Microsoft Azure を使い始める前に Azure Active Directory と Azure サブスクリプションの役割や関係性を正しく理解する
Azure Active Directory と Azure サブスクリプションの役割や関係性を整理したスライドです。Azure を利用するにあたり、Azure AD とサブスクリプションの設計は後から変更することが難しく、かつ乱雑に構成してしまうと管理やガバナンスが困難になります。本資料はこれから Azure を利用する方向けに、Azure AD とサブスクリプションを運用していくにあたり事前に理解しておきたい内容をまとめています。
AD をシングルテナント運用にするには、Azure サブスクリプションも Microsoft 365 が利用するテナント に信頼先を切り替え 例:Microsoft 365 の Azure AD テナントにサブスクリプション管理も集約 Azure AD (Azure サブスクリプション作成時に自動作成) Azure サブスクリプション Microsoft Office 365 Microsoft 365 テナントと Azure AD テナントは基本的に同一 (テナント間のライセンスの移行などは容易ではない) 同一 Azure AD (Microsoft 365 テナント作成時に作成)
の切り替えによって利用できなくなる機能やサービスもあるので事前にドキュメントの確認や SR (Service Request) による影響の特定が必要 Azure サブスクリプションを別の Azure AD ディレクトリに移転する | Microsoft Docs 信頼する Azure AD を切り替えるときの注意点 主な考慮点: ◼ IAM の設定が無効になるため、新規信頼先ディレクトリのユーザーに対して新たに権限付与が必要 ◼ サービスプリンシパルやマネージド ID の再作成が必要 ◼ Azure AD を利用する機能は、基本的には再作成が必要 (Azure AD Domain Service など) ◼ Microsoft 365 と連携するサービスは再作成が必要 (Azure Virtual Desktop, Microsoft Sentinel など) ◼ Defender for Cloud (Defender for Servers) の中で、Defender for Endpoint を利用している場合は、切り 替え後に SR でテナント切り替えの処理が必要(加えて、マシンのオフボード・再オンボードも必要)
Azure AD がひとつ自動的に作成され、そのテ ナントを信頼するようにサブスクリプションが作られる ◼ Azure AD アカウント(組織アカウント)の場合は、自身のログイン先のテナントを信頼するように Azure サブス クリプションが作られる ➢ EA の Enrollment (登録)は最初にアクセスされた組織アカウントの属するディレクトリに対して既定のテナントとして関連付けされてい て、そのディレクトリのアカウントのみアカウント作成ができる。ただし、動作を変更して複数の他の Azure AD アカウントをアカウントとして 登録することもできる。 Azure EA Portal のアクセスのトラブルシューティング | Microsoft Docs EA Portal から Azure サブスクリプションを作成した時の既定の信頼先テナントについて Auth Level を Work or School Account Cross Tenant にすることで、別テナントの Azure AD ユーザーをアカウントとして追加可能に https://docs.microsoft.com/ja-jp/azure/cost-management-billing/manage/ea- portal-troubleshoot#authentication-level-types
(補足)Azure AD と EA Enrollment と サブスクリプションの関係性図解 Azure AD テナント Azure サブスクリプション EA契約(Enrollment) 必ず一つのテナントを信頼 (既定の信頼先はアカウント管理者のテナントになるが、切り替えが可能) AAD 上のユーザーに対して IAM が設定され、 リソースの操作を行う
AD はテナントを分ける境界になるため、可能な限り最小数のテナントで運用することが推奨 ◼ むやみやたらに Azure AD を分けず、組織で管理しているテナントで管理することが推奨 ◼ ただし、セキュリティ的な分離が必要などの要件がある場合は複数のテナントを立てることもある(例:マイクロソフトでは、社員の検証用環境は別 Azure AD で運用) ◼ 一部の Azure サービスは Microsoft 365 のサービスに依存するため、M365 が利用する Azure AD テナントを信頼する Azure サブスクリプション上に構築する必要あり ◼ Azure Virtual Desktop, Microsoft Sentinel, Microsoft Defender for Cloud など Azure AD と Azure サブスクリプションの設計について Microsoft 365 で利用する 組織のドメインの Azure AD Office 365 Microsoft 365 Azure サブスクリプション 検証用の Azure AD (optional) SaaS 用のAzure AD (optional) 隔離された検証用 サブスクリプション SaaSサービス提供用 サブスクリプション 複数 Azure AD テナントで運用する例
ID as a Service (IDaaS) ◼ 多要素認証や条件付きアクセスを含む、認証・認可機能を提供 ◼ オンプレミス AD と同期も可能(Azure AD Connect) ◼ Microsoft 365 の各サービスのベースになるディレクトリを提供 ◼ Microsoft 365 のライセンス適用 ◼ ユーザーの属性情報の管理やグループ機能(セキュリティグループ・Microsoft 365 グループ) ◼ デバイス登録・管理の機能(Azure AD 登録, Azure AD 参加, Hybrid Azure AD 参加) ◼ Azure の IAM のベースになるディレクトリを提供 ◼ Azure サブスクリプションから信頼されると、そのテナント内のユーザーやグループをサブスクリプションに対する IAM 設定に利用できる ◼ サードパーティーアプリケーションの認証基盤 ◼ 数千もの外部のアプリケーションとシングルサインオン (SSO) やユーザープロビジョニングを簡単に構成 Azure Active Directory – ID as a Service
Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.