やりたいこと
Azureで出てくるテナントという言葉に関して、リソースグループ、サブスクリプション、管理グループ階層との構成がどうなっているのか、テナントから全て含めての構成を理解したい。MS Learnの図では分割されたものしか見つからなかった。
テナントとは
- Microsoft Entra テナントは、組織単位のユーザーやグループの入れ物
- 組織で使用されるアプリケーションとリソースに ID とアクセス管理 (IAM) 機能を提供する
- Microsoft Entra テナントは、Microsoft Entra ID(サービス名)のインスタンス
- Azure AD テナントは旧称
構造
参考資料から、全体をつなげると以下になる。Entraテナントの直下に管理グループ階層(Management Group Hierarchy)があり、その中にテナントルートグループがある。
- グループは、同じアクセス権を必要とするユーザーをまとめて管理するためのもの
- テナントルートグループは管理グループの1つ。通常の管理グループは新たに作らなくてもよい。サブスクリプションは、直接テナントルートグループに繋がってもよい
- ユーザー、グループなどはディレクトリ オブジェクトと呼ばれることがある
Microsoft Entra テナント
└── ディレクトリ
├─ ユーザー
├─ グループ
├─ アプリ登録
└─ 管理グループ階層
└─ テナント ルート グループ
├─ 管理グループ
│ └─ サブスクリプション
│ └─ リソース グループ
│ └─ Azure リソース
└─ サブスクリプション
└─ リソース グループ
└─ Azure リソース
Ref
Entraテナントは、「ディレクトリ」とも呼ばれ、ユーザーやグループ、アプリケーション、デバイスを一言管理するデータベースです。
と書いてある本もあるが、↑のMS LearnだとTenantの中にDirectoryがある書き方になっている。一方、↓はディレクトリIDとテナントIDが同じものとして出ている、という話がある。