Azure Sphere (レガシ) から Azure Sphere (統合) への移行

2027 年 9 月 27 日に、Azure Sphere は、レガシ サービス インターフェイス、Azure Sphere (レガシ) API (PAPI とも呼ばれます)、Azure Sphere CLI (azsphere とも呼ばれます) を廃止します。 すべての Azure Sphere (レガシ) ユーザーは、この日付より前に Azure Sphere (統合) に移行する必要があります。 Azure Sphere (統合) は Azure プラットフォームにネイティブであり、同様に Azure Sphere (レガシ) インターフェイスを置き換えます。 Azure Sphere (統合) では、セキュリティ (Azure RBAC 統合)、使いやすさ (Azure Portal 統合)、監視/アラート (Azure Monitor 統合) も大幅に改善されています。 詳細については、ブログ を参照してください。

この記事は、Azure Sphere の管理者とエンジニアリング チームが移行を理解し、計画できるように設計されています。 移行プロジェクト全体で必要に応じて、Azure Sphere (統合) と Azure Sphere (レガシ) の両方で Azure Sphere デバイスを管理できるように移行プロセスを設計しました。 さらに、レガシ ベースのスクリプト、自動化、インターフェイスは中断されずに動作し、エンジニアリング チームは Azure Sphere (統合) に基づいて更新されたバージョンをビルドしてテストできます。

移行プロセスは、次の作業領域に分けることができます。

• Azure portal でのレガシ テナントの Azure Sphere カタログへの統合
• 対話型ユーザー ワークフローの移行
• 自動化されたプロセスとインターフェイスの移行

Azure Sphere (レガシ) テナントを Azure Sphere カタログに統合する

移行プロセスのこの最初の手順は、他の作業を開始する前に完了する必要があります。 Azure portal の Integrate 機能では Azure Sphere (レガシ) テナントが Azure Sphere カタログになる Azure 環境で管理されるように準備します。 テナントとそのリソースは変わりませんが、Azure portal、Azure CLI 用 Azure Sphere 拡張機能、PowerShell 用 Azure Sphere などの Azure のユーザー インターフェイスを介してアクセスして管理することもできます。

統合プロセスでは、次の 2 つの手順が実行されます。

1. テナント内の各リソースに Azure リソース ID を割り当てて、Azure Resource Manager でリソースを管理できるようにします。
2. レガシ テナントのユーザー アクセス ロールを、Azure ロールベースのアクセス制御 (RBAC) によって管理されるユーザー アクセス ロールにマップします。 統合プロセス中に推奨されるアクセス ロールマッピングが表示されたら、それらを受け入れる、変更する、または拒否することができます。 統合手順が完了したら、いつでもユーザー アクセスを変更できます。

通常、統合手順には数分しかかかりません。完了すると、統合中にアクセス権が付与されたすべてのユーザーが、Azure の任意のユーザー インターフェイスで新しい Azure Sphere カタログの管理をすぐに開始できます。 統合プロセスによって既存のワークフローがブロックされないので、新しい Azure Sphere (統合) インターフェイスと利点の探索を開始できるように、すぐに実行することをお勧めします。 完了したら、移行作業の残りの部分を開始できます。

対話型ユーザー ワークフローの移行

対話型ワークフローは、個人が "azsphere" CLI を使用する (または"azsphere" CLI を使用するスクリプトを使用する) タスクを実行するワークフローです。 このような対話型ワークフローは、製造の一環として発生する可能性があります (たとえば、テナントへの新しいデバイスの要求)、操作 (テナントに関連する証明書の管理など)、または開発者のユース ケース (たとえば、開発者デバイスが空の更新プログラムを受信しないように設定する)。

ワークフローの移行を計画するときは、ユーザーのトレーニング、内部ドキュメントの更新、およびスクリプトを対話形式で使用する場合は、それらのスクリプトを更新することを検討する必要があります。 また、Azure Sphere (統合) の 2 つの主要な機能強化を利用することも検討してください。Azure Portal での Azure Sphere の合理化されたインターフェイスと、Azure ロールベースのアクセス制御 (RBAC) での Azure の堅牢なユーザー アクセス管理。

特定のユーザー ワークフローが CLI ではなく Web インターフェイスでより適切に実現されるかどうかを検討することが重要です。 Azure Sphere (統合) を使用すると、Azure Portal でカタログを管理でき、多くの対話型ユーザー ワークフローに対して、ポータルはより豊富でシンプルなユーザー エクスペリエンスを提供します。 たとえば、Azure portal では、次に示すように、1 つの手順でイメージを同時にアップロードしてデプロイできます。

次に、ユーザー アクセスをより効果的に制限する方法を検討します。 Azure Sphere (統合) では、Azure ロールベースのアクセス制御 (RBAC) がサポートされています。これにより、Azure Sphere (レガシ) よりもはるかに堅牢できめ細かいユーザー アクセスが可能になります。

これは、個々のユーザーにジョブに必要なリソースにのみアクセス権を付与し、ジョブに必要なユーザー アクションのみを実行するアクセス許可を付与するように設計された最小アクセス許可モデルです。 たとえば、Azure Sphere カタログでは、ユーザーが運用デバイス グループを表示したり、そのデバイス グループに新しいデプロイを作成したりできますが、特にデバイス グループとの間でデバイスを移動したり、カタログ内の他のデバイス グループを表示したりできないようにすることができます。

以前に Azure RBAC を使用したことがない場合は、スコープやリソース階層などの基本的な Azure RBAC の概念について学習することをお勧めします。これは、特定の RBAC ロールのアクセス許可をカタログに適用する場合と、カタログの子リソース (デバイス グループなど) に適用する影響を理解するための鍵であるためです。

役に立つよう、複数のビジネス ユーザー向けの Example RBAC 構成を提供しました Azure Sphere の RBAC のベスト プラクティスをいくつか示します。 このサンプルでは、Azure Sphere デバイス用のアプリケーションを作成するソフトウェア エンジニア、運用 Azure Sphere デバイスフリートを管理する OT 技術者、Azure Sphere デバイスを構築する製造元など、一般的なビジネス ユーザーのニーズに合わせたアクセス許可を強調しています。

Azure Sphere (レガシ) テナントへのユーザー アクセスの削除

ワークフローが移行され、ユーザーが Azure Sphere (統合) を完全に使用したら、意図しないアクセスを排除するために、レガシ テナントから各ユーザーのアクセス許可を削除することを強くお勧めします。 それ以外の場合、ユーザーは、レガシを引き続き使用することで、Azure RBAC で構成したきめ細かいアクセス制御を回避できます。 従来のユーザー アクセスを削除すると、それらのユーザーが Azure Sphere (統合) で必要なすべてのタスクを正常に実行でき、レガシの提供終了の影響を受けないようにも役立ちます。

自動化されたプロセスの変換またはテストに取り組んでいるユーザーは、レガシ テナントのアクセス権を長期間保持する必要がある場合があります。

自動化されたプロセスとインターフェイスの移行

対話型ワークフローの移行に加えて、組織が Azure Sphere (レガシ) スクリプトを使用する自動化されたプロセス、または Azure Sphere (レガシ) API に基づくユーザー インターフェイスを構築している場合は、Azure Sphere (統合) を使用するようにそれらをやり直す必要があります。 移行プロセスを可能な限り簡単にするために、運用のレガシ ベースの自動化が中断されずに実行されている間、更新された自動化を積極的に開発およびテストできます。 デバイスを長期間配置したくないカタログにデバイスを要求するなど、元に戻すことができないコマンドをテストする場合は注意が必要です。

Azure Sphere (統合) API で構築するインターフェイスごとに、インターフェイスが API エンドポイントにアクセスできるようにする Microsoft Entra アクセス トークンを作成する必要があります。 アクセス トークンと Azure REST API の呼び出しについては、 Azure REST API リファレンス ドキュメントを参照してください。

更新された自動化されたプロセスとインターフェイスを運用環境にデプロイしたら、古いレガシ ベースの自動化とインターフェイスの認証に使用されるサービス プリンシパルの Azure Sphere (レガシ) アクセスを削除する必要があります。 すべてのサービス プリンシパル アクセスを削除すると、すべての自動化されたプロセスが完全に移行され、レガシの提供終了の影響を受けなくなります。

レガシ テナントへの残りのアクセスをシャットダウンする

移行プロセスの最後の手順は、残りの Azure Sphere (レガシ) アクセスを削除することです。 現在、Azure Sphere (レガシ) テナントには、テナントが Azure portal に統合されている場合でも、少なくとも 1 つのアクティブなレガシ管理者アカウントが必要です。 最後のレガシ テナント管理者アカウントを削除できる機能に取り組んでいますが、現時点では使用できません。 この機能をリリースすると、Azure Update での可用性が発表されます。

Azure Sphere で利用できる機能を活用する (統合)

Azure Sphere (統合) を使用する必要はありませんが、移行計画の一環として、Azure Sphere で利用できる他の強力な Azure サービスを探索して利用することを強くお勧めします。

最も強力なものの 1 つは Azure Monitor です。 Azure Monitor には、パフォーマンス メトリックと診断データの収集、Azure Sphere デバイスと Azure Sphere セキュリティ サービスの両方からのアクティビティ ログのイベントのクエリなど、さまざまなフリート監視機能が用意されています。

Azure Monitor データを使用すると、デバイスフリートの正常性を、新しいアプリ更新プログラムのリリースなど、Azure Sphere セキュリティ サービスで発生するイベントと関連付けることができます。 また、Azure Sphere テナント証明書の今後の有効期限など、重要なイベントに関するアラートを構成することもできます。 詳細については、「 Azure Sphere フリートとデバイスの正常性の監視を参照してください。

作業の開始とヘルプの検索

Azure Sphere (レガシ) タントを Azure Sphere (統合) catalog に統合し Azure CLI または Azure Portal で Azure Sphere の操作を開始するだけで簡単に開始できます。 Azure Sphere (レガシ) は、2027 年 9 月 27 日の提供終了日まで完全にサポートされています。 すべての移行アクティビティは、その日付までに完了する必要があります。 移行に関する質問がある場合、または技術的な支援が必要な場合は、 Microsoft Q&A でコミュニティの専門家から回答を見つけるか、 AZSPPGSUP@microsoft.comにお問い合わせください。