる

    • 特権管理の画面→Azure ADロール→資格の割り当て→与えるロールを選択→ユーザーを選択 これでユーザーには潜在的にロールが与えられたが、アクティブではない。
    • ユーザーは特権ID管理から自分のロールの資格のあるロールでアクティブ化をしてあげる。有効時間を設定してあげる。サインアウトが必要。
    • Azureリソースに対しても一時的な特権の付与ができる

ストレージアカウントのネットワーク制限

例：あるAzureストレージに対して特定の仮想マシンからのみアクセスできるようにしたい

• 指定したサブネットからのアクセスのみ接続可能とする
• (仮想ネットワークの設定)仮想ネットワークに紐づけてストレージを指定する
• (ストレージアカウント側)ファイアウォールと仮想ネットワークで「選択されたネットワーク」で先ほどのサブネットを指定すると、先ほどのサブネットからしかアクセスできないようにすることができる。
• ストレージエクスプローラーからもアクセスできなくなる

SQL Databaseのセキュリティ機能

どのようにしてSQLDatabaseの安全性を向上するか

• AzureADでアクセスコントロールする
• ストレージと同じファイアウォールと仮想ネットワークの制限

• Transeparent Data Encryption

• Advanced Dataセキュリティ

  • SQLインジェクションなどをAIを使って検出する
  • インジェクションの検出
  • データが抜かれていないかを確認する
  • SQL Server側のATPみたいなやつ

Azure Sentinel

Azure全体的な視野で異常なアクテビティをどう検知するか

• 様々なデータソースからデータを集めてきて分析する

• データコネクター
  Azureに限らないデータを分析する

• プレイブック
  センチネルで発生したイベントに対してアクションを定義できる
  簡単にいうとLogic App

今回はAzureFuncitons上でManagedIDを使ってユーザーアカウントでログインせずにAzurePowerShellを動かす方法を紹介します。

今回作ったものは「Azure PowerShellを使ってAzureリソースの情報を取得する関数」です。

• マネージドID(ManagedIdentity)とは
• 今回使用したAzureリソース
• Azure FunctionsにVMの起動ステータスを取得するPowershellコマンドを記述
• ManagedIDの設定を行う
• 最後に

マネージドID(ManagedIdentity)とは

簡単に言うとAzureリソース自体にID(権限)を持たせてあげることで、
Azureリソースから他のAzureリソースに接続するときにIDとパスワードなどの資格情報で認証する必要がなくなります。

資格情報をコードに埋め込んでしまう恐れやKeyVaultで管理する必要がなくなるので
資格情報を保護することができるのです。

詳しい説明は公式ページを参照ください。

今回使用したAzureリソース

・Azure Functions(ランタイムスタック PowerShell Core(プレビュー))
情報を取得するPowerShellを流す。今回はVMの起動状態を取得するコマンドです。

・Azure VM
情報を取得される側のリソース。

Azure FunctionsにVMの起動ステータスを取得するPowershellコマンドを記述

下記のコードをManaged IDの設定済の状態で使用すると資格情報の入力を行わずにサインインできます。

Connect-AzAccount -Identity

以下VMのステータスを取得するコード全文

using namespace System.Net

# Input bindings are passed in via param block.
param($Request, $TriggerMetadata)

# Write to the Azure Functions log stream.
Write-Host "PowerShell HTTP trigger function processed a request."

# Interact with query parameters or the body of the request.
$name = $Request.Query.name
if (-not $name) {
    $name = $Request.Body.name
}

# Az.Accountsモジュールがインストールされていなかったらインストールする
if(Get-Module -ListAvailable Az.Accounts){
    Connect-AzAccount -Identity
}

# サブスクリプションを選択(本来は直打ちしちゃダメ)
Select-AzSubscription -Subscription "<ここにサブスクリプションIDを記述>"

# VMの起動ステータスを取得するPowerShellを実行
$vm = Get-AzVM -name $name -status
if($vm){
    $status = [HttpStatusCode]::OK
    $body = $vm.PowerState
}else{
    $status = [HttpStatusCode]::BadRequest
    $body = "情報が取得できませんでした。"
}

# Associate values to output bindings by calling 'Push-OutputBinding'.
Push-OutputBinding -Name Response -Value ([HttpResponseContext]@{
    StatusCode = $status
    body = $body
})

ちなみに現時点ではManagedIDの設定を行っていないのでエラーになります。
それでは続いてManagedIDの設定を行います。

ManagedIDの設定を行う

• Azure Functionsの画面を開き、「プラットフォーム機能」タブ→「ID」を選択

• 「システム割り当て済み」タブ→「状態」をオンにして「保存」を選択
  保存完了するとオブジェクトIDがFunctionsに割り当てられる

• 「サブスクリプション」→今回VMが置いてあるサブスクリプションを選択→「アクセス制御」→「追加」→「ロールの割り当て」

• Functionsアプリをサブスクリプションの閲覧者に追加する

• もう一度Functionsを実行するとVMのステータスが取得できるようになりました。

最後に

今回使用したManagedIDを用いることでアプリケーション上に資格情報を持たない構成が可能となります。
実装も簡単ですし、ManagedIDに対応しているAzureリソースに関してはManagedIDを使っていきましょう。