現在Youtubeに注力してますので是非チャンネル登録お願いします!

胡田昌彦のコンピューター系チャンネル

Azure ADと「テナント」の話 / Microsoftのクラウドサービスを使うならこれだけは理解しておかないとまずい事

Azure Active Directory
この記事は約8分で読めます。

Microsoftのクラウドサービスを利用すると裏では必ずAzure ADが使われています。Azure ADを中心にして組織が利用可能な「テナント」が構成されるわけです。あまりにも重要な事なのですがあまりにも重要すぎて自動的にAzure ADが生成されることもあり、きちんと意識していない組織があります。

よくわかっていない状態で別のMicrosoftのクラウドサービス、特にAzureの利用を開始するととても変な構成になってしまい、修正するのにとても時間と手間がかかってしまうことにもなりかねません。

特に管理者の方、Microsoft 365やAzureの契約を担当する方はしっかりとAzure ADとテナントの関係を理解してから契約を進めてください。

Youtubeでも解説していますので、ブログでも動画でもお好きな方をご覧ください。

Microsoft 365を契約したらどうなるか?

まず、Microsoft 365を契約したらどうなるかという話をしましょう。

Microsoft 365を契約する時には必ずAzure Active Directoryがセットです。Azure ADが存在します。あるいは存在しなければ作成されます。

そして、Azure Active DirectoryにM365のライセンスが紐づきます。1つの契約で入手したライセンスをどこでも好きな複数のAzure ADに割り当てることはできません。1契約で100ユーザー分購入し、50ユーザー分をAAD1に、30ユーザー分をAAD2に、20ユーザー分をAAD3に…というようなことはできないのです。

Azure Active Direcotryにはユーザーやグループを作成できます。そして、そのユーザーにライセンスを割り当てます。M365のライセンスはユーザーに割り当てるライセンスなのです。

ライセンスを割り当てられたユーザーはMicrosoft 365の様々なサービスにアクセス可能となります。

この時に、Azure Active Direcotryを中心として、ユーザーが存在し、様々なサービスが使える範囲を「テナント」と呼びます。「テナント」といえば1組織が利用しているサービスの範囲が明確にわかるわけです。

Microsoft 365においては…

  • 1テナント内にAzure Active Direcotryは1つだけ存在する
  • 契約したライセンスはAzure Active Direcotryに紐づく
  • ライセンスはユーザーに付与される

ということになります。

やろうと思えば同一組織が複数のMicrosoft 365の契約を行うことも可能ですが、その場合にはテナントが2つになります。

1企業が2つの契約をし、テナントを2つもつ…ということは通常行いませんが、やろうと思えばできます。ですが、それぞれのテナントは別の環境です。技術的にはほかの企業がMicrosoft 365の契約をしているのと何も変わりません。

ユーザーにライセンスを割り当てるサービス群はすべて一緒

ここまで、Microsoft 365を例として記載してきましたが、これはほかのサービス群でも同じです。Azureのみが唯一の例外です(後述します)。

Dynamics 365でも、PowerBIでも、契約をしてライセンスを入手するとそれはAzure Active Direcotryに紐づき、Azure Active Direcotry内のユーザーにライセンスを付与し、ライセンスを持ったユーザーがサービスを利用することができます。

間違ったテナントにライセンスを紐づけてしまわないように注意

テナント内にAzure Active Direcotryは1つだけですので、テストで作ったAzure Active Direcotryに本番用のライセンスが紐づいてしまわないように注意してください。

テスト用の適当な名前のAzure Active Directoryをそのまま本番利用するのは事実上問題ないとはいえ、やっぱり気持ちが悪いですよね。

本番利用用のAzure Active Direcotryはキチンと本番用の名前を使って確保しておいてください。名前は早い者勝ちなので、極力早く確保しておくとよいです。

ここまでがMicrosoft 365等の「ユーザーライセンス」のクラウドサービスのお話でした。

Azureの話

Azureは「ユーザーライセンス」ではないのでこれまでとは全く違う話になります。

Auzreはまず契約があります。そして、契約の中に「Azureサブスクリプション」という課金の単位を作成することになります。

Azureサブスクリプションを作成する段階では、必ず管理者が必要です。

そして、Azureサブスクリプションはかならず1つのAzure Active Direcotryを信頼します。

管理者はAzureサブスクリプションが信頼するAzure Active Directory上に存在している必要があります。

やはりAzureでもAzure Active Directoryがポイントなんです。Azureサブスクリプションは必ず1つのAzure Active Directoryを信頼し、その信頼しているAzure Active Directory内に管理者が存在することになります

Azureサブスクリプションは複数作成することが可能です。そして複数のAzureサブスクリプションが同じAzure Active Directoryを信頼するように構成することも可能ですし、それが自然です。

ですが、Azureサブスクリプションが違うAzure Active Directoryを信頼するように構成することも可能です。

そして、これが一番重要なのですが、Azureサブスクリプションは信頼するAzure Active Directoryを切り替えることが可能です。

このような事情があるので、Azureにおいてはどこまでが「テナント」なのかというのはなかなか表現しにくいものです。「Azureテナント」という表現は私は個人的には使いません。

Azureにおいては…

  • Azure ADは1つだけではない
  • 課金はAzure契約に紐づいており、ユーザー単位ではない
  • Azureサブスクリプションはどこか1つのAzure ADに必ず紐づくが切り替えも可能

ということになります。

必ずAzure Active Directoryが1つだけだったMicrosoft 365とは大違いですね。

意識していないと複数Azure Active Directoryができてしまう

Microsoftのクラウドサービスをよくわからずに利用していると、下記のように複数のAzure ADを併用する構成になりがちです。

これはこれで別に動かないわけではないので、当初は問題が表面化しません。ですが、ここで「セキュリティをもっと高めたいな」と思ったらどうでしょうか。Azure AD PremiumやIntune等を利用したくなりますよね。

Azure AD PremiumやIntuneはユーザー単位のライセンスです。つまり…。

どこか単一のAzure Active Directoryにしか紐づけられないことになります。

やろうと思えば複数のAzure Active Directoryに対して別途契約を行ってライセンス付与は可能ですが…。ライセンスを何重にも買わなければいけないことになってしまいますよね。

そもそも、Azureの管理をするのも組織内のだれかだったりするはずです。その意味では複数Azure Active Directoryが存在しているなかで、同じユーザーがIDをいくつも持つことにもなってしまいます。

IDの管理的にも、ライセンス費用的にもよろしくない状況であることがわかるでしょうか?

Microsoftクラウドサービス利用におけるAzure Active Directory構成のベストプラクティス

ここまで説明したような問題を避けるためにはシンプルに1つのAzure Active Directoryをすべてで利用するのがお勧めです。

IDが一元管理できますし、セキュリティを守る時にも守るべき個所が明確です。さらにAzure Active Directoryを使って他社のSaaSサービスともシングルサインオン構成が構成可能ですので、その時にもAzure AD PremiumやIntuneを使った条件付きアクセスが利用可能となります。

というわけで、Azure Active Directoryは組織で1つだけである状態を保ちましょう!これは本当に本当にお勧めの構成です。

本当に意味があってどうしても複数のAzure Active Directoryを作成しないといけないことがあるかもしれません。それは完全には否定しません。ですが、Azure Active Directoryは無償で作成すらできてしまいますし、多少無理をしてでもAzure Active Directoryが1つの状態を保っていかないと全体の構造すら把握できない状況に簡単になってしまいます。後からそれらを統合するのは本当に大変です。事実上不可能な状況にもなりかねません。

一番最初が一番肝心です。ぜひ「Azure Active Directoryは1つ」で構成いただければと思います。

コメント

  1. […] Azure ADと「テナント」の話 / Microsoftのクラウドサービスを使うならこれだけは理解しておかないとまずい事Microsoftのクラウドサービスを利用すると裏では必ずAzure ADが使われています。Azu […]

タイトルとURLをコピーしました