Microsoft Azure 入門における第一関門は Azure AD とその周辺の理解だと思います。
テナント、ディレクトリ、サブスクリプション...。
ざっくり理解のため、3 大クラウドの中では似た部分の多い Google Cloud との比較表を作成しました。
以降では、説明の都合上、いくつかの略語や言い換えを用いています。
-
Google Cloud を GCP と表現
- 正式な省略としては正しくないですが文字数の都合上 GCP と表記します
- Microsoft Azure を Azure と表現
- Google Workspace を GWS と表現
-
Microsoft Entra ID を Azure AD と表現
- 2023 年 7 月に Azure AD から Microsoft Entra ID に名称変更されましたが、まだ一般的な呼称である Azure AD を利用します
- Microsoft365 を M365 と表現
「ざっくりとした」用語比較表
| GCP | Azure |
|---|---|
| 組織 | テナント |
| Cloud Identity | Azure AD |
| ディレクトリ | ディレクトリ |
| GWS | M365 |
| フォルダ | 管理グループ |
| プロジェクト | サブスクリプション |
| 対応無し | リソースグループ |
| リソース | リソース |
| Cloud IAM | Azure ロール |
| Google アカウント | Microsoft アカウント |
解説
テナント
GCP における組織とほぼ対応する概念です。
概念図としては下記の Microsoft 公式の図が分かりやすいです。
図から分かるようにテナントは、Azure AD や M365、Azure リソースを管理する組織の単位を表します。
GCP が組織のドメインにて Cloud Identity や GWS、GCP リソースを管理しているのとほぼ同様の概念であると分かります。
Azure AD
GCP における Cloud Identity と対応するディレクトリサービス(ユーザ管理 + デバイス管理 etc.)です。
ディレクトリ
GCP / Azure においてディレクトリは、ディレクトリサービスによって管理される「ユーザやデバイスの集合」を表します。
まず GCP においては Google 管理コンソール admin.google.com(Cloud Identity や GWS を管理するページ)にて「ディレクトリ」という用語が登場します。
Azure においてディレクトリは Azure Portal でよく目にすると思います。
例えば Azure Portal 画面の右上にて「Switch directory(ディレクトリの切り替え)」を行うと、そのアカウントが所属する別の Azure AD に切り替わった画面になるかと思います。
1 つのテナントには 1 つのディレクトリのみ存在するので、ディレクトリの切り替えを行うと、切り替え先ディレクトリが所属するテナントのリソースが表示される仕組みになっています。
M365
GCP における GWS(旧称 GSuite)と対応します。
ざっくり言えば Excel や パワポ等のグループウェア機能をサブスクで利用できるサービスです。
M365 の内部には Azure AD が含まれており、この関係性もまた GWS と同様です。
M365 = グループウェア機能 + Azure AD
GWS = グループウェア機能 + Cloud Identity
管理グループ
GCP におけるフォルダと対応する概念です。
階層構造によって権限やリソースの管理を便利にします。
例えば組織内に EC チームと SNS チームがあり、これらのチームが開発するサブスクリプションを別で管理したい場合に管理グループを利用します。
サブスクリプション
GCP におけるプロジェクトに対応する概念です。
素朴なユースケースとしては、あるサービスの開発環境、検証環境、本番環境...に合わせてサブスクリプションを切る場合が多いです。
注意点として、サブスクリプションはプロジェクトと異なりその名の通り「課金」の境界でもあります。
サブスクリプション毎に課金方法を設定できるため、エンタープライズ企業において EA 契約を結んだ際に:
- 一部のユーザに「アカウント所有者」ロールを付与
- 該当ユーザが組織の支払いに紐付いたサブスクリプションを作成可能に
といった運用が可能になります。
リソースグループ
GCP には(恐らく)無い概念です。
リソースグループはリソースをまとめた単位であり、権限を割り当てたりできます。
その性質から、リソースグループ単位で環境(開発、検証、本番...)を分けることができます。
サブスクリプションで分けるかリソースグループで分けるかはチーム方針によるかと思います。
リソース
Azure に存在する各種サービス(App Service 等)を指します。
Azure ロール
GCP ひいてはクラウドにおける「IAM」と同義と考えて差し支えないです。
ここでは詳しく説明しませんが、Azure ロールと Azure AD ロール(Azure AD に関する権限)は別物だったりするので、詳しくは公式ドキュメントを読むとより理解が深まるかと思います。
Microsoft アカウント
Microsoft サービスを利用するためのアカウントです。
accont.microsoft.comから作成できます。