LoginSignup
7
0

More than 5 years have passed since last update.

SC(非公式)Advent Calendar 2017Day 11
@sat0tabe(Satoshi Tabeta)

AzureAD間のSubscription移動~EA契約で

Last updated at Posted at 2017-12-12

はじめに

今回は、
AzureADを作成し、空のサブスクリプションを既存のADから移動をする(EA契約版)
です。

経緯

なぜそんなことがやりたかったかというと、AzureKeyValutを利用したかったのですが、調べてすぐさまAzureADが必要ではと発覚しました。
そこでAzureADを作成しようとなりました。
しかし、弊社ではAzureの運用方法が煩雑だったためにハマってしまったので記録として残しておこうと思いました。

アカウントの種類

まず第一ハマったポイントのアカウント、ここを私はきちんと把握していませんでした。

  • アカウント管理者
  • サービス管理者
  • 共同管理者(2017 年 10 月時点で新規登録はできません。)
  • ロールベースのアクセス制御 (RBAC)

が存在しています。
詳しくは、https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/303/ を参照してください。
弊社では、アカウント管理者(管理チームアカウントA)、複数あるサブスクリプションのサービス管理者(管理チームアカウントB)、サブスクリプションごとの共同管理者orロールベース管理者(Azure利用する一般社員)という運用を行っているようでした。
そして当然、私は共同管理者アカウントしか持っていませんでした。

最初は自分のアカウントでAzureAD作って、、、、
ディレクトリ切り替えてもサブスクリプションないよと、、、まぁ当然ですね。
そこでサービス管理者になれればイケるんじゃねと思い、弊社の担当者に無理を言って私のアカウントをサービス管理者にしてもらいました。

しかし、 https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-how-subscriptions-associated-directory を見て分かるようにまったく権限足りませんでした。。。

なもんで、無理言ってお願いした後なので頼みづらかったのですが、なんとかアカウント管理者権限のユーザーを借りることができました。

作業開始

ここからはアカウント管理者での作業

まずは、AzureADの作成

特に問題なく作成完了

次は、というか、最後のサブスクリプション移動

と思ったら、ここでもハマっていました。

ここでおさらい

弊社アカウントの割当は
* アカウント管理者(管理チームアカウントA)
* 複数あるサブスクリプションのサービス管理者(管理チームアカウントB)
* サブスクリプションごとの共同管理者orロールベース管理者(Azure利用する一般社員)
です。

結論だけ言うとこれが話をややこしくしている原因でした。

https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-how-subscriptions-associated-directory
によるとアカウントポータルで移動できるよと解釈したので、
さっそくアカウントポートルニログイン
image.png

こういう画面のやつ

image.png

譲渡するってメニューがない。譲渡できない。。。

その後色々調べてみました。
結果的に
https://blog.nextscape.net/archives/Date/2015/12/azureaddefaultdir
https://blog.nextscape.net/archives/Date/2015/12/azure-ea
このあたりの記事を見つけたので、、、

まずはアカウントの整理

アカウント管理者、移動したいサブスクリプションのサービス管理者、アカウント管理者のアカウントでAzureADを作成し、管理者をすべてアカウント管理者IDに統一

これでアカウント管理者が私の触りたい領域すべて見えるようになりました。

ついに移動作業

上の記事にあるように マネージポータル に入り、
デフォルトのディレクトリを選択
メニューの設定
サブスクリプション
移動したいサブスクリプションを選択
ディレクトリの編集
関連付けられたディレクトリの変更で作成したディレクトリを選択
image.png

で変更できました。

おわり

Azureポータルより上の知識が皆無だったので苦労しました。これを期に勉強しておきたいと思います。
そして、弊社の運用方法は検討し直したほうがよさそうですね。分かりづらかったです。
さらにはAzure側でポータル多すぎです。
この記事で出てきたのだけで、Azureポータル、マネージポータル、アカウントポータルの3つ。実は載せていないけどEAポータルもあります。
そして、それぞれのポータルでしかできない作業があるのであっちこっちログインしないといけないのが、ユーザーばらばらなのも相まって時間がかかりました。
マネージポータルもうすぐ無くなると言うのに大丈夫でしょうか。。。

7
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
7
0