Azure Sphereテナントの作成(雑記版)
そろそろMT3620開発キットが手元に届いたころですね。
すぐにデバイスの電源を入れて動かしたいところではありますが、その前にAzure Sphereテナントを用意しておく必要があります。
MCU、OS、Cloudとあった3つのうちの、Cloudの部分です。 下図の赤マルのところ。
今回は、このAzure Sphereテナントの紹介と作り方を書こうと思います。
Azure Sphereテナント
MCUデバイス(Azure Sphere対応MCU)のセキュリティ更新やプログラムアップデートなど、いくつかの機能を実現するために、マイクロソフトからAzure Sphereセキュリティサービスが提供されています。
Azure Sphereでは、このAzure Sphereセキュリティサービスの使用が必須です。MCUデバイスをインターネットに接続してAzure Sphereセキュリティサービスと紐づけしない限り、MCUデバイスにプログラムを入れることさえできません!!
そして、Azure Sphereセキュリティサービスを使えるようにするには、「Azure Sphereテナントを作成する」という作業になります。
Azure SphereテナントはAzure ADテナントに紐づいて作成します。これは、Azure SphereセキュリティサービスにMCUデバイスを追加したり、プログラムをOver-the-Airで配布したりするときの認証に組織アカウントを使うためです。
あー、ややこしい、、、
ざっくりと言うと、
- Azure ADテナントに、組織アカウントを用意した上で、
- (Azure ADテナントに紐づいた)Azure Sphereテナントを作成、
- (するとAzure Sphereセキュリティサービスが使えるようになって、)
- Azure SphereテナントにMCUデバイスを割り当てる ←Claim your device
- (と、MCUデバイスの操作が可能になる)
です。
んー、図にしないと分かりにくい(汗
Azure ADテナント
現状、2のAzure ADテナントとAzure Sphereテナントの紐づけをあとから変更したり、4のAzure SphereテナントとMCUデバイスの割り当て変更ができません。
そのため、どのAzure ADテナントを使うかを考えて決断が必要です。
さらに、、、このAzure ADテナントがまた理解し辛い。
どのAzure ADテナントを使うかは、次の3シナリオのいずれかになると思います。
- 個人アカウントのAzureで、デフォルトで作られたAzure ADテナント。
- 個人アカウントのAzureで、新たに作成した(する)Azure ADテナント。
- 組織アカウントのAzureで、組織のAzure ADテナント。
- 組織アカウントのAzureで、新たに作成した(する)Azure ADテナント。
推奨は、個人アカウントのAzureは2、組織アカウントのAzureは3のようです。
1のケースは公式ドキュメントに書かれていないため、本当に可能かは不明です。
個人アカウントと組織アカウント
これも良く話題になることですが、自分が使用しているのが個人アカウントか組織アカウントか判断がつきにくいです。
Azureにログインするときに、「ひとアイコン」は個人アカウント、「ネームタグアイコン」は組織アカウントです。
(下図の上2つが個人アカウント、3つ目が組織アカウント)
個人アカウントのAzureで、新たに作成した(する)Azure ADテナント
さきほどの2のケースが多数だと思うので、これについて手順をサラッと書いておきます。
Azure ADテナントを作成
Azure Sphereテナントと紐づけるAzure ADテナントを作成します。
手順はこちら。
組織アカウントの作成
セキュリティポリシー的に?Azure Sphereテナントは組織アカウントが必須なので、組織アカウントを作成します。
こちらの3と4。
https://docs.microsoft.com/ja-jp/azure-sphere/quickstart/qs-azure-directory-account#create-a-new-account-and-directory-that-are-associated-with-an-existing-accountdocs.microsoft.com
Azure Sphereテナントを作成
azsphere login
して(このときに使用するアカウントはさきほど作成した組織アカウント)、azsphere tenant create -n ホゲホゲ
で。
こちらの2と3。
https://docs.microsoft.com/ja-jp/azure-sphere/quickstart/claim-devicedocs.microsoft.com
Azure Sphereテナントを確認
azsphere tenant list
で、作成したテナントを確認することができます。
最後に
わたし一人ではさまざまなケースをテストできないので、、、
みなさんのやってみた結果をコメントいただけると嬉しいです。