今回は、Microsoft Purviewについて解説します。

Microsoft Purviewは2023年の改定でAZ-900の試験範囲に加えられたサービスです。もしかすると聞きなれないサービスかもしれませんが、まずは概要をおさえてみてください。

それではいってみましょう！

Microsoft Purviewとは？

Microsoft Purviewは、組織の持つデータをまとめて管理・保護するためのサービスです。一言でいうと「統合データガバナンス」と表現されます。

企業のインフラ環境は現実的にはどこかひとつのクラウドだけで成り立つことは少なく、既存のオンプレミス環境とハイブリッドで構成していたり、AWSやGCPなど他社のパブリッククラウドや、PowerBI、SalesForce などの SaaS のサービスを併用していることがよくあります。

Microsoft Purviewでは、それら複数の環境に存在している組織のデータを検出して統合し、包括的な方法でデータを管理・保護することができます。たとえば、次のような機能があります。

• データマップで組織全体のデータを可視化
• データにラベル付けして機密情報を分類
• 機密情報のデータ持ち出しを防止

以下のYoutubeでは、顧客データの入ったExcelファイルを個人のGoogleドライブにアップロードしようとしてもそれがブロックされるシナリオが紹介されています。（データ損失防止 (DLP) ポリシーで実現）

まとめ

今回はMicrosoft Purviewについて解説しました。

Microsoft Purviewは統合プラットフォームのためでできることは実際にはかなり多いですが、組織のデータを横断的に検出、分類、保護、監視するためのサービスである点を覚えておきましょう。

それでは、また。

Azure入門コースを見る

今回は、Azure OpenAIをデプロイする手順をハンズオン形式でご紹介します。
それではいってみましょう！

Azure OpenAIの作成

Azureポータルにサインインしている状態から始めます。
まず、画面上部の検索窓で「Azure OpenAI」を検索してメニューを開きます。

「作成」ボタンから新規作成していきましょう。

基本

基本タブではリソースのリージョンや名前、価格レベルなどを選択します。

• サブスクリプション
  • サブスクリプションを選択
  • 契約がひとつだけであればあまり意識しなくてもOK
  • 複数ある場合はプルダウンから選択
• リソースグループ
  • リソースグループを選択
  • まだ作成していない場合は「新規作成」から入力
• リージョン
  • データセンターの場所を選択
  • リージョンによって使用できるモデルが異なるためココの選択は重要
    参考：モデルの概要テーブルとリージョンの可用性
• 名前
  • Azure OpenAIのリソースの名前
  • 使用できるのは英数字とハイフンのみ。64文字以内
• 価格レベル
  • 現時点では Standard S0 一択
    参考：Azure OpenAI Service の価格

コンテンツレビューポリシーでは、Azure OpenAI Serviceでデータがどのように処理されるか、プライバシーやセキュリティの取り組み、行動規範などに関するリンクが示されています。

まず、押さえておくべき内容は、「顧客データがモデルの改善（学習）に使用されることはない」というところでしょうか。企業にとってここは安心ですね。

出典：Data, privacy, and security for Azure OpenAI Service

ちなみに、OpenAI社の「ChatGPT Plus」は、モデルの学習に使用しないよう申請（オプトアウト）しないと学習に利用されます。

ネットワーク

続いてネットワークのタブです。デフォルトのパブリックアクセスのままで進めますが、他のPaaSサービスと同様、特定のネットワークからのみアクセスできるように構成することもできます。

レビューおよび送信

タグはスキップ。最後に入力内容を確認し、問題なければ「作成」ボタンを押して進めましょう。

デプロイは1分くらいで完了します。「リソースに移動」を押して概要メニューへ移動しましょう。

モデルのデプロイ

Azure OpenAIのリソースを作成することで、命令を送るためのエンドポイント（URI）やキーが払い出されますが、テキスト生成などのリクエストを処理し応答をもらうには「どのAIモデルを使うか？」をあらかじめ指定しておく必要があります。

ですので、続いてモデルをデプロイしていきます。

Azure OpenAI Studioを起動

Azure OpenAIには、モデルを管理したりチャットなどの機能を試すためのプライグラウンドを備えた「Azure OpenAI Studio」というWeb画面（開発環境）が用意されています。

概要メニューの「Azure OpenAI Studio に移動する」から開くか、もしくは、oai.azure.com に直接アクセスして利用することができます。

デプロイの作成

Azure OpenAI Studioを起動したら「新しいデプロイの作成」を押します。
なお、左側メニューの「デプロイ」からでも作成画面に遷移できます。

「新しいデプロイの作成」からモデルをデプロイしましょう。

使用するモデルの名前やバージョンなどを入力して「作成」ボタンをクリックします。

• デプロイ名
  • 任意の名前
  • REST APIなどプログラムでモデルを呼び出す時に使用

• モデル
  • gpt-35-turbo / gpt-4 / gpt-4o などのモデルの種類を選択
• モデルバージョン
  • バージョンを指定
• デプロイの種類
  • 標準
    • APIの呼び出しごとに課金される
    • トークンレートの上限が低い
    • 選択したリージョンのインスタンスで処理される
  • グローバル標準
    • APIの呼び出しごとに課金される
    • トークンレートの上限が高い
    • 選択したリージョン以外のインスタンスにも分散して処理される
  • Provisioned-Managed
    • モデルの処理能力（スループット）を事前に購入して割り当て
    • 選択したリージョンのインスタンスで処理される
• 詳細設定オプション
  • レート制限やコンテンツフィルターなどを指定（詳細は省略）

モデルをデプロイすると一覧画面に表示されます。「プレイグラウンドで開く」からチャットを試してみましょう。

さきほどデプロイしたモデルを使用してチャットの会話を試すことができます。今回は簡単な例ですが、システムプロンプトを設定して役割や振る舞いを定義したり、パラメータを調整してチャットをテストすることもできます。

まとめ

今回は、Azure OpenAIを作成してモデルをデプロイする手順をご紹介しました。

入力する項目が多くないのでデプロイの操作自体はとても簡単で、プレイグラウンドでサクッと試せる点も非常に便利だなと感じました。他のAzureサービスと組み合わせた構築パターンも色々と試してみたいですね！

それでは、また！

Azure入門コースを見る

2022年に私がAZ-900試験を受験した時の記事 【AZ-900】現役エンジニアがガチで勉強して受験してみた が「freelance hub」というメディアで紹介されました！

https://az-start.com/exam-experience-of-az-900/

クラウドの資格取得を目指す人は必見

掲載された記事は「freelance hub」内でお役立ちコンテンツとして発信されている以下の記事です。私の記事だけでなく、AWSの資格試験の体験記も紹介されています。

人気スキルの資格をゲットしよう！AWS・Microsoft Azure認定試験合格体験記まとめ

お役立ちコンテンツには、他にもGCPの資格試験の受験体験記や勉強方法なんかも紹介されています。クラウドの資格取得を目指す人には情報収集が捗りそうで嬉しいですね。第3者の経験談は貴重。

freelance hubとは？

freelance hub は、フリーランス向けの案件・求人情報サイトで、2021年5月にスタートした割と新しいサービスです。

フリーランスエンジニア界隈では知名度の高い「レバテック」を運営している「レバレジーズ株式会社」がこのサービスも運営しています。私も過去にレバテックにお仕事を紹介してもらったことがあり、大変お世話になりました。

レバテックなどのフリーランスエージェント単体でも案件を探すことはできますが、「freelance hub」では複数のエージェントを横断して案件を検索できるようです。サービス名に「hub」とあることからも想像できますが、複数エージェントの仲介役として機能し、大量の案件を一括検索して素早く案件を見つけることができそうなサービスと言えるのではないでしょうか。

フリーランス向けの案件をお探しの方はぜひチェックしてみてください！

freelance hub で案件を探す

それでは、また！

Azure入門コースを見る

今回は、Azure File Syncを利用してAzureにファイルを同期する手順をハンズオン形式でご紹介します。Azure File Syncの概要はこちらの記事で紹介しています。

全体像と用語を確認

今回作成する構成はこんな感じ。

Windows ServerはAzureの仮想マシンでも代用できますが、今回はローカルPCのHyper-V上の仮想マシン（Windows Server 2022）を使います。

Azure File Syncで登場する用語（コンポーネント）の意味は次の通りです。

今回実践する内容は公式のチュートリアルをベースにしています。それでは、実際に作成していきましょう！

ファイル共有の作成

ストレージアカウントは作成済みの前提で進めます。まず、Azure側の同期先となるファイル共有を作成します。

shareという名前のファイル共有を作成しました。そこに「CloudFile.txt」という名前でファイルをアップロードしておきます。

仮想マシンに同期フォルダを作成

SV01には D:\FilesToSync というフォルダを作成して「LocalFile.txt」を作成しておきます。

SV02は C:\FilesToSync というフォルダのみ作成して空っぽにしておきます。

ストレージ同期サービスの作成

続いて、ストレージ同期サービスを作成します。

Windows Serverの登録

そして、登録済みサーバーのメニューを開いて「Azure File Syncエージェント」のリンクからエージェントをダウンロードします。URLをコピーして仮想マシン上でダウンロードしたほうが早いです。

エージェントのインストール自体は簡単で「次へ」で進めるだけです。

インストールが完了すると、自動的にサーバを登録するための画面が起動します。まずは、Azureにサインイン。

サインインできたら、サブスクリプション、リソースグループ、ストレージ同期サービスを選択して登録します。（プルダウンで選ぶだけ）

2台ともエージェントのインストール、サーバの登録が完了すると「登録済みサーバー」に登録されます。

同期グループの作成

次に同期グループを作成します。

この時、クラウドエンドポイントとなるファイル共有を指定します。

サーバーエンドポイントの作成

最後にサーバーエンドポイントを作成します。
エージェントをインストールした登録済みサーバーと、同期対象とするフォルダのパスを指定します（デプロイに少し時間がかかります）

デプロイが完了すると「ヘルス」の箇所がグリーンのチェックに変わります。

動作確認

Azure側のファイル共有を見てみると、SV01のファイルが同期されていることがわかります。「.SystemShareInformation」はAzureによって自動的に作成されるフォルダで、重要な同期メタデータが含まれます（削除しないように注意）

SV01、SV02を見てみると、こちらも同期されていることがわかります。

例えば、SV02でファイルを追加したり、既存ファイルをリネームすると、10～20秒くらいでファイル共有、SV01に反映されます。

注意点として、ファイル共有（Azure側）にファイルを追加するなどの変更を加えた場合は即時反映されません。

即時で反映させたい場合は「Invoke-AzStorageSyncChangeDetection」コマンドを実行する必要があります。詳細はこちらの記事をご覧ください。

まとめ

今回は、Azure File Syncを試してみました。

登場する用語の意味がわかると、構成する手順はそれほど難しくなかったです。Windows Serverのみサポートされているサービスですが、簡単にオンプレミスのファイルをクラウドに同期できるのは便利ですね。

それでは、また。

Azure入門コースを見る

今回は、Service Trust Portalについて解説します。

Microsoftの様々な取り組みを知るために役立つポータルサイトです。ぜひ、最後までお読みください。

それではいってみましょう！

Service Trust Portalとは？

Service Trust Portalは、Microsoftのセキュリティ、プライバシー、コンプライアンスに関するさまざまなコンテンツ、ツール、その他のリソースが提供されています。

法規制やデータ保護基準などに関する文書が一元管理された場所でもあります。

以下のURLからアクセスできます。

• servicetrust.microsoft.com
• aka.ms/STP（短縮URL）

私たちはAzure（クラウド）を活用することでコスト削減、高可用性、変化への迅速な対応といったメリットを享受しようとします。

そのためにアプリケーションやデータをMicrosoftの提供するデータセンターに預けるわけですが、そのアプリケーションやデータの安全性はどのように確認するのでしょうか？

誰もが知る会社なので「Microsoft」というブランドの安心感はもちろんありますが、会社としてその安全性を客観的に証明する必要があります。

Microsoftは第三者による監査を受け、様々な種類の認証を取得しています。Service Trust Portalでは、監査レポートや証明書、侵入テストや脆弱性評価のレポートを確認することができます。

Microsoftは安心ですよーとアピールしているわけだね

代表的な規格、コンプライアンス基準、データ保護基準には次のようなものがあります。

• 国際標準化機構 （ISO）
• System and Organization Controls（SOC）
• 一般データ保護規則 （GDPR）

Microsoftではこのように、顧客やユーザーの信頼を得るための取り組みが行われており、Service Trust Portalにアクセスすると法律や規制標準にどのように準拠しているのか、そういった取り組みを知ることができます。

どのメニューから何が確認できるのか、概要を知りたい場合にはMicrosoft Learnの「Service Trust Portal のオファリングについて説明する」を参考にしてみてください。わかりやすくまとめられています。

なお、Service Trust Portalは無料で利用できますが、一部のリソースにアクセスするにはAzure / M365 / D365のMicrosoftクラウドサービスアカウントを使用してサインインする必要があります。

サインインすると、マイライブラリにドキュメントを保存しておくこともできます。

まとめ

今回はService Trust Portalについて解説しました。

エンジニアというよりは組織のコンプライアンス担当者が見るようなポータルサイトだと思うのでややとっつきにくいかもしれませんが、AZ-900試験の対策としては用語と概要をおさえておきましょう。

それでは、また。

Azure入門コースを見る

今回は、Azure BluePrintsについて解説します。

組織のガバナンスを実現するための仕組みで、Azure Policyとセットで覚えておきたいサービスです。ぜひ、最後までお読みください。

https://az-start.com/azure-policy-overview/

それではいってみましょう！

Azure BluePrintsとは？

Azure Blueprintsは、複数のポリシーやロール（RBAC）などの割り当て定義をテンプレート化して、複数のサブスクリプションに適用および監査・追跡するための仕組みです。

2024年7月現在はプレビュー中（お試し）のサービスとなっています。試験でも概要くらいしか問われないかもしれません。

Blueprintは「設計図」や「青写真」という意味です。Azureポータルでは「ブループリント」とカタカナで表示されます。

ブループリントには次のようなアーティファクト（成果物）を定義します。

• ポリシーの割り当て
• ロールの割り当て
• ARMテンプレート
• リソースグループ

雑な例ですが、

• リージョンは日本
• 仮想マシンやストレージのSKU（サイズ）は〇〇と△△
• タグは□□
• ◇◇には××のロールを割り当て
• リソースグループは●●を作成

みたいなルールの集まりをテンプレートとして定めておく感じです。

このテンプレートは、v1.0、v1.1のようにバージョン番号をつけて世代管理することができます。作成したテンプレートはサブスクリプションに「割り当て」することで、定義したリソースグループの作成やポリシー・ロールの割り当てが行われます。

Azure Blueprintsを利用することで、組織のコンプライアンス要件に準拠した環境を効率良く迅速に構築することができます。

組織の標準的なルール、環境ごとのパターンなどを雛形として作っておくことで、複数のサブスクリプションに対して繰り返し適用する作業が効率化されるわけです。

必要なミドルウェアをインストールしたWebサーバ用のカスタムイメージを作っておいて、仮想マシンを複数台展開できるようにしておくのと同じような感じでしょうか。

ブループリントは一から作成することもできますし、最初から用意されているサンプルを利用することもできます。

まとめ

今回はAzure BluePrintsについて解説しました。

Azure BluePrintsはポリシーやロールの割り当てをテンプレート化して複数のサブスクリプションに適用・追跡するのに役立ちます。

Azure Policyと同じく、組織の適切なガバナンスを実現するためのサービスとして覚えておきましょう。

それでは、また。

Azure入門コースを見る

今回は、Microsoft Defender for Cloudについて解説します。

Azureのセキュリティを管理する上での重要なサービスです。ただでさえとっつきにくい用語が登場するのに、サービス名称の変更もあって混乱しがちです（私だけ？）

今回も画面ショット付きでわかりやすい解説を心掛けましたので、ぜひ、最後までお読みください。

それではいってみましょう！

Microsoft Defender for Cloudとは？

Microsoft Defender for Cloudは、セキュリティを総合的に管理・可視化するためのサービスです。

2021年11月までは Azure Security Center と呼ばれていましたが名称が変わっていますのでご注意ください。

セキュリティーセンター、いかにも！って感じの名前でこっちのほうがわかりやすくて好みでした。

いきなり話がそれますが、サービス名の変更について少し補足します。

出典：Azure Security product name changes – Microsoft Ignite November 2021

Azure Security Centerだけでなく、Azure Sentinelなど他のセキュリティサービスも同時に名称が変更されたのですが、サービス名から「Azure」の冠がなくなるということは

このサービスがサポートするのはAzureだけではありませんよっ

というメッセージが読み取れます。

Azure Arcの記事でも少し触れましたが、ハイブリッドクラウド、マルチクラウド環境をまとめて集中管理するための動きが加速しているのでしょう。

表中にある「Azure Defender」はAzure Security Centerの有償オプションでしたが「強化されたセキュリティ機能」という名称になりました（後述）

Microsoft Defender for Cloudでできること

セキュリティを総合的に管理というと少し抽象的ですよね。具体的には次のようなことができます。

• 現在のセキュリティの状況を「セキュアスコア」として可視化
• 推奨事項を元にセキュリティを向上
• 規制コンプライアンスの適合状況を可視化
• 保護されているリソースに対する脅威を検出してアラートを通知
• 強化されたセキュリティ機能を有効化すると追加機能が利用可能

先に少し触れましたが、Azure以外にもオンプレミスや他社クラウドのサーバを管理・保護することもできます。

順番に見ていきましょう。

セキュアスコアと推奨事項

代表的な機能としてセキュアスコアと推奨事項があります。

現在のセキュリティの状況が「セキュアスコア」として可視化されるので現状把握に役立ちます。セキュアスコアは「セキュリティスコア」と記載される場合もあります。

そして、表示される推奨事項を満たすとスコアを上げることができます。修復手順が表示されるのもわかりやすいですね。

どこかで聞いたことがあるような・・・？

そう思ったアナタは鋭いです。

スコアで可視化し、推奨事項を表示してくれるのはAzure Advisorと同じ機能です。学習の順番の関係もありますので、まだ学習されていない方は合わせて記事をご覧ください。

https://az-start.com/advisor-overview/

Microsoft Defender for Cloudの推奨事項はAzure Advisorと統合されており、Advisorのカテゴリのうちの「セキュリティ」はMicrosoft Defender for Cloudでも確認できるようになっています。

規制コンプライアンス

続いて、規制コンプライアンスの機能について見てみましょう。

規制コンプライアンスと聞くとなんだか難しそう

とりあえず公式ドキュメントから一部抜粋します。

規制コンプライアンスとは、地域の行政機関によって施行される法律、または自主的に採択された業界標準で要求されている規則に企業が従うことを保証するための規範とプロセスのことです。 IT の規制コンプライアンスの場合、ユーザーやプロセスが企業システムを監視し、これらの準拠法、規制、標準によって定められたポリシーや手順への違反を検出して防ぎます。

出典：規制コンプライアンスの概要

かいつまんでみると、法律や規則に従うことを保証するための規範とプロセスとあります。

コンプライアンスといえば一般的に「法令遵守」と訳されますが、必ずしも法律で定められたルールのみを指しているわけではなく、その業界で自主的に選択された規則なども含まれます。

公的機関や業界団体などが定めた「こうするべきだよね」のルール集＝業界標準（コンプライアンス標準）をAzureの利用に当てはめてくれて、適合状況を可視化し、準拠するために支援をしてくれるのが「規制コンプライアンス」だと考えれば良いでしょう。

選択できるルール集（コンプライアンス標準）にはいくつかありますが、Microsoftが定義した「Microsoftクラウドセキュリティベンチマーク（旧Azureセキュリティベンチマーク）」は無料で利用できます。（ルールの適用は内部的にはAzure Policyのイニシアチブ定義が使われています）

CSVやPDFでレポートをダウンロードすることもできます。

セキュリティアラート

脅威を検出した場合など、セキュリティ関連の問題が見つかった場合にセキュリティアラートを通知することができます（以下はサンプルのアラートです）

セキュリティアラートは後述の「強化されたセキュリティ機能」を有効にする必要があります（有償です）

デフォルトではサブスクリプションの管理者にメール通知されます。

強化されたセキュリティ機能（旧Azure Defender）

Microsoft Defender for Cloudは無料で利用できます。

デフォルトではFreeプランが自動的に有効化され、いくつかの推奨事項は無料で確認することができます。

• 所有者のアカウントではMFAを有効にせよ
• 複数の管理者（所有者）を指定せよ
• NSGで仮想マシンを保護せよ

みたいな基本的なやつですね。

前述のとおり「Microsoftクラウドセキュリティベンチマーク」の規制コンプライアンスも無料で利用できます。

強化されたセキュリティ機能（旧 Azure Defender）を有効化すると追加のセキュリティ管理、脅威防止機能を利用することができます。

30日のお試し期間が設けられているので、有効化しても初めは無料で利用できます。仮想マシン、App Serviceなどリソースの種類ごとに単価が異なっており、個別にON/OFFすることができます。

まとめ

今回はMicrosoft Defender for Cloudについて解説しました。

AZ-900試験の対策としては特に次の点をおさえておきましょう。

• Azure Security Centerから名前が変わっている
• オンプレミスや他社クラウドのサーバも保護できる
• セキュリティの対応状況をセキュアスコアで確認できる
• 規制コンプライアンスを満たしているか確認できる
• 一部の機能は「強化されたセキュリティ機能」を有効化して有償で利用

無償/有償でできることが分かれていて少々ややこしいいですが、主に無償で使える機能の概要を理解しておけば十分だと思います。

それでは、また。

Azure入門コースを見る

今回は、Azure Arcについて解説します。

Arc（弧、円弧）はおそらく架け橋のような意味合いと思われますが、サービス名からはどんな機能なのかあまり想像できませんよね？

イメージが沸きやすいように、実際に試してみた画面をお見せしながら解説しますので、ぜひ、最後までお読みください。

それではいってみましょう！  

Azure Arcとは？

Azure Arc（アジュール アーク）は、Azure以外の場所にある分散したサーバ環境をAzure上で一元管理するためのサービスです。

• 他社クラウドサービス
• エッジコンピューティング
• オンプレミス

Azureの外部にあるこういった環境のWindows Server、Linux、KubernetesクラスターなどをAzureに接続して、まとめて管理しましょう、ということです。

出典：Azure Arc の説明

Azure Arcは2019年に発表された比較的新しいサービスです。

ハイブリッドクラウド、マルチクラウド環境においてはサーバの管理が複雑化しがちなので、Azureで集中管理するためのソリューションとして登場しました。

これの意味するところとしては、企業のインフラ環境は現実的にはどこかひとつのクラウドだけで成り立つことは少なく、既存のオンプレミス環境とハイブリッドで構成していたり、AWSやGCPなど他社クラウドも併用していたりするといった背景があるわけです。

Azure Arcのメリット

Azure上で一元管理できるとどういったメリットがあるの？

公式ドキュメントから一部抜粋します。

• 既存の Azure 以外またはオンプレミスのリソース、またはその両方を Azure Resource Manager に投影することで、お使いの環境全体を一斉に管理します。
• あたかも Azure 内で実行されているかのように、仮想マシン、Kubernetes クラスター、データベースを管理します。
• リソースがどこにあっても、使い慣れた Azure のサービスや管理機能を使用できます。

出典：Azure Arc の概要

初めて触ってみたのですが、結論としては次のようなことができます。

• Azureポータルで見れる
• Azure Policyの適用
• Azure Monitorとの統合（監視）
• インストール済みソフトウェアなどIT資産情報（インベントリ）の収集
• 更新プログラムの管理
• 変更履歴の追跡
• 拡張機能の追加
• タグ付与、ロック

内外問わず、統一されたこれらの方法で管理することで、ガバナンスが簡素化され、管理負担が軽減されるわけです。

使い慣れたAzureポータルの操作性そのままに外部のサーバを一覧表示したり、ARMの機能を適用できる点はスゴイなぁと感じました。

公式ドキュメントに書いてある「Azure Resource Manager に投影」「あたかも Azure 内で実行されているかのように」という部分に納得。

試しにAWSの仮想サーバ（EC2）を2台、Azure Arcに接続してみたので簡単にご紹介します。

Azure Arcに接続（オンボード）するには、接続元のサーバでスクリプトを実行してエージェントをインストールします。

Linuxの場合はシェルスクリプト、WindowsであればPowerShellのコマンドをAzureポータルから表示、入手できます。

接続完了するとAzure Arcのサーバーとして一覧表示されます。

リソースグループを見てもリソースとして表示されていますね。

概要メニューを見ると、このEC2インスタンスのOSは「Amazon Linux 2」であることがわかります。

分析情報（VM insights）を有効化すると、CPUやディスクの使用率を確認することができます（Amazon Linux 2はサポートされていないようだったのでCentOS 7で試しました）

タグを付与したり、削除ロックを登録すると削除できない点も確認できました。

その他、概要以外のメニューからポリシー、更新プログラムの管理、インベントリなどの機能を構成できます。

Azure Automation や Log Analytics との連携が必要な機能もありますが、このへんはAzureの仮想マシンであっても同じです。

まとめ

今回はAzure Arcについて解説しました。

AZ-900試験対策としては、「Azure以外の外部サーバを一元管理」とくれば、Azure Arcを思い浮かべるようにしましょう。

それでは、また。

Azure入門コースを見る

今回は、Azureへの移行ツールについて解説します。

• Azure Migrate
• Azure Data Box

利用シーンが限られるので試験範囲の中ではそれほど比重は大きくない気がしますが、2022年の改定で新たに追加されたサービスです。ぜひ、最後までお読みください。

それではいってみましょう！ 

Azure Migrateとは？

Azure Migrateは、オンプレミスや他社クラウドからAzureへの移行を支援してくれるサービスです。

Azureへ移行するために必要な機能を集約して、一元的な窓口となるような管理画面を提供します。

個人的には、Azure Monitorと似ているなと思いました。複数の機能やツールが統合されているところが。

さて、ここでは移行元はオンプレミス前提で話を進めます。

移行対象と移行先は次のように整理されています。Azure Data Boxはあとでも触れます。

評価ツールを使うと、オンプレミスにあるサーバを検出し、依存関係の分析、Azureに対応できるかどうか、サイズを推定、コストの見積もりなど、移行についての評価を行ってくれます。

以下は簡単な例ですが、評価結果がグラフで可視化されるのもいいですね。

実際に移行する時には移行を支援するツールがいくつも用意されています。

Azure Migrate自体は基本的に無料で利用できますが、統合されているサードパーティの評価・移行ツールは有料です。（Azureが提供している標準ツールは一部を除き無料です）

サードパーティのISVツールを選択する場合、「表示」のリンクをクリックすると公式ページに飛んで、機能や価格を確認することができます。

シナリオによってはツールの選択がややハードル高そうですが、Azureポータルの画面からサードパーティのツール含めて一元管理でき、移行の開始、状態を追跡できる点はメリットであると言えるでしょう。

Azure Data Boxとは？

Azure Data Boxは、オンプレミスにある大容量のデータをAzureへ移行するためのサービスです。AWSでいうところの「AWS Snowball」です。

次のような物理的なデバイスを使ってデータ移行を行います。

出典：Azure Data Box とは何ですか? – Data Box のコンポーネント

Azureポータルから注文して専用のデバイスを送ってもらい、オンプレミスでのデータを専用デバイスに移した後、Azureのデータセンターにデバイスを返送して移行させます。

出典：Azure Data Box ファミリのしくみ

こういった物理的な移行手段は、容量が数十TB（テラバイト）以上の大容量データを移行したい場合の解決策になり、次のような場合に適しています。

• ネットワークが遅い、信頼性が低い
• ネットワーク帯域幅を追加するためにコストがかかる
• ネットワーク経由での機密データのコピーが許可されない

帯域幅を占有して他の通信に影響が出てしまったり、数日かけて転送中だったプロセスが失敗して最初からやり直す、なんてことは避けたいですよね。。

Azure Data Boxを使うと、回線を圧迫することなく大容量データを短期間で安全に移行することができるわけです。

と、ここまでAzureへ移行（インポート）する前提でお話しましたが、Azureからエクスポートしてオンプレミスなどに持っていくこともできます。一方通行ではなく、双方向です。

以下の画面はAzureポータルで製品を選択する画面です。Data Boxの物理デバイスは次の３種類があり、使用可能な容量などが異なります。詳細は製品の詳細情報をご覧ください。

• Data Box Disk：35 TB
• Data Box：80 TB
• Data Box Heavy：800 TB

右端にある「Import/Export Job」は次で解説します。

Azure Import/Exportとは？

Data Boxが利用できなかったり、容量がそれほど大きくない場合はAzure Import/Exportを使って移行することもできます。AWSでいうところの「AWS Import/Export Disk」です。

AZ-900の試験範囲としては明示されていませんが、Data Boxとセットで覚えておくと良さそうです。どちらもオフライン転送の手段です。

名称からわかるようにこのサービスもインポート/エクスポートどちらにも対応しています。

前述の「Import/Export Job」を選択するとジョブの作成画面になり、データソースや運送業者の情報など画面に従って入力して進める形です。

Data Boxと異なりディスク（HDD/SSD）を利用者側で準備する必要があったり、インポートの場合にはドライブのシリアル番号、暗号化キー、ストレージアカウントの詳細などの基本情報が書かれた「ジャーナルファイル」を作成する必要があります。

インポート/エクスポートの手順の流れを抜粋します。

出典：Azure Import/Export のしくみ

ユーザーが必要なハードウェアの準備と発送の責任を負うことになるためData Boxと比べると少し手間がかかる印象はありますが、1TB以上から利用できるので要件に応じて使い分けるのが良いでしょう。

まとめ

今回はAzureへの移行ツールについて解説しました。

AZ-900試験対策としては、「オンプレミスからAzureへの移行」とくれば、

• 統合管理ツールの「Azure Migrate」
• 大容量データ移行の「Azure Data Box」

を思い浮かべるようにしましょう。

それでは、また。

Azure入門コースを見る

今回は、Azure Storageのデータを移動するためのオプションについて解説します。

Azureポータルからもファイルやフォルダをアップロード/ダウンロードしたり削除することもできますが、提供されているツールやサービスを活用することでそれらの操作を効率化できます。ぜひ、最後までお読みください。

それではいってみましょう！ 

Azure Storage Explorer

Azure Storage Explorerは、Windows、macOS、Linuxにインストールして利用できるAzure Storageを操作するためのGUIツールです。

Windowsのエクスプローラー、macOSのFinderのAzure Storage版だと考えれば良いでしょう。

GUIのツールなのでツールバーなどから直感的に操作できますし、複数のファイルやフォルダをドラッグしてまとめてアップロードすることもできます。

以下の画面の例では、左側ツリー表示のエリアから「image」というコンテナーを選択してBlobの一覧を表示させています。

なお、Azureポータルの「ストレージブラウザー」のメニューからも同じような見た目のツールを利用することができます。

AzCopy

AzCopyは、コマンドラインでAzure Storageを操作するためのCUIツールです。「エーズィーコピー」または、「エーゼットコピー」と読みます。

Azure Storage Explorerと同じくWindows、macOS、Linuxで利用できます。インストール不要で、実行ファイルをパスの通った場所に配置するだけで使うことができます。

Azure CLIでもデータのアップロード/ダウンロードなどはできますが、AzCopyはAzure StorageのBlob、Fileのデータコピーに特化しており、最適なパフォーマンスを実現するために設計されています。

コマンドの実行例を以下に示しますが、azcopy 操作 引数 の形式が基本的な形です。recursive（再帰的）などのフラグを指定することもでき、この場合はサブフォルダも含めてコピーや削除が実行されます。

# サインイン（https://microsoft.com/deviceloginにアクセスして表示されている認証コードを入力）
azcopy login

To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code SG7AC**** to authenticate.

INFO: Logging in under the "Common" tenant. This will log the account in under its home tenant.
INFO: If you plan to use AzCopy with a B2B account (where the account's home tenant is separate from the tenant of the target storage account), please sign in under the target tenant with --tenant-id
INFO: Login succeeded.

# imageコンテナーのBlob一覧を取得（Azure Virtual Machine.pngの1ファイルのみ）
azcopy list "https://azstartstorage.blob.core.windows.net/image"

INFO: Authenticating to source using Azure AD
INFO: Azure Virtual Machine.png;  Content Length: 5.22 KiB

# Dir1のフォルダをアップロード
azcopy copy Dir1 "https://azstartstorage.blob.core.windows.net/image" --recursive

# Dir1のフォルダを削除
azcopy rm "https://azstartstorage.blob.core.windows.net/image/Dir1" --recursive

他にも、syncで同期したり、benchでベンチマークテストを実行したり、AWSなど他社のクラウドストレージからコピーすることもできます。

AZ-900試験ではコマンドの構文までは問われないと思いますが、詳細を知りたい方はリファレンスを参照してください。

Azure File Sync

Azure File Syncは、ファイル共有（Azure StorageのFile）に保存しているデータをオンプレミスなどのWindows Serverにキャッシュして利用できるサービスです。

OneDriveやGoogleDrive、Dropboxなどの一般的なクラウドストレージサービスと仕組みは似ています。

Windows ServerにAzure File Syncエージェントをインストールして構成することで、例えばオンプレミスのサーバAで変更したファイルはクラウド側のファイル共有に反映され、最終的にサーバBにも同期されます。

Azure File Syncは、Windows Serverでのみサポートされています（新しいバージョンは今後も追加される予定）

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

クラウドの階層化という機能を有効にすることで、アクセス頻度の高いファイルのみをローカルに保持することもできます。

Azure File Syncには次のような用途・メリットがあります。

• オンプレミスのファイルサーバをクラウドに拡張できる
• クラウドで一元管理して複数拠点で共有できる
• バックアップや災害対策

実際の構成手順は、以下のハンズオン記事を参考にしてください。

https://az-start.com/create-azure-file-sync-hands-on/

注意点として、クラウド側のファイル共有に対して直接変更を加えた場合、Windows Serverには即座に反映されず、24時間ごとに実行される変更検出ジョブを待つ必要があります。

Q.SMB またはポータルを使用して Azure ファイル共有上でファイルを直接作成しました。このファイルを同期グループのサーバーで同期するには、どのくらいの時間がかかりますか?

A.Azure Portal または SMB を使用して Azure ファイル共有に加えられた変更は、サーバー エンドポイントに対する変更とは異なり、検出とレプリケーションが即座に行われることはありません。（中略）

変更検出ジョブによってファイルが変更されていると判断された場合に、Azure File Sync は同期セッションを開始します。 変更検出ジョブは 24 時間ごとに実行されます。

出典：Azure Files に関してよく寄せられる質問 (FAQ)

Windows Serverでの変更は即座に反映されますが、クラウド側で変更した場合には約24時間かかるということですので、実際に利用する場合には注意しましょう。

ただし、手動で変更検出ジョブを動かすこともできます。詳細はこちらの記事をご覧ください。

まとめ

Azure Storageのデータを移動するためのオプションについて解説しました。それぞれのオプションを簡単にまとめると次の表のような形になります。

これらのツールやサービスを利用することで用途に合わせてデータをコピーしたり同期できる点をおさえておきましょう。

それでは、また。

Azure入門コースを見る