はじめに
Microsoft Entra テナント(旧:Azure AD テナント)を管理する場合、複数の管理画面が存在します。
Azure AD って、Azure Portal で作ったり、見たりできるので、Azure が管理してるんじゃないの? ・・・と思われがちなのですが、そのように理解してしまうと、後々 矛盾や疑問を感じてしまいます。
この機会に、各管理画面と テナント との位置づけを整理しておきましょう
テナントを管理できる画面(主なもの)
- Azure Portal(Microsoft Entra ID の アイコンをクリック)
- Microsoft 365 管理センター
- Microsoft Entra 管理センター(旧:Azure AD 管理センター)
・
・
「Microsoft Entra テナント」の実体が 橙枠のように独立して存在していて、それを コントロールするために目的別に用意されたものが、上記で例示した 管理画面(緑枠)だと理解いただけると良いと思います。
各管理画面(緑枠)で操作した結果は、すべて テナント(橙枠)に反映されます。
例1)Azure Portal で ユーザー を追加した場合は、別の管理画面でみても、追加された状態になります。
例2)Microsoft 365 管理センターで、ライセンスをユーザーに付与した結果は、他の管理画面でみても、ライセンスが付与された状態になります。
例3)Microsoft Entra 管理センターで、グループを作り そのグループへユーザーを所属させた結果は、他の管理画面でみても、グループ内にユーザーが所属された状態になります。
管理画面ごとの特長、違いの確認
以下の表のようなイメージになります。
主な機能だけ抜粋していますので、ここに挙げた以外の機能も 各管理画面で 可否 が分かれます。管理できる機能を把握した上での使い分けをしていく事になります。
| Azure Portal | Microsoft365 管理センター |
Microsoft Entra 管理センター |
|
|---|---|---|---|
| URL | https://portal.azure.com | https://admin.microsoft.com | https://entra.microsoft.com |
| テナントの 追加・削除 |
〇 | ✖ | 〇 |
| テナントの 切替 |
〇 | ✖ | 〇 |
| ユーザー グループ の追加・削除 |
〇 | 〇 | 〇 |
| ライセンスの購入 (Microsoft Entra ID) |
〇 | 〇 | 〇 |
| ライセンスの購入 (Microsoft365全般) |
✖ | 〇 | ✖ |
| ライセンスの割り当て | △ | 〇 | △ |
| Microsoft365ライセンス 請求や支払いの管理 |
✖ | 〇 | ✖ |
| 条件付きアクセス | 〇 | ✖ | ✖ |
| テナント間アクセス制御 | 〇 | ✖ | 〇 |
| MFA | 〇 | ✖ | 〇 |
| ARMの管理 ※Azureリソース |
〇 | ✖ | ✖ |
上記をふまえると、以下のような使い分けになるだろうな・・・と思います(個人の見解です)
- テナントへのアクセス自体を制御したい(テナントと外との関係)
※システムを構築する人(運用の上位者の人も使います)
→ Azure Portal - Microsoft365 のサービスの利用状況を管理したい。
※システムを運用する人(構築の時にも使います)
→ Microsoft 365 管理センター - テナント内の ユーザーやグループ、認証などについての管理をしたい。
※システムを運用する人
→ Microsoft Entra 管理センター
事例
いままで説明をしたとおり、Microsoft Entra テナントは 独立して存在しています。
Microsoft365(旧:Office365)を使う場合でも、 Azureサブスクリプション を使う場合でも 認証が必要なため、テナントの存在が必要です。
テナントがどのように準備されたのかは、どのサービスを最初にサインアップしたのかによって異なります。
例 を使って説明します。
Microsoft 365 を始めにサインアップした場合
以下のようなサイトから、「今すぐ購入」や「1ヵ月無料で試す」のボタンを押して サインアップしたような場合です。
その場合は、サインアップ時に命名した xxx.onmicrosoft.com という Microsoft Entra テナントが作成された状態で、Microsoft 365 管理センター(赤枠)にサインインしている状態です。
この時点で、すでに「Azure Portal」と「Microsoft Entra 管理センター」からサインインした場合でも、テナントは 見える状態になっています。
この場合は、違和感なく テナントの存在を把握できると思います。
この場合、Azureサブスクリプションの契約は無いので、VM を作ったりするためには、別途 Azureサブスクリプションの契約が必要です。
Azureサブスクリプション を始めにサインアップした場合
以下のようなサイトから、「無料で始める」のボタンを押して サインアップしたような場合です。
その場合は、サインアップ時には 意識していないところで、テナントが自動的に作成されています。これが おせっかい機能というか、仕組みをわかりづらくしている原因です。
この場合は、仮に xxx@gmail.com という個人アカウントで Azureを無料サインアップすると、xxxgmail.onmicrosoft.com というドメイン名で、「既定のディレクトリ」という名称のテナントが 自動作成されます。
その場合は、下図のように Azure Portal から テナントを参照した状態です。
この時のユーザーIDは、xxx@gmail.com なので、Microsoft 365 管理センターからサインインすることはできません。
Microsoft 365 管理センターは、ユーザーアカウントで サインインする際のドメイン名を見て、テナントを選択するようになっているため、"xxx@gmail.com" だと Google社がテナントを所持していたら、そのテナントに サインインしてしまおうとします。
そのため、この「既定のディレクトリ」内に 新しく ユーザーを追加して「グローバル管理者」のロールを付与すれば、Microsoft 365 管理センターからも参照することが出来るようになります。
(テナント内のユーザー "user@xxxgmail.onmicrosoft.com" であれば、Microsoft 365 管理センターからもサインイン可能)
この状態で、Microsoft 365 のライセンスを購入すれば 365 のサービスが使えるようにはなりますが、テナント名 "既定のディレクトリ" や ドメイン名 "@xxxgmail.onmicrosoft.com" というのは 理想的な名前では無いと思います。
以下で説明した内容を参考に、新たに テナントを発行することをお勧めします。
テナントを複数所持するようになった場合の切替方法も 説明されていますし、「グローバル管理者」を追加する件についても説明しています。
(テナントを新規作成する手順)
https://qiita.com/carol0226/items/e560688f2b6a93e97126#テナントを作成する
(グローバル管理者を作成する手順)
https://qiita.com/carol0226/items/e560688f2b6a93e97126#グローバル管理者を作成する強く推奨
Azureリソースと Microsoft Entra テナント との関係性
Azure のリソース(VMとか 仮想NW、AppServiceなど)は、Azure Resource Manager (ARM) で制御されています。いわば、ARM は、Azureの実体そのものと言えます。
Microsoft Entra テナントは ARM の中ではなく、外にあります。
下図(公開情報より引用+加筆)を見ていただくと判りますが、その ARM を認証する際に 右側の Microsoft Entra テナント が使われています。
そして、Azure を管理する Azure Portal(GUIの場合)や、Azure PowerShell、Azure CLI(コマンドの場合)は、ARM に指示を送るだけの存在という形になっています。
(URL:上記の図の引用元)
https://learn.microsoft.com/ja-jp/azure/azure-resource-manager/management/overview#consistent-management-layer
Azure Portal では、ARM を管理するついでに、 Microsoft Entra ID の管理もできるようになっている・・・と考えて貰うと良いと思います。
さいごに
この記事で説明をさせていただいた テナントの実体と 管理画面が 別々の存在であることを理解できると、Microsoft 365 と Azure の関係が モヤモヤ していたものが、少しスッキリしていただけるかなと思います。
この点の理解がしっかりすると、以後に さまざまな機能を検証したり試したりする際の理解度が格段に向上すると思います。
この記事がお役に立てれば幸いです。