Azure Sphereテナントの作成(雑記版)

そろそろMT3620開発キットが手元に届いたころですね。
すぐにデバイスの電源を入れて動かしたいところではありますが、その前にAzure Sphereテナントを用意しておく必要があります。
MCU、OS、Cloudとあった3つのうちの、Cloudの部分です。 下図の赤マルのところ。
f:id:matsujirushix:20180926204703p:plain

今回は、このAzure Sphereテナントの紹介と作り方を書こうと思います。

Azure Sphereテナント

MCUバイス(Azure Sphere対応MCU)のセキュリティ更新やプログラムアップデートなど、いくつかの機能を実現するために、マイクロソフトからAzure Sphereセキュリティサービスが提供されています。
Azure Sphereでは、このAzure Sphereセキュリティサービスの使用が必須です。MCUバイスをインターネットに接続してAzure Sphereセキュリティサービスと紐づけしない限り、MCUバイスにプログラムを入れることさえできません!!
そして、Azure Sphereセキュリティサービスを使えるようにするには、「Azure Sphereテナントを作成する」という作業になります。

Azure SphereテナントAzure ADテナントに紐づいて作成します。これは、Azure SphereセキュリティサービスMCUバイスを追加したり、プログラムをOver-the-Airで配布したりするときの認証に組織アカウントを使うためです。

あー、ややこしい、、、

ざっくりと言うと、

  1. Azure ADテナントに、組織アカウントを用意した上で、
  2. (Azure ADテナントに紐づいた)Azure Sphereテナントを作成、
  3. (するとAzure Sphereセキュリティサービスが使えるようになって、)
  4. Azure SphereテナントMCUバイスを割り当てる ←Claim your device
  5. (と、MCUバイスの操作が可能になる)

です。

んー、図にしないと分かりにくい(汗

Azure ADテナント

現状、2のAzure ADテナントAzure Sphereテナントの紐づけをあとから変更したり、4のAzure SphereテナントMCUバイスの割り当て変更ができません。
そのため、どのAzure ADテナントを使うかを考えて決断が必要です。
さらに、、、このAzure ADテナントがまた理解し辛い。
どのAzure ADテナントを使うかは、次の3シナリオのいずれかになると思います。

  1. 個人アカウントのAzureで、デフォルトで作られたAzure ADテナント
  2. 個人アカウントのAzureで、新たに作成した(する)Azure ADテナント
  3. 組織アカウントのAzureで、組織のAzure ADテナント
  4. 組織アカウントのAzureで、新たに作成した(する)Azure ADテナント

推奨は、個人アカウントのAzureは2、組織アカウントのAzureは3のようです。

1のケースは公式ドキュメントに書かれていないため、本当に可能かは不明です。

個人アカウントと組織アカウント

これも良く話題になることですが、自分が使用しているのが個人アカウント組織アカウントか判断がつきにくいです。

Azureにログインするときに、「ひとアイコン」は個人アカウント、「ネームタグアイコン」は組織アカウントです。

(下図の上2つが個人アカウント、3つ目が組織アカウント
f:id:matsujirushix:20180926213343p:plain

個人アカウントのAzureで、新たに作成した(する)Azure ADテナント

さきほどの2のケースが多数だと思うので、これについて手順をサラッと書いておきます。

Azure ADテナントを作成

Azure Sphereテナントと紐づけるAzure ADテナントを作成します。
手順はこちら。

docs.microsoft.com

組織アカウントの作成

セキュリティポリシー的に?Azure Sphereテナントは組織アカウントが必須なので、組織アカウントを作成します。

こちらの3と4。

docs.microsoft.com

Azure Sphereテナントを作成

azsphere loginして(このときに使用するアカウントはさきほど作成した組織アカウント)、azsphere tenant create -n ホゲホゲ で。

こちらの2と3。

docs.microsoft.com

Azure Sphereテナントを確認

azsphere tenant list で、作成したテナントを確認することができます。

最後に

わたし一人ではさまざまなケースをテストできないので、、、
みなさんのやってみた結果をコメントいただけると嬉しいです。