Help us understand the problem. What is going on with this article?

Azureのテナント/ディレクトリ/アカウント/ロールについて

More than 1 year has passed since last update.

Microsoft Azureについての個人的備忘録メモ

やりたいこと

  • 社内ADとAzure ADを連携させてアカウントの一元管理をしたい
  • 社内ADユーザーとパスワードを使って、各種SaaSにログイン(サインイン)したい
    • 退社時とかに一箇所でアクセス制限を行いたい

Azureに決めたわけ

  • 社内AD + ADFS(Active Directory Federation Service)だとサーバーを用意しないといけない
    • 冗長構成とか保守とかの面倒が発生する
    • SaaS連携時にいろいろ設定しないといけない(Azure対応を謳ってるサービスなら簡単に連携できるっぽい)
  • Azure ADが提供している機能を使いたい
    • MFA(Multi Factor Authentication)とか
    • デバイス認証とか
    • 監査ログとか
  • LDAP, Kerberos, RADIUS とも連携したい
  • Windows PCとかのログオン(Hello?)と連携してPCにログオンするだけで各種SaaSにパスワードレスで使えるようになるらしい
  • 要は面倒は嫌

用語

テナント

  • Azureを使うときの管理スペース
    • Azure ADと1対1で対応
    • 基本1企業 = 1テナントで管理するのが良さそう(AWSだとシステム(請求)単位でアカウントわけるのが定石)

ディレクトリ

  • テナント内のユーザーやグループを管理するための認証基盤
  • 「ディレクトリロール」はディレクトリに対する管理権限のこと

ユーザー = アカウント

  • 大きく「個人用Microsoftアカウント」と「組織アカウント(職場または学校アカウント)」の2種類がある
  • 自分でAzureにサインアップした時には「個人用Microsoftアカウント」になる
    • Microsoftが管理しているディレクトリに作成されているユーザーという見方もある
  • どこかのテナントのディレクトリで管理されている場合は「組織アカウント」になる
  • AWSでいうアカウントとは意味合いが異なる
    • AWSでいうアカウントはAzureでは「サブスクリプション」に近い

サブスクリプション

  • Azureでの請求単位
  • 1テナントで複数のサブスクリプションを持つことができる
  • そのサブスクリプションを利用可能なユーザーや、利用可能なサービスを設定できる

IAM

  • そのサブスクリプションでユーザーがどんなサービス(Azureリソース)を利用できるかを設定する仕組み

組織でのAzureの始め方はこんな感じがいいんじゃないか

  • Azure管理用のメールアドレス(メーリングリスト)を作成する
  • 管理用アドレスでAzureにサインアップしテナントを作成する(このユーザーは個人用Microsoftアカウントになる)
    • なおOffice365を利用している組織ならすでにテナントがあるのでそこを使うのが良い
  • サブスクリプションとかは、この管理者ユーザーで追加する
  • ディレクトリに実際作業するユーザーを追加する(必要なら社内ADとAzure AD Connectを使って同期する)
  • ユーザーにサブスクリプションのIAMを割り当てる(Virtual Machineの作成権限とか)

ちょっと触ってみたAzureのツラミ

  • 公式ドキュメントの日本語訳がおかしい
    • 日本語文章として意味が通じない
    • 結局英語文章をあたることになる
  • 略語が多い
    • 二文字・三文字の略語が多用されてる
    • UPN = User Principal Name (ユーザー識別名 user@domain 形式)
    • gMSA = group Management Service Account (グループ管理サービスアカウント)
    • Windows (Server) 経験者ならすんなり理解できるのか
  • ドキュメントの通りにやる → できない → 原因がわからない
    • エラーメッセージだけで原因ログがどこにもでてこない
  • ポータルが多すぎて迷子になる

Azureのいいところ

  • 最初から「エンタープライズ」を意識して使ってる感ある
    • 特に請求まわりとか、リソースグループの考え方とか
    • (故に背景となる前提知識が求められることもあり取っ付きづらい感もあるが)
  • サポートのレベル高い
    • 電話で1時間くらいかけて懇切丁寧に対応してくれた
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away