今回は、Microsoft Purviewについて解説します。

Microsoft Purviewは2023年の改定でAZ-900の試験範囲に加えられたサービスです。もしかすると聞きなれないサービスかもしれませんが、まずは概要をおさえてみてください。

それではいってみましょう！

Microsoft Purviewとは？

Microsoft Purviewは、組織の持つデータをまとめて管理・保護するためのサービスです。一言でいうと「統合データガバナンス」と表現されます。

企業のインフラ環境は現実的にはどこかひとつのクラウドだけで成り立つことは少なく、既存のオンプレミス環境とハイブリッドで構成していたり、AWSやGCPなど他社のパブリッククラウドや、PowerBI、SalesForce などの SaaS のサービスを併用していることがよくあります。

Microsoft Purviewでは、それら複数の環境に存在している組織のデータを検出して統合し、包括的な方法でデータを管理・保護することができます。たとえば、次のような機能があります。

• データマップで組織全体のデータを可視化
• データにラベル付けして機密情報を分類
• 機密情報のデータ持ち出しを防止

以下のYoutubeでは、顧客データの入ったExcelファイルを個人のGoogleドライブにアップロードしようとしてもそれがブロックされるシナリオが紹介されています。（データ損失防止 (DLP) ポリシーで実現）

まとめ

今回はMicrosoft Purviewについて解説しました。

Microsoft Purviewは統合プラットフォームのためでできることは実際にはかなり多いですが、組織のデータを横断的に検出、分類、保護、監視するためのサービスである点を覚えておきましょう。

それでは、また。

Azure入門コースを見る

2022年に私がAZ-900試験を受験した時の記事 【AZ-900】現役エンジニアがガチで勉強して受験してみた が「freelance hub」というメディアで紹介されました！

【AZ-900】現役エンジニアがガチで勉強して受験してみたどうも、フリーランスエンジニアのMakotoです。 Azureの入門資格試験であるAZ-900ですが、ネットで検索してみると未経験...

クラウドの資格取得を目指す人は必見

掲載された記事は「freelance hub」内でお役立ちコンテンツとして発信されている以下の記事です。私の記事だけでなく、AWSの資格試験の体験記も紹介されています。

人気スキルの資格をゲットしよう！AWS・Microsoft Azure認定試験合格体験記まとめ

お役立ちコンテンツには、他にもGCPの資格試験の受験体験記や勉強方法なんかも紹介されています。クラウドの資格取得を目指す人には情報収集が捗りそうで嬉しいですね。第3者の経験談は貴重。

freelance hubとは？

freelance hub は、フリーランス向けの案件・求人情報サイトで、2021年5月にスタートした割と新しいサービスです。

フリーランスエンジニア界隈では知名度の高い「レバテック」を運営している「レバレジーズ株式会社」がこのサービスも運営しています。私も過去にレバテックにお仕事を紹介してもらったことがあり、大変お世話になりました。

レバテックなどのフリーランスエージェント単体でも案件を探すことはできますが、「freelance hub」では複数のエージェントを横断して案件を検索できるようです。サービス名に「hub」とあることからも想像できますが、複数エージェントの仲介役として機能し、大量の案件を一括検索して素早く案件を見つけることができそうなサービスと言えるのではないでしょうか。

フリーランス向けの案件をお探しの方はぜひチェックしてみてください！

freelance hub で案件を探す

それでは、また！

Azure入門コースを見る

今回は、Service Trust Portalについて解説します。

Microsoftの様々な取り組みを知るために役立つポータルサイトです。ぜひ、最後までお読みください。

それではいってみましょう！

Service Trust Portalとは？

Service Trust Portalは、Microsoftのセキュリティ、プライバシー、コンプライアンスに関するさまざまなコンテンツ、ツール、その他のリソースが提供されています。

法規制やデータ保護基準などに関する文書が一元管理された場所でもあります。

以下のURLからアクセスできます。

• servicetrust.microsoft.com
• aka.ms/STP（短縮URL）

私たちはAzure（クラウド）を活用することでコスト削減、高可用性、変化への迅速な対応といったメリットを享受しようとします。

そのためにアプリケーションやデータをMicrosoftの提供するデータセンターに預けるわけですが、そのアプリケーションやデータの安全性はどのように確認するのでしょうか？

誰もが知る会社なので「Microsoft」というブランドの安心感はもちろんありますが、会社としてその安全性を客観的に証明する必要があります。

Microsoftは第三者による監査を受け、様々な種類の認証を取得しています。Service Trust Portalでは、監査レポートや証明書、侵入テストや脆弱性評価のレポートを確認することができます。

Microsoftは安心ですよーとアピールしているわけだね

代表的な規格、コンプライアンス基準、データ保護基準には次のようなものがあります。

• 国際標準化機構 （ISO）
• System and Organization Controls（SOC）
• 一般データ保護規則 （GDPR）

Microsoftではこのように、顧客やユーザーの信頼を得るための取り組みが行われており、Service Trust Portalにアクセスすると法律や規制標準にどのように準拠しているのか、そういった取り組みを知ることができます。

どのメニューから何が確認できるのか、概要を知りたい場合にはMicrosoft Learnの「Service Trust Portal のオファリングについて説明する」を参考にしてみてください。わかりやすくまとめられています。

なお、Service Trust Portalは無料で利用できますが、一部のリソースにアクセスするにはAzure / M365 / D365のMicrosoftクラウドサービスアカウントを使用してサインインする必要があります。

サインインすると、マイライブラリにドキュメントを保存しておくこともできます。

まとめ

今回はService Trust Portalについて解説しました。

エンジニアというよりは組織のコンプライアンス担当者が見るようなポータルサイトだと思うのでややとっつきにくいかもしれませんが、AZ-900試験の対策としては用語と概要をおさえておきましょう。

それでは、また。

Azure入門コースを見る

今回は、Azure BluePrintsについて解説します。

組織のガバナンスを実現するための仕組みで、Azure Policyとセットで覚えておきたいサービスです。ぜひ、最後までお読みください。

【AZ-900】Azure Policyとは？具体例を交えてわかりやすく解説！どうも、フリーランスエンジニアのMakotoです。 今回は、Azure Policyについて解説します。「Policy」というワー...

それではいってみましょう！

Azure BluePrintsとは？

Azure Blueprintsは、複数のポリシーやロール（RBAC）などの割り当て定義をテンプレート化して、複数のサブスクリプションに適用および監査・追跡するための仕組みです。

2024年7月現在はプレビュー中（お試し）のサービスとなっています。試験でも概要くらいしか問われないかもしれません。

Blueprintは「設計図」や「青写真」という意味です。Azureポータルでは「ブループリント」とカタカナで表示されます。

ブループリントには次のようなアーティファクト（成果物）を定義します。

• ポリシーの割り当て
• ロールの割り当て
• ARMテンプレート
• リソースグループ

雑な例ですが、

• リージョンは日本
• 仮想マシンやストレージのSKU（サイズ）は〇〇と△△
• タグは□□
• ◇◇には××のロールを割り当て
• リソースグループは●●を作成

みたいなルールの集まりをテンプレートとして定めておく感じです。

このテンプレートは、v1.0、v1.1のようにバージョン番号をつけて世代管理することができます。作成したテンプレートはサブスクリプションに「割り当て」することで、定義したリソースグループの作成やポリシー・ロールの割り当てが行われます。

Azure Blueprintsを利用することで、組織のコンプライアンス要件に準拠した環境を効率良く迅速に構築することができます。

組織の標準的なルール、環境ごとのパターンなどを雛形として作っておくことで、複数のサブスクリプションに対して繰り返し適用する作業が効率化されるわけです。

必要なミドルウェアをインストールしたWebサーバ用のカスタムイメージを作っておいて、仮想マシンを複数台展開できるようにしておくのと同じような感じでしょうか。

ブループリントは一から作成することもできますし、最初から用意されているサンプルを利用することもできます。

まとめ

今回はAzure BluePrintsについて解説しました。

Azure BluePrintsはポリシーやロールの割り当てをテンプレート化して複数のサブスクリプションに適用・追跡するのに役立ちます。

Azure Policyと同じく、組織の適切なガバナンスを実現するためのサービスとして覚えておきましょう。

それでは、また。

Azure入門コースを見る

今回は、Microsoft Defender for Cloudについて解説します。

Azureのセキュリティを管理する上での重要なサービスです。ただでさえとっつきにくい用語が登場するのに、サービス名称の変更もあって混乱しがちです（私だけ？）

今回も画面ショット付きでわかりやすい解説を心掛けましたので、ぜひ、最後までお読みください。

それではいってみましょう！

Microsoft Defender for Cloudとは？

Microsoft Defender for Cloudは、セキュリティを総合的に管理・可視化するためのサービスです。

2021年11月までは Azure Security Center と呼ばれていましたが名称が変わっていますのでご注意ください。

セキュリティーセンター、いかにも！って感じの名前でこっちのほうがわかりやすくて好みでした。

いきなり話がそれますが、サービス名の変更について少し補足します。

出典：Azure Security product name changes – Microsoft Ignite November 2021

Azure Security Centerだけでなく、Azure Sentinelなど他のセキュリティサービスも同時に名称が変更されたのですが、サービス名から「Azure」の冠がなくなるということは

このサービスがサポートするのはAzureだけではありませんよっ

というメッセージが読み取れます。

Azure Arcの記事でも少し触れましたが、ハイブリッドクラウド、マルチクラウド環境をまとめて集中管理するための動きが加速しているのでしょう。

表中にある「Azure Defender」はAzure Security Centerの有償オプションでしたが「強化されたセキュリティ機能」という名称になりました（後述）

Microsoft Defender for Cloudでできること

セキュリティを総合的に管理というと少し抽象的ですよね。具体的には次のようなことができます。

• 現在のセキュリティの状況を「セキュアスコア」として可視化
• 推奨事項を元にセキュリティを向上
• 規制コンプライアンスの適合状況を可視化
• 保護されているリソースに対する脅威を検出してアラートを通知
• 強化されたセキュリティ機能を有効化すると追加機能が利用可能

先に少し触れましたが、Azure以外にもオンプレミスや他社クラウドのサーバを管理・保護することもできます。

順番に見ていきましょう。

セキュアスコアと推奨事項

代表的な機能としてセキュアスコアと推奨事項があります。

現在のセキュリティの状況が「セキュアスコア」として可視化されるので現状把握に役立ちます。セキュアスコアは「セキュリティスコア」と記載される場合もあります。

そして、表示される推奨事項を満たすとスコアを上げることができます。修復手順が表示されるのもわかりやすいですね。

どこかで聞いたことがあるような・・・？

そう思ったアナタは鋭いです。

スコアで可視化し、推奨事項を表示してくれるのはAzure Advisorと同じ機能です。学習の順番の関係もありますので、まだ学習されていない方は合わせて記事をご覧ください。

【AZ-900】Azure Advisorとは？ベストプラクティスに沿ってAzure環境を最適化しよう！どうも、フリーランスエンジニアのMakotoです。 今回は、Azure Advisorについて解説します。 アドバイザー（A...

Microsoft Defender for Cloudの推奨事項はAzure Advisorと統合されており、Advisorのカテゴリのうちの「セキュリティ」はMicrosoft Defender for Cloudでも確認できるようになっています。

規制コンプライアンス

続いて、規制コンプライアンスの機能について見てみましょう。

規制コンプライアンスと聞くとなんだか難しそう

とりあえず公式ドキュメントから一部抜粋します。

規制コンプライアンスとは、地域の行政機関によって施行される法律、または自主的に採択された業界標準で要求されている規則に企業が従うことを保証するための規範とプロセスのことです。 IT の規制コンプライアンスの場合、ユーザーやプロセスが企業システムを監視し、これらの準拠法、規制、標準によって定められたポリシーや手順への違反を検出して防ぎます。

出典：規制コンプライアンスの概要

かいつまんでみると、法律や規則に従うことを保証するための規範とプロセスとあります。

コンプライアンスといえば一般的に「法令遵守」と訳されますが、必ずしも法律で定められたルールのみを指しているわけではなく、その業界で自主的に選択された規則なども含まれます。

公的機関や業界団体などが定めた「こうするべきだよね」のルール集＝業界標準（コンプライアンス標準）をAzureの利用に当てはめてくれて、適合状況を可視化し、準拠するために支援をしてくれるのが「規制コンプライアンス」だと考えれば良いでしょう。

選択できるルール集（コンプライアンス標準）にはいくつかありますが、Microsoftが定義した「Microsoftクラウドセキュリティベンチマーク（旧Azureセキュリティベンチマーク）」は無料で利用できます。（ルールの適用は内部的にはAzure Policyのイニシアチブ定義が使われています）

CSVやPDFでレポートをダウンロードすることもできます。

セキュリティアラート

脅威を検出した場合など、セキュリティ関連の問題が見つかった場合にセキュリティアラートを通知することができます（以下はサンプルのアラートです）

セキュリティアラートは後述の「強化されたセキュリティ機能」を有効にする必要があります（有償です）

デフォルトではサブスクリプションの管理者にメール通知されます。

強化されたセキュリティ機能（旧Azure Defender）

Microsoft Defender for Cloudは無料で利用できます。

デフォルトではFreeプランが自動的に有効化され、いくつかの推奨事項は無料で確認することができます。

• 所有者のアカウントではMFAを有効にせよ
• 複数の管理者（所有者）を指定せよ
• NSGで仮想マシンを保護せよ

みたいな基本的なやつですね。

前述のとおり「Microsoftクラウドセキュリティベンチマーク」の規制コンプライアンスも無料で利用できます。

強化されたセキュリティ機能（旧 Azure Defender）を有効化すると追加のセキュリティ管理、脅威防止機能を利用することができます。

30日のお試し期間が設けられているので、有効化しても初めは無料で利用できます。仮想マシン、App Serviceなどリソースの種類ごとに単価が異なっており、個別にON/OFFすることができます。

まとめ

今回はMicrosoft Defender for Cloudについて解説しました。

AZ-900試験の対策としては特に次の点をおさえておきましょう。

• Azure Security Centerから名前が変わっている
• オンプレミスや他社クラウドのサーバも保護できる
• セキュリティの対応状況をセキュアスコアで確認できる
• 規制コンプライアンスを満たしているか確認できる
• 一部の機能は「強化されたセキュリティ機能」を有効化して有償で利用

無償/有償でできることが分かれていて少々ややこしいいですが、主に無償で使える機能の概要を理解しておけば十分だと思います。

それでは、また。

Azure入門コースを見る

今回は、Azure Arcについて解説します。

Arc（弧、円弧）はおそらく架け橋のような意味合いと思われますが、サービス名からはどんな機能なのかあまり想像できませんよね？

イメージが沸きやすいように、実際に試してみた画面をお見せしながら解説しますので、ぜひ、最後までお読みください。

それではいってみましょう！  

Azure Arcとは？

Azure Arc（アジュール アーク）は、Azure以外の場所にある分散したサーバ環境をAzure上で一元管理するためのサービスです。

• 他社クラウドサービス
• エッジコンピューティング
• オンプレミス

Azureの外部にあるこういった環境のWindows Server、Linux、KubernetesクラスターなどをAzureに接続して、まとめて管理しましょう、ということです。

出典：Azure Arc の説明

Azure Arcは2019年に発表された比較的新しいサービスです。

ハイブリッドクラウド、マルチクラウド環境においてはサーバの管理が複雑化しがちなので、Azureで集中管理するためのソリューションとして登場しました。

これの意味するところとしては、企業のインフラ環境は現実的にはどこかひとつのクラウドだけで成り立つことは少なく、既存のオンプレミス環境とハイブリッドで構成していたり、AWSやGCPなど他社クラウドも併用していたりするといった背景があるわけです。

Azure Arcのメリット

Azure上で一元管理できるとどういったメリットがあるの？

公式ドキュメントから一部抜粋します。

• 既存の Azure 以外またはオンプレミスのリソース、またはその両方を Azure Resource Manager に投影することで、お使いの環境全体を一斉に管理します。
• あたかも Azure 内で実行されているかのように、仮想マシン、Kubernetes クラスター、データベースを管理します。
• リソースがどこにあっても、使い慣れた Azure のサービスや管理機能を使用できます。

出典：Azure Arc の概要

初めて触ってみたのですが、結論としては次のようなことができます。

• Azureポータルで見れる
• Azure Policyの適用
• Azure Monitorとの統合（監視）
• インストール済みソフトウェアなどIT資産情報（インベントリ）の収集
• 更新プログラムの管理
• 変更履歴の追跡
• 拡張機能の追加
• タグ付与、ロック

内外問わず、統一されたこれらの方法で管理することで、ガバナンスが簡素化され、管理負担が軽減されるわけです。

使い慣れたAzureポータルの操作性そのままに外部のサーバを一覧表示したり、ARMの機能を適用できる点はスゴイなぁと感じました。

公式ドキュメントに書いてある「Azure Resource Manager に投影」「あたかも Azure 内で実行されているかのように」という部分に納得。

試しにAWSの仮想サーバ（EC2）を2台、Azure Arcに接続してみたので簡単にご紹介します。

Azure Arcに接続（オンボード）するには、接続元のサーバでスクリプトを実行してエージェントをインストールします。

Linuxの場合はシェルスクリプト、WindowsであればPowerShellのコマンドをAzureポータルから表示、入手できます。

接続完了するとAzure Arcのサーバーとして一覧表示されます。

リソースグループを見てもリソースとして表示されていますね。

概要メニューを見ると、このEC2インスタンスのOSは「Amazon Linux 2」であることがわかります。

分析情報（VM insights）を有効化すると、CPUやディスクの使用率を確認することができます（Amazon Linux 2はサポートされていないようだったのでCentOS 7で試しました）

タグを付与したり、削除ロックを登録すると削除できない点も確認できました。

その他、概要以外のメニューからポリシー、更新プログラムの管理、インベントリなどの機能を構成できます。

Azure Automation や Log Analytics との連携が必要な機能もありますが、このへんはAzureの仮想マシンであっても同じです。

まとめ

今回はAzure Arcについて解説しました。

AZ-900試験対策としては、「Azure以外の外部サーバを一元管理」とくれば、Azure Arcを思い浮かべるようにしましょう。

それでは、また。

Azure入門コースを見る

今回は、Azureへの移行ツールについて解説します。

• Azure Migrate
• Azure Data Box

利用シーンが限られるので試験範囲の中ではそれほど比重は大きくない気がしますが、2022年の改定で新たに追加されたサービスです。ぜひ、最後までお読みください。

それではいってみましょう！ 

Azure Migrateとは？

Azure Migrateは、オンプレミスや他社クラウドからAzureへの移行を支援してくれるサービスです。

Azureへ移行するために必要な機能を集約して、一元的な窓口となるような管理画面を提供します。

個人的には、Azure Monitorと似ているなと思いました。複数の機能やツールが統合されているところが。

さて、ここでは移行元はオンプレミス前提で話を進めます。

移行対象と移行先は次のように整理されています。Azure Data Boxはあとでも触れます。

評価ツールを使うと、オンプレミスにあるサーバを検出し、依存関係の分析、Azureに対応できるかどうか、サイズを推定、コストの見積もりなど、移行についての評価を行ってくれます。

以下は簡単な例ですが、評価結果がグラフで可視化されるのもいいですね。

実際に移行する時には移行を支援するツールがいくつも用意されています。

Azure Migrate自体は基本的に無料で利用できますが、統合されているサードパーティの評価・移行ツールは有料です。（Azureが提供している標準ツールは一部を除き無料です）

サードパーティのISVツールを選択する場合、「表示」のリンクをクリックすると公式ページに飛んで、機能や価格を確認することができます。

シナリオによってはツールの選択がややハードル高そうですが、Azureポータルの画面からサードパーティのツール含めて一元管理でき、移行の開始、状態を追跡できる点はメリットであると言えるでしょう。

Azure Data Boxとは？

Azure Data Boxは、オンプレミスにある大容量のデータをAzureへ移行するためのサービスです。AWSでいうところの「AWS Snowball」です。

次のような物理的なデバイスを使ってデータ移行を行います。

出典：Azure Data Box とは何ですか? – Data Box のコンポーネント

Azureポータルから注文して専用のデバイスを送ってもらい、オンプレミスでのデータを専用デバイスに移した後、Azureのデータセンターにデバイスを返送して移行させます。

出典：Azure Data Box ファミリのしくみ

こういった物理的な移行手段は、容量が数十TB（テラバイト）以上の大容量データを移行したい場合の解決策になり、次のような場合に適しています。

• ネットワークが遅い、信頼性が低い
• ネットワーク帯域幅を追加するためにコストがかかる
• ネットワーク経由での機密データのコピーが許可されない

帯域幅を占有して他の通信に影響が出てしまったり、数日かけて転送中だったプロセスが失敗して最初からやり直す、なんてことは避けたいですよね。。

Azure Data Boxを使うと、回線を圧迫することなく大容量データを短期間で安全に移行することができるわけです。

と、ここまでAzureへ移行（インポート）する前提でお話しましたが、Azureからエクスポートしてオンプレミスなどに持っていくこともできます。一方通行ではなく、双方向です。

以下の画面はAzureポータルで製品を選択する画面です。Data Boxの物理デバイスは次の３種類があり、使用可能な容量などが異なります。詳細は製品の詳細情報をご覧ください。

• Data Box Disk：35 TB
• Data Box：80 TB
• Data Box Heavy：800 TB

右端にある「Import/Export Job」は次で解説します。

Azure Import/Exportとは？

Data Boxが利用できなかったり、容量がそれほど大きくない場合はAzure Import/Exportを使って移行することもできます。AWSでいうところの「AWS Import/Export Disk」です。

AZ-900の試験範囲としては明示されていませんが、Data Boxとセットで覚えておくと良さそうです。どちらもオフライン転送の手段です。

名称からわかるようにこのサービスもインポート/エクスポートどちらにも対応しています。

前述の「Import/Export Job」を選択するとジョブの作成画面になり、データソースや運送業者の情報など画面に従って入力して進める形です。

Data Boxと異なりディスク（HDD/SSD）を利用者側で準備する必要があったり、インポートの場合にはドライブのシリアル番号、暗号化キー、ストレージアカウントの詳細などの基本情報が書かれた「ジャーナルファイル」を作成する必要があります。

インポート/エクスポートの手順の流れを抜粋します。

出典：Azure Import/Export のしくみ

ユーザーが必要なハードウェアの準備と発送の責任を負うことになるためData Boxと比べると少し手間がかかる印象はありますが、1TB以上から利用できるので要件に応じて使い分けるのが良いでしょう。

まとめ

今回はAzureへの移行ツールについて解説しました。

AZ-900試験対策としては、「オンプレミスからAzureへの移行」とくれば、

• 統合管理ツールの「Azure Migrate」
• 大容量データ移行の「Azure Data Box」

を思い浮かべるようにしましょう。

それでは、また。

Azure入門コースを見る

今回は、Azure Storageのデータを移動するためのオプションについて解説します。

Azureポータルからもファイルやフォルダをアップロード/ダウンロードしたり削除することもできますが、提供されているツールやサービスを活用することでそれらの操作を効率化できます。ぜひ、最後までお読みください。

それではいってみましょう！ 

Azure Storage Explorer

Azure Storage Explorerは、Windows、macOS、Linuxにインストールして利用できるAzure Storageを操作するためのGUIツールです。

Windowsのエクスプローラー、macOSのFinderのAzure Storage版だと考えれば良いでしょう。

GUIのツールなのでツールバーなどから直感的に操作できますし、複数のファイルやフォルダをドラッグしてまとめてアップロードすることもできます。

以下の画面の例では、左側ツリー表示のエリアから「image」というコンテナーを選択してBlobの一覧を表示させています。

なお、Azureポータルの「ストレージブラウザー」のメニューからも同じような見た目のツールを利用することができます。

AzCopy

AzCopyは、コマンドラインでAzure Storageを操作するためのCUIツールです。「エーズィーコピー」または、「エーゼットコピー」と読みます。

Azure Storage Explorerと同じくWindows、macOS、Linuxで利用できます。インストール不要で、実行ファイルをパスの通った場所に配置するだけで使うことができます。

Azure CLIでもデータのアップロード/ダウンロードなどはできますが、AzCopyはAzure StorageのBlob、Fileのデータコピーに特化しており、最適なパフォーマンスを実現するために設計されています。

コマンドの実行例を以下に示しますが、azcopy 操作 引数 の形式が基本的な形です。recursive（再帰的）などのフラグを指定することもでき、この場合はサブフォルダも含めてコピーや削除が実行されます。

# サインイン（https://microsoft.com/deviceloginにアクセスして表示されている認証コードを入力）
azcopy login

To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code SG7AC**** to authenticate.

INFO: Logging in under the "Common" tenant. This will log the account in under its home tenant.
INFO: If you plan to use AzCopy with a B2B account (where the account's home tenant is separate from the tenant of the target storage account), please sign in under the target tenant with --tenant-id
INFO: Login succeeded.

# imageコンテナーのBlob一覧を取得（Azure Virtual Machine.pngの1ファイルのみ）
azcopy list "https://azstartstorage.blob.core.windows.net/image"

INFO: Authenticating to source using Azure AD
INFO: Azure Virtual Machine.png;  Content Length: 5.22 KiB

# Dir1のフォルダをアップロード
azcopy copy Dir1 "https://azstartstorage.blob.core.windows.net/image" --recursive

# Dir1のフォルダを削除
azcopy rm "https://azstartstorage.blob.core.windows.net/image/Dir1" --recursive

他にも、syncで同期したり、benchでベンチマークテストを実行したり、AWSなど他社のクラウドストレージからコピーすることもできます。

AZ-900試験ではコマンドの構文までは問われないと思いますが、詳細を知りたい方はリファレンスを参照してください。

Azure File Sync

Azure File Syncは、ファイル共有（Azure StorageのFile）に保存しているデータをオンプレミスなどのWindows Serverにキャッシュして利用できるサービスです。

OneDriveやGoogleDrive、Dropboxなどの一般的なクラウドストレージサービスと仕組みは似ています。

Windows ServerにAzure File Syncエージェントをインストールして構成することで、例えばオンプレミスのサーバAで変更したファイルはクラウド側のファイル共有に反映され、最終的にサーバBにも同期されます。

Azure File Syncは、Windows Serverでのみサポートされています（新しいバージョンは今後も追加される予定）

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

クラウドの階層化という機能を有効にすることで、アクセス頻度の高いファイルのみをローカルに保持することもできます。

Azure File Syncには次のような用途・メリットがあります。

• オンプレミスのファイルサーバをクラウドに拡張できる
• クラウドで一元管理して複数拠点で共有できる
• バックアップや災害対策

実際の構成手順は、以下のハンズオン記事を参考にしてください。

【作りながら覚える】Azure File Syncを試してみたどうも、フリーランスエンジニアのMakotoです。 今回は、Azure File Syncを利用してAzureにファイルを同期する...

注意点として、クラウド側のファイル共有に対して直接変更を加えた場合、Windows Serverには即座に反映されず、24時間ごとに実行される変更検出ジョブを待つ必要があります。

Q.SMB またはポータルを使用して Azure ファイル共有上でファイルを直接作成しました。このファイルを同期グループのサーバーで同期するには、どのくらいの時間がかかりますか?

A.Azure Portal または SMB を使用して Azure ファイル共有に加えられた変更は、サーバー エンドポイントに対する変更とは異なり、検出とレプリケーションが即座に行われることはありません。（中略）

変更検出ジョブによってファイルが変更されていると判断された場合に、Azure File Sync は同期セッションを開始します。 変更検出ジョブは 24 時間ごとに実行されます。

出典：Azure Files に関してよく寄せられる質問 (FAQ)

Windows Serverでの変更は即座に反映されますが、クラウド側で変更した場合には約24時間かかるということですので、実際に利用する場合には注意しましょう。

ただし、手動で変更検出ジョブを動かすこともできます。詳細はこちらの記事をご覧ください。

まとめ

Azure Storageのデータを移動するためのオプションについて解説しました。それぞれのオプションを簡単にまとめると次の表のような形になります。

これらのツールやサービスを利用することで用途に合わせてデータをコピーしたり同期できる点をおさえておきましょう。

それでは、また。

Azure入門コースを見る

今回は、AzureのPaaSサービスに接続するためのエンドポイントについて解説します。サービスエンドポイントは試験範囲ではないかもしれませんが便宜上あわせて解説します。

• パブリックエンドポイント
• サービスエンドポイント
• プライベートエンドポイント

似たような名前で違いがわかりにくい・・・

それぞれのエンドポイントの概要だけでなく、内部的な仕組みや設定手順もあわせて解説します。ぜひ、最後までお読みください。

それではいってみましょう！

エンドポイントの比較サマリ

今回は先に結論です。3つのエンドポイントを簡単にまとめると次の通りです。

サービスエンドポイント、プライベートエンドポイントともインターネットに出ることなく安全に接続するための手段で、パブリックIPアドレスかプライベートIPアドレスかの違いがあります。

詳細は後述しますが、AZ-900試験の対策としてはまず、パブリックエンドポイントとプライベートエンドポイントの違いを理解しておきましょう。

パブリックエンドポイントとは？

まず、エンドポイントという言葉の意味をおさえておきましょう。

エンドポイントとは、「終端」や「末端」という意味を指す用語ですが、クラウドの文脈ではサービスの接続先となる「URL」のことだと理解して問題ないでしょう。

Azureの主要なPaaSサービスはインターネット経由で接続する前提で設計されており、例えば*.windows.netなどのURLで接続するとパブリックなIPアドレスに名前解決されて接続されます。

パブリックエンドポイントとは、各サービスごとに割り当てられたURLのことを指しており、それはつまり、接続先となるパブリックIPアドレスであるとも言い換えることができます。図中の青丸がパブリックエンドポイントのイメージ。

インターネットを経由してパブリックIPアドレスで接続するということは、セキュリティ設定が甘ければ誰でも接続できるリスクがあるということです。

一般的にシステムのセキュリティレベルを上げるために、インターネットを経由せずに「閉域で接続できること」が要件になることはよくあります。

こういった背景をもとに登場したエンドポイントが「プライベートエンドポイント」です。

サービスエンドポイントとは？

プライベートエンドポイントを解説する前に「サービスエンドポイント」について触れておきます。AWSでいうところのVPCエンドポイント（GW型）です。

AZ-900の試験範囲としては明示されていませんが、プライベートエンドポイントと比較されることが多く、将来のためにセットで理解しておくことをオススメします。

サービスエンドポイントを使うと、インターネットを経由せずにPaaSのリソースに接続できるようになります。無料で使えるのも特徴です。

サービスエンドポイントの説明を公式ドキュメントから抜粋します。

仮想ネットワーク (VNet) サービス エンドポイントでは、Azure のバックボーン ネットワーク上で最適化されたルートを介して、Azure サービスに安全に直接接続できます。 エンドポイントを使用することで、重要な Azure サービス リソースへのアクセスを仮想ネットワークのみに限定することができます。

出典：仮想ネットワーク サービス エンドポイント

要するに2つのことができるようになると書いています。

• Azureのバックボーンネットワークを経由するようになる
• アクセス元を仮想ネットワークに限定することができる

図解するとこんな感じ。

Azureバックボーン経由となるのは仮想ネットワークからの接続の場合です。図の例だと仮想マシンからリソースに接続しようとするとインターネットに迂回することなく直接接続できます。

デフォルトでは仮想ネットワークのサブネット単位で「システムルート」というルートテーブルが設定されており、0.0.0.0/0 つまり、パブリックIPアドレス宛ての場合のネクストホップは「インターネット」になっています。（図中の白丸）

出典：仮想ネットワーク トラフィックのルーティング

ところが、サービスエンドポイントを設定するとAzureバックボーン経由の接続点が作成され（図中の赤丸）、指定したサービスの持つパブリックIPアドレスへ接続する場合のネクストホップが「サービスエンドポイント」になるようルートが追加されます。

仮想ネットワークのメニューにあるサービスエンドポイントの追加画面。以下の例ではAzure Storage（Microsoft.Storage）を追加しています。

仮想マシンのネットワークインターフェイスのメニューにある有効なルートの画面。Azure Storageへ接続する場合のルートが追加されています。

そして、サービスエンドポイントはファイアウォールによるアクセス制御にも利用できます。

パブリックネットワークアクセスの設定を「選択した仮想ネットワークとIPアドレスから有効」に変更した場合に、アクセス元をサービスエンドポイントを持つ仮想ネットワーク（サブネット）に限定することができます。

次の画面はストレージアカウントのネットワークメニューから仮想ネットワークを追加しているところです。

なお、下段の「ファイアウォール」の箇所にアドレス範囲を指定して自分のPCなどのIPアドレスを許可することもできます。

整理すると、サービスエンドポイントはPaaSのリソースが持つパブリックIPアドレス宛ての経由点で、仮想ネットワークの出口にあるゲートウェイのようなものです。

仮想ネットワーク内部からPaaSに接続する時のルートをサービスエンドポイントに振ることで、Azureバックボーンを経由して安全に直接接続できるようになります。

そして、ファイアウォール規則に仮想ネットワークを指定することで、アクセス元を特定の仮想ネットワークに限定することができます。

こういった機能が無料で利用できるのでメリットが大きいと思われるかもしれませんが、Microsoftとしては次に説明する「プライベートエンドポイント」を推奨しています。

サービスエンドポイントでは接続元は限定できても、接続先として「特定のリソースにしかアクセスさせない」といったことが実現できなかったり、接続先にパブリックIPアドレスを利用する点が管理上、面倒だったりするためです。

プライベートエンドポイントとは？

プライベートエンドポイントを使うと、接続先もプライベートIPアドレスでPaaSのリソースに接続できるようになります。AWSでいうところのVPCエンドポイント（IF型）です。

つまり、PaaSのリソースがあたかも仮想ネットワークの中に存在しているかのように扱うことができるということです。

こちらは有料で、稼働時間とデータ転送量に応じて課金されます。

サービスエンドポイントより後に登場したサービスで、対応するPaaSもどんどん拡大されています。

プライベートエンドポイントを利用する場合は次の3つのリソースが登場します。

図解するとこんな感じ。

前述のサービスエンドポイントでは、PaaSの接続先URLはパブリックIPアドレスに名前解決されます。ルートがインターネット経由ではなくなりますが、パブリックIPアドレスで接続します。

プライベートエンドポイントでは、PaaSの接続先URLはプライベートIPアドレスに名前解決されます。

次の画面は、Linuxの仮想マシンからdigコマンドで名前解決の結果を確認した場合の例です。

BlobストレージのURLが設定前（上）はパブリックIPアドレスに名前解決されていますが、設定後（下）はプライベートIPアドレスになっていることがわかります。

つまり、仮想ネットワーク内部からPaaSに接続する場合、プライベートDNSゾーンのエントリによってプライベートIPアドレスに接続するように変更され、プライベートリンクで定義された関連付け（リンク設定）により、よしなに中継してくれているというわけです。

プライベートリンクでの関連付けが1対1で設定できる点も見逃せません。接続元、宛先リソースとも指定できるので、サービスエンドポイントの課題をクリアしています。

実際に利用する際の注意点として、パブリックエンドポイントが勝手に無効になるわけではないので、外部からのアクセスを遮断したい場合はパブリックアクセスを無効にする必要がある点は覚えておきましょう。

プライベートエンドポイントは「Private Linkセンター」のメニューから作成します。

 基本タブでは名前やリージョンを指定します。

リソースタブでは接続先のリソースを選択します。ここではストレージアカウントのBLOBを選択しています。

仮想ネットワークタブでは接続元の仮想ネットワークとサブネットを指定します。ここで指定したサブネットにNICが作成されます。

DNSタブではDNSレコードの管理方法を指定します。Azureで管理する場合は「プライベートDNSゾーンと統合する」としておけばいっしょにプライベートDNSゾーンが作成されます。

プライベートエンドポイントを作成したらパブリックアクセスは無効にしておきましょう。ただ、AzureポータルからBLOBなど中身が見れなくなるので、指定のIPだけ許可しておくのが良いかもしれません（セキュリティ要件次第）

ちなみに、リソース側のネットワークメニューからもプライベートエンドポイントを作成できます。

最後に仮想マシンから接続確認をします。ファイアウォールで許可されていない場合は「The request may be blocked」とエラーになっていましたが、プライベートエンドポイントを作成するとBLOBのリストを取得できるようになりました。

$ az storage blob list --auth-mode login --account-name azstartstorage --container-name image --output table

The request may be blocked by network rules of storage account. Please check network rule set using 'az storage account show -n accountname --query networkRuleSet'.
If you want to change the default action to apply when no rule matches, please use 'az storage account update'.

$ az storage blob list --auth-mode login --account-name azstartstorage --container-name image --output table

Name                       Blob Type    Blob Tier    Length    Content Type    Last Modified              Snapshot
-------------------------  -----------  -----------  --------  --------------  -------------------------  ----------
コース画像_Azure_IaaS.JPG  BlockBlob    Hot          60785     image/jpeg      2022-06-18T03:47:36+00:00

まとめ

今回はAzureのPaaSサービスに接続するためのエンドポイントについて解説しました。

デフォルトでは「パブリックエンドポイント」を使ってインターネット経由でアクセスしますが、インターネットに出ることなく閉域で安全に接続するための手段として「プライベートエンドポイント」がある点をおさえておきましょう。

また、「プライベートエンドポイント」は「サービスエンドポイント」とよく比較されます。サービスエンドポイントは無料で利用できますので「こういった方法もあるんだな」と頭の片隅に入れておきましょう。

それでは、また。

Azure入門コースを見る

今回は、ゼロトラストと多層防御について解説します。

ゼロトラストと多層防御は一般的なセキュリティ用語ですが、AZ-900試験で問われる内容です。ゼロトラストを実現するためのMicrosoft Entra IDの機能の一つである「条件付きアクセス」についても解説しますので、ぜひ、最後までお読みください。

それではいってみましょう！

ゼロトラストとは？

ゼロトラストについて解説する前に従来のセキュリティモデルについておさらいしておきましょう。

境界型セキュリティ（従来の考え方）

これまでのオンプレミス環境の考え方ではネットワークを

• 外部（インターネット）
• 内部（社内ネットワーク）

の2つに分類して、その境界にファイアウォールを設置することで分離していました。このセキュリティモデルを「境界型セキュリティ」と呼びます。

外部からの侵入はファイアウォールによって厳重にチェックされ、内側の社内ネットワークにあるモノ（人・デバイス・アプリ・データ）は安全である、信頼しているという考え方に基づいています。

しかしながら、近年ではパブリッククラウドの普及によりインターネット経由でデータやアプリケーションに接続する機会が増え、ネットワークの境界が曖昧になりました。

加えて、新型コロナウイルスの感染拡大によってテレワークが普及し、私たちの働き方は大きく変化しました。

人、デバイス、アプリなどが内から外へ動いたということだね

時間、場所、デバイスにとらわれない柔軟な働き方を実現する上では、境界型セキュリティは現状にマッチしなくなり、新たに「ゼロトラスト」と呼ばれるセキュリティモデルが注目されるようになりました。

ゼロトラスト（新しい考え方）

ゼロトラスト（zero trust）は一言でいうと「何も信頼しない」考え方です。信頼（trust） が「0」なのでゼロトラストです。

境界ベースのセキュリティが意味をなさなくなってきた昨今において、アクセスしてくるもの全てを疑い、正当なアクセスかどうか常に検証しましょう、という考え方です。このため、新たな境界は「ID」であると言われています。

ゼロトラストの基本原則には次の3つがあります。

• 明示的に確認する
• 最小特権アクセスを使用する
• 侵害を想定する

Azureでゼロトラストを実現するためのソリューションとして、次のようなサービスがあります。後述する「条件付きアクセス」もそのうちの一つです。

• IDを統合管理する Microsoft Entra ID
• デバイスを管理する Microsoft Intune
• 期限付きでアクセス権を割り当てる Microsoft Entra Privileged Identity Management
• ログを集約・分析・脅威検出する Microsoft Sentinel

多層防御とは？

他にもセキュリティを考える上で重要な概念として「多層防御」があります。

多層防御は、複数の層（レイヤー）ごとに異なるセキュリティ対策を実装して、機密情報への不正アクセスなどの攻撃から防御する戦略のことです。

Azureのセキュリティ対策も、この概念をベースにレイヤーごとの様々なソリューションが提供されています。

一般的に守るべき重要なものは「データ」です。

データセンターなどの物理的なセキュリティはMicrosoftによって管理されますが、IDの管理やネットワークのファイアウォール、暗号化通信など、利用者側でレイヤーごとに実装を検討する必要があります。

条件付きアクセスとは？

条件付きアクセスは、ユーザーやデバイスの状態に基づいてリソースにアクセスできるかどうかを制御するための仕組みで、Microsoft Entra IDの機能の一つです。

社外など特定の場所からのアクセスであればMFAを要求したり、組織の準拠したデバイスでない場合にはアクセスをブロックすることができます。

出典：条件付きアクセスとは

条件付きアクセスでは、ユーザー、場所、デバイスなど様々な「シグナル」に応じてきめ細やかにアクセス制御することができる点が特徴です。

正当なユーザーであっても、いつもと場所が違う（信頼できない場所）であるとか、認めていないデバイス（信頼できない端末）であればアクセスをブロックできるということです。

Microsoft Entra IDによる認証（本人確認）が完了した後に条件付きアクセスによる判定が行われます。

まとめ

今回はゼロトラストと多層防御について解説しました。また、ゼロトラストを実現するための機能の一つとして条件付きアクセスの概要についてご紹介しました。

現代のセキュリティ対策では、システムのレイヤーごとに対策を施し、それらにアクセスしてくるユーザー（ID）は信頼せず常にチェックする取り組みが求められています。用語の概念をしっかり理解しておきましょう。

それでは、また。

Azure入門コースを見る