Azure逆引きリファレンス[PR]

Azure Central Azure逆引きリファレンス[PR]

Azureアカウントを取得したら最初にやっておくべき初期設定[PR]

2016年11月1日

Azureを使い始めたら、特に重要なセキュリティ設定を初めに済ませよう! Azureアカウント保護(二段階認証)/アクセス制御(IAM)/セキュリティセンターの設定方法を説明。さらに各種アラートの作成方法や、入門者にお勧めのコンテンツも紹介する。

デジタルアドバンテージ 一色 政彦
  • このエントリーをはてなブックマークに追加

 クラウドプラットフォーム「Azure」を使い始める前に実施しておいた方がよいことの中で、主にセキュリティ関連の初期設定についてまとめる。

 当然ながら、本稿の内容を実施する前には、Azureアカウントを作成しておく必要がある。Azureアカウントの新規作成時には、Microsoftアカウントの作成や、電話による本人確認、クレジットカードによる本人確認などが必要だったりするが(図1)、流れに沿って進めれば難しい点はないので、本稿では説明を割愛する。またAzureアカウントとしては、企業単位でOffice 365などを契約すると提供される「組織アカウント」も利用できるが、本稿では手軽に試用できるMicrosoftアカウントを前提に説明する。

図1 Azureアカウントを作成しているところ

Azureアカウントの保護に関する設定

 真っ先に行うべきなのは、アカウントに関するセキュリティ設定だろう。まずは、アカウントによるログイン時の二段階認証の設定について説明する。

二段階認証

 今やログイン認証では、パスワードだけにしておくのは(パスワード漏えいなどが)不安なので、スマートフォンによるセキュリティコード(=30秒程度で随時更新される一時的なキーコード)の入力などを組み合わせた二段階認証を採用するという人が少なくないだろう。Azureアカウントについても、クレジットカード情報も登録するクリティカルなサービスなので、ぜひ二段階認証にしておくことをお勧めしたい。そこで二段階認証の設定方法を説明するが、以下のとおりに実施するには、前提条件としてAndroid/iPhone/Windows Phone(Windows 10 Mobile)などのスマートフォンが必要になるので注意してほしい。

 AzureアカウントはMicrosoftアカウントによるログイン機能にひも付いており、Azureアカウントを二段階認証にするにはMicrosoftアカウントのページで二段階認証の設定をする必要がある。具体的には、Microsoftアカウントの[セキュリティとプライバシー]タブを開き、[アカウント セキュリティ]の[その他のセキュリティ設定]をクリックして、あとは図2のステップで設定すればよい。

図2 認証アプリを使用する設定

[セキュリティとプライバシー]タブの[その他のセキュリティ設定]をクリック

SMSや電話でセキュリティコードを受け取るのをやめて、スマートフォンの認証アプリを活用することを勧められるので、[今すぐ設定する]を選択する

SMSや電話でセキュリティコードを受け取るのをやめて、スマートフォンの認証アプリを活用することを勧められるので、[今すぐ設定する]を選択する

どの認証アプリを使うかを選ぶ

どの認証アプリを使うかを選ぶ

図2 認証アプリを使用する設定

 二段階認証で使える認証アプリには、マイクロソフト公式のMicrosoft Authenticator(iOS版Android版Windows Phone版)の他にも、Google Authenticator(iOS版Android版)をはじめとする任意のものが使用できる。現在ではGitHubやGoogleへのログインなど、ほとんどの主要サービスで二段階認証を選択できるようになってきており、それらの二段階認証時のセキュリティコードの取得をできれば1つのアプリに集約した方が便利だ。よって好きな認証アプリを1つ選んで、それに集約すればよいだろう(もちろんMicrosoft Authenticatorに集約することも可能)。以下では、Google Authenticatorを使う場合(他の認証アプリを使う場合も同様の手順)と、公式のMicrosoft Authenticatorを使う場合を説明する(複数デバイスでの使用にも対応しているAuthyを使えば、さらに便利だ。その使い方は、こちらの記事で説明している)。

Google Authenticatorなどの認証アプリを使う場合

 Microsoft Authenticator以外の認証アプリを使う場合は、図2の最後に示した[認証アプリの設定]ページで[その他]オプションを選択して[次へ]ボタンをクリックする。あとは図3の手順を実行すればよい。

[認証アプリの設定]ページで[その他]オプションを選択

図3 非公式の認証アプリ(Google Authenticator)を使う設定

バーコードが表示されたページが開かれる。このページの説明に従って、手持ちのスマートフォンに認証アプリ(Google Authenticator)をインストールして開き、[+]アイコンなどから[バーコードをスキャン]を実行する

カメラでバーコードをスキャンする

カメラでバーコードをスキャンする

スキャンが成功すると、Microsoftアカウントが登録され、セキュリティコードが表示されるようになる

スキャンが成功すると、Microsoftアカウントが登録され、セキュリティコードが表示されるようになる

そのセキュリティコードを、先ほどのバーコードが表示されたページで入力して[次へ]ボタンをクリックすれば完了だ

そのセキュリティコードを、先ほどのバーコードが表示されたページで入力して[次へ]ボタンをクリックすれば完了だ

図3 非公式の認証アプリ(Google Authenticator)を使う設定
公式のMicrosoft Authenticatorを使う場合

 Microsoft Authenticatorを使う場合は、上記の[認証アプリの設定]ページで[Windows Phone]/[Android]/[iPhone、iPad、または iPod touch]いずれかのオプションを選択して[次へ]ボタンをクリックする。あとは図4の手順を実行すればよい(図4はiPhoneの例だが、他のスマートフォンでも手順は変わらない)。

[認証アプリの設定]ページで[Windows Phone]/[Android]/[iPhone、iPad、または iPod touch]オプションを選択

図4 公式の認証アプリ(Microsoft Authenticator)を使う設定

設定手順が示されたページが開かれるので、指示に従い、手持ちのスマートフォンで認証アプリ(Microsoft Authenticator)をインストールして開き、[アカウントを追加]ボタンもしくは[+]アイコンなどをタップする

Microsoftアカウントの場合は[個人のアカウント]を選択して、あとは指示通りに進めればよい

Microsoftアカウントの場合は[個人のアカウント]を選択して、あとは指示通りに進めればよい

登録が完了すると、Microsoftアカウントが登録され、セキュリティコードが表示されるようになる

登録が完了すると、Microsoftアカウントが登録され、セキュリティコードが表示されるようになる

先ほどの設定手順が示されたページで[次へ]ボタンをクリックすれば完了だ

先ほどの設定手順が示されたページで[次へ]ボタンをクリックすれば完了だ

図4 公式の認証アプリ(Microsoft Authenticator)を使う設定
二段階認証の有効化

 認証アプリの登録が完了したら、図5の手順で二段階認証を有効化する。

図5 公式の認証アプリ(Microsoft Authenticator)を使う設定

認証アプリの登録が完了すると、このようなページが開かれるので、[完了]ボタンをクリックする

[セキュリティとプライバシー]タブが開かれ、その中に[2 段階認証のセットアップ]リンクがあるので、これをクリック

[セキュリティとプライバシー]タブが開かれ、その中に[2 段階認証のセットアップ]リンクがあるので、これをクリック

二段階認証についての説明を読んだら[次へ]ボタンをクリック

二段階認証についての説明を読んだら[次へ]ボタンをクリック

二段階認証が有効になるので、[回復用コード]をメモなどに書いて保存したら、[次へ]ボタンをクリックする。その後は、指示に従って[次へ]ボタンをクリックしていき、最後に[完了]ボタンをクリック

二段階認証が有効になるので、[回復用コード]をメモなどに書いて保存したら、[次へ]ボタンをクリックする。その後は、指示に従って[次へ]ボタンをクリックしていき、最後に[完了]ボタンをクリック

二段階認証の有効が完了すると、「お使いのアカウントは 2 段階認証で保護されています。」と表示されるようになる

二段階認証の有効が完了すると、「お使いのアカウントは 2 段階認証で保護されています。」と表示されるようになる

図5 公式の認証アプリ(Microsoft Authenticator)を使う設定

パスワードの変更、クレジットカード情報の編集など

 パスワードの変更は[セキュリティとプライバシー]タブ、クレジットカード情報の編集は[支払と請求]-[支払いオプション]タブのように、セキュリティ/課金/個人に関する情報は、Azureポータルではなく、

のページに集約されているので、必要に応じて確認・変更するとよい。

アクセス制御(IAM: Identity and Access Management)の設定

 Azureを使うのが1人であれば、誰がどの機能を使えるようにするかを意識する必要はないが、チームや組織など複数人でAzureを使う場合は、そのユーザーをAzureポータルに登録して、アクセス権限を付与・制限する必要がある。次にその手順を説明する。

 Azureでは、RBACRoles Based Access Control、アールバック)という機能により、ロール(=役割)に基づく細かなアクセス制御が可能になっている。このRBACで設定した権限は、サブスクリプションリソースグループリソースへと(ツリー構造の枝葉に沿って)継承されるので、(根元の)全体レベルで一括設定したり、(枝葉の)個別レベルで細かく設定内容を変えたりできる。

サブスクリプションレベルでのアクセス制御(IAM)の設定

 まずはサブスクリプションでアクセス制御を設定する方法を見てみよう。なお本稿の例ではGUIを用いる。この方法以外にもPowerShellコマンドラインインターフェース(CLI)などのCUIで処理を実行することも可能だ(設定処理を自動化したい場合は当然、この方法を採用すればよい)。

 Azureポータルを開き、左側のハブメニューから[サブスクリプション]を選択して、あとは図6の手順を実行する。

図6 サブスクリプションレベルの[アクセス制御 (IAM)]ブレードの表示

ハブメニューの一番下にある[その他のサービス >]をクリックしてサブメニューを開き、[全般]カテゴリの[サブスクリプション](=[フィルター]欄に「account」などと入力しても見つかる。なお「サブスクリプション」という日本語や、「subscription」という英語のキーワードでフィルタリングできないのは恐らく執筆時点のバグである……)をクリック

[サブスクリプション]ブレードが開かれるので、設定・参照したい対象のサブスクリプションをクリック

[サブスクリプション]ブレードが開かれるので、設定・参照したい対象のサブスクリプションをクリック

右横に[<サブスクリプション名>]ブレードが表示されるので、ブレード内のメニューから[アクセス制御 (IAM)]をクリック(このとき、ブレード名に「 - アクセス制御 (IAM)」が追記されるので注意。この画面は、追記された後のもの)

右横に[<サブスクリプション名>]ブレードが表示されるので、ブレード内のメニューから[アクセス制御 (IAM)]をクリック(このとき、ブレード名に「 - アクセス制御 (IAM)」が追記されるので注意。この画面は、追記された後のもの)

図6 サブスクリプションレベルの[アクセス制御 (IAM)]ブレードの表示

 図6の作業により、現在、追加されているユーザー/グループの一覧が表示される。この例では、Azureを始めたばかりなので、サブスクリプション管理用のユーザー(=[ユーザー]列の値が「サブスクリプション管理」で、[役割]列が「所有者」の行)が1つだけ追加されている。

 それではここに新たなユーザーを追加して、そのユーザーに任意のロール(=役割)を割り当ててみよう。

新規ユーザーの追加と、ロールの指定

 先ほどの[<サブスクリプション名> - アクセス制御 (IAM)]ブレードの上部にある[追加]ボタンをクリックすると、図7に示すようにユーザーを追加して、そのユーザーにロールを指定できる。

図7 ユーザーの追加とロールの指定

役割(=ロール。この例では「Web サイト共同作成者」)を選択

ユーザーを選択する。新規ユーザーを追加したい場合は、上部の[招待する]ボタンから招待できる

ユーザーを選択する。新規ユーザーを追加したい場合は、上部の[招待する]ボタンから招待できる(招待されたユーザーにはメールが届くので、メール内のリンクをクリックするとAzureポータルにログインできる)

追加されたユーザーを選択して[選択]ボタンをクリックし、[OK]ボタンをクリックする

追加されたユーザーを選択して[選択]ボタンをクリックし、[OK]ボタンをクリックする

以上でユーザーの追加とロールの指定は完了だ。その結果、この画面の例では新規ユーザーの[役割]の欄に「Web サイト共同作成者」と表示されている

以上でユーザーの追加とロールの指定は完了だ。その結果、この画面の例では新規ユーザーの[役割]の欄に「Web サイト共同作成者」と表示されている

「Web サイト共同作成者」ロールにどのようなアクセス許可が指定されているかは、このように「<ユーザー名>」→「<ロール名>」の順にクリックして[アクセス許可 (プレビュー)]ブレードを表示すると分かる。アクセス許可の詳細はさらに各行をクリックすれば見られるようになっている

「Web サイト共同作成者」ロールにどのようなアクセス許可が指定されているかは、このように「<ユーザー名>」→「<ロール名>」の順にクリックして[アクセス許可 (プレビュー)]ブレードを表示すると分かる。アクセス許可の詳細はさらに各行をクリックすれば見られるようになっている

図7 ユーザーの追加とロールの指定
カスタムロールについて

 初期状態の場合、図7のようにして指定できるのは、あくまで組み込みのロールのみである。欲しいロールが存在しない場合には、独自のカスタムロールを作成することもできる。

 ただし現時点では、GUIでカスタムロールを作成することはできず、PowerShell/コマンドラインツール/REST APIを使う必要があるようだ。具体的には「公式サイト: Azure RBAC のカスタム ロール」を参照されたい。

ユーザーのグループについて

 Azure Active Directoryのグループを使用してアクセスを制御することもできる。具体的には図8の手順で実行できる。

ハブメニューの一番下にある[その他のサービス >]をクリックしてサブメニューを開き、[セキュリティ + ID]カテゴリの[Azure Active Directory](=[フィルター]欄に「active」と入力しても見つかる)をクリック。[既定のディレクトリ]ブレードが表示されるので、ブレード内のメニューから[ユーザーとグループ]をクリックする

[ユーザーとグループ]ブレード内のメニューから[すべてのグループ]を選択して、上部の[追加]ボタンをクリック。表示された[グループ]ブレードの各設定項目を入力し、[メンバー]から任意のユーザーを選択する。最後に[選択]ボタン、[作成]ボタンとクリックしていくと、グループの作成が完了する

[ユーザーとグループ]ブレード内のメニューから[すべてのグループ]を選択して、上部の[追加]ボタンをクリック。表示された[グループ]ブレードの各設定項目を入力し、[メンバー]から任意のユーザーを選択する。最後に[選択]ボタン、[作成]ボタンとクリックしていくと、グループの作成が完了する

追加したグループは、アクセス制御の設定でユーザーとして選択できる

追加したグループは、アクセス制御の設定でユーザーとして選択できる

図8 Azure Active Directoryグループの使用

リソースグループ/リソースでのアクセス制御(IAM)の設定

 Web Appなどの個別のAzureサービスはリソースとして管理され、複数のリソースはリソースグループというグループ単位にまとめられて管理される。そのリソースグループやリソースへのアクセス制御は、先ほどのサブスクリプションに対する方法と変わらない。

 蛇足だと思うが念のため、アクセス制御(IAM)のブレードを開くまでの手順を簡単に示しておこう。なお、以下の例では事前に、Web Appを1つ作成する過程で、「azuredictionary」というアプリ名のリソースと、「azdict-group」という名前のリソースグループが作成されている。

 図9がリソースグループの設定、図10がリソースの設定をしているところだ。

ハブメニューの一番下にある[その他のサービス >]をクリックしてサブメニューを開き、[全般]カテゴリの[サブスクリプション](=[フィルター]欄に「resources」と入力しても見つかる)をクリック。[リソース グループ]ブレードが開かれるので、設定・参照したい対象のリソースグループをクリックする

右横に[<リソースグループ名>]ブレードが表示されるので、ブレード内のメニューから[アクセス制御 (IAM)]をクリック。以降の手順は、図7と同じである

右横に[<リソースグループ名>]ブレードが表示されるので、ブレード内のメニューから[アクセス制御 (IAM)]をクリック。以降の手順は、図7と同じである

図9 リソースグループレベルの[アクセス制御 (IAM)]ブレードの表示

ハブメニューから適切なサービス(本稿の例では[App Service])をクリック。そのサービスのブレードが開かれるので、設定・参照したい対象のリソースをクリックする

右横に[<リソース名>]ブレードが表示されるので、ブレード内のメニューから[アクセス制御 (IAM)]をクリック。以降の手順は、図7と同じである

右横に[<リソース名>]ブレードが表示されるので、ブレード内のメニューから[アクセス制御 (IAM)]をクリック。以降の手順は、図7と同じである

図10 リソースレベルの[アクセス制御 (IAM)]ブレードの表示

セキュリティセンター(Security Center)の設定

 Azureでは、セキュリティの状態を把握したり、脅威を検出・予防したりできるセキュリティセンターというサービスが提供されている。セキュリティセンターではFreeとStandardの2つのプランが用意されている。両プランの機能差については、公式サイトの説明を参照してほしい。

 Freeプランでも、セキュリティポリシーを設定してデータを収集し、脅威を監視したり、セキュリティアラートを発行したりといった、基本的なセキュリティ機能が使えるので、本稿でもこれを使うこととする。

 セキュリティセンターを活用するには、セキュリティポリシーを設定する必要がある。以下では、Freeプランでセキュリティポリシーを設定するまでの手順を簡単に提示する。

図11 セキュリティセンターでセキュリティポリシーの設定

ハブメニューの一番下にある[その他のサービス >]をクリックしてサブメニューを開き、[セキュリティ + ID]カテゴリの[セキュリティ センター]をクリックすると[セキュリティ センター - 概要]ブレードが表示される(初回表示時には、ブレードのページ上に[Azure Security Center へようこそ]と表示されるので[はい。Azure Security Center を起動します]ボタンをクリックする)

ブレード内のメニューから[セキュリティ ポリシー]をクリックする(このとき、ブレード名の「 - 概要」は「 - セキュリティ ポリシー」に置き換わる)。一覧の中から項目を選択すると、右に表示されるブレードで各設定項目が表示されるので、必要に応じて設定していく。以下は順に[防止ポリシー][電子メールの通知][価格レベル]を表示していく過程だ。全ての設定が終わったら上部の[保存]ボタンをクリックして完了だ

ブレード内のメニューから[セキュリティ ポリシー]をクリックする(このとき、ブレード名の「 - 概要」は「 - セキュリティ ポリシー」に置き換わる)。一覧の中から項目を選択すると、右に表示されるブレードで各設定項目が表示されるので、必要に応じて設定していく。以下は順に[防止ポリシー][電子メールの通知][価格レベル]を表示していく過程だ。全ての設定が終わったら上部の[保存]ボタンをクリックして完了だ

[防止ポリシー](推奨事項の表示ポリシーを設定)

[防止ポリシー](推奨事項の表示ポリシーを設定)

[電子メールの通知](セキュリティ担当者の連絡先を設定

[電子メールの通知](セキュリティ担当者の連絡先を設定)

[価格レベル](FreeとStandardから選択できる)

[価格レベル](FreeとStandardから選択できる)

[セキュリティ センター - 概要]ブレード内のメニューから[推奨事項]をクリックすると、(先ほどのセキュリティポリシーの推奨事項の設定でオンになっている項目に関しての)セキュリティ上の推奨事項が表示される

[セキュリティ センター - 概要]ブレード内のメニューから[推奨事項]をクリックすると、(先ほどのセキュリティポリシーの推奨事項の設定でオンになっている項目に関しての)セキュリティ上の推奨事項が表示される

図11 セキュリティセンターでセキュリティポリシーの設定

リソースごとのアラートの作成

 ここまでセキュリティ関連の初期設定の説明が続いたが、運用管理上のアラート(=警告のメール通知)もできるだけ早い段階で設定しておきたい項目の一つだろう。ということで、これについても簡単に触れておこう。具体的には図12の手順となる。

図12 運用管理アラートの設定

ハブメニューから[すべてのリソース]をクリック。[すべてのリソース]ブレードが開かれるので、アラートを設定・参照したい対象のリソースをクリックする

右横に[<リソース名>]ブレードが表示されるので、ブレード内のメニューから[監視中]または[監視]カテゴリの[警告]または[アラートルール]をクリック(このとき、ブレード名に「 - 警告」が追記される。この画面は、追記された後のもの)。次に[<リソース名> - 警告]ブレードの上部にある[アラートの追加]ボタンをクリックする

右横に[<リソース名>]ブレードが表示されるので、ブレード内のメニューから[監視中]または[監視]カテゴリの[警告]または[アラートルール]をクリック(このとき、ブレード名に「 - 警告」が追記される。この画面は、追記された後のもの)。次に[<リソース名> - 警告]ブレードの上部にある[アラートの追加]ボタンをクリックする

[アラートの追加]ブレードが表示されるので、アラートを発生させる条件や通知するメールアドレス(複数のメールアドレスを追加する場合は「;」で区切ればよい)などを指定して[OK]ボタンをクリックすれば、運用管理アラートの設定は完了だ

[アラートの追加]ブレードが表示されるので、アラートを発生させる条件や通知するメールアドレス(複数のメールアドレスを追加する場合は「;」で区切ればよい)などを指定して[OK]ボタンをクリックすれば、運用管理アラートの設定は完了だ

図12 運用管理アラートの設定

初めてAzureに触る方へのお勧めコンテンツ

 締めくくりとして、初めてAzureを試してみる方に向けて、お勧めのWebコンテンツを紹介しておきたい。

【お勧めのAzure入門情報】:

【お勧めのAzure最新情報】:

 これらのリンク一覧は、Azure Centralページの上部にも掲載しているので、普段はぜひそちらから活用していただけるとうれしい。

※以下では、本稿の前後を合わせて5回分(第1回~第5回)のみ表示しています。
 連載の全タイトルを参照するには、[この記事の連載 INDEX]を参照してください。

1. 設計時に使えるAzure/AWSサービス・アイコン集とダウンロード方法[PR]

クラウド上のシステムやサービスを設計する際には、視覚的に分かりやすいアイコンを使おう。アイコンセットのダウンロード方法を示し、各アイコンを用いてAzure/AWSサービスの対応一覧表をまとめる。

2. 【現在、表示中】≫ Azureアカウントを取得したら最初にやっておくべき初期設定[PR]

Azureを使い始めたら、特に重要なセキュリティ設定を初めに済ませよう! Azureアカウント保護(二段階認証)/アクセス制御(IAM)/セキュリティセンターの設定方法を説明。さらに各種アラートの作成方法や、入門者にお勧めのコンテンツも紹介する。

3. iPhone/Androidの2段階認証アプリ「Authy」で複数デバイス対応(Microsoftアカウント編)[PR]

パスワード漏えい問題が頻発する現在ではログインの2段階認証は必須だ。人気アプリ「Authy」を使って、各種スマホ&PCブラウザーなど複数デバイスで2段階認証用のトークンを取得する方法を紹介する。

4. サーバーレスアーキテクチャとは? Azure Functionsで初めての開発[PR]

最近、注目を集めている「サーバーレスアーキテクチャ」の概要と、Azure Functionsを使ったサーバーレス開発の基礎をコンパクトに解説。トリガーや入力/出力のバインディングを作成してみよう。

5. Azure VMでLinuxインスタンスを起動したら最初にやっておくべき初期設定[PR]

Azure仮想マシンでLinuxインスタンスを立ち上げたら、SSH接続のための設定や、スワップファイルの有効化、タイムゾーンの設定、Azure CLIのインストールは必ず行いたい。その設定方法を紹介する。

GrapeCity Garage 記事内容の紹介

Azure Central の記事内容の紹介

Twitterでつぶやこう!


Build Insider賛同企業・団体

Build Insiderは、以下の企業・団体の支援を受けて活動しています(募集概要)。

ゴールドレベル

  • グレープシティ株式会社
  • 日本マイクロソフト株式会社