はじめに
何かと複雑なAzure ADテナントとアカウント(ユーザー)とAzureサブスクリプション等についてどういう風になっているのかをまとめてみる。まずはそれらの関係性をざっとまとめて、次の記事あたりでエンタープライズ契約のときに登場するその管理構造とどういう関係になっているのかについてひも解いてみたい。
Azure AD配下の位置関係
まず前提としてAzure ADはAzureっていう名前がついているにも関わらずAzureとはちょっと違う場所にある (ロケーションとかじゃなくて関係性において)。マイクロソフト的にも今のところAzureとは別のサービスという位置づけのようである。O365やAzureとかを対象とする認証基盤 統合的なIDプラットフォームサービスと考えておいたほうがよさそうである。
簡単にまとめると下記のようになる。
- O365サブスクリプションはAzure ADのディレクトリの配下に作成される
- アカウント(ユーザー)はディレクトリに所属する
- サブスクリプションは、サブスクリプションを作成したユーザーのディレクトリに所属する。 そのため、Azureサブスクリプションは、 O365サブスクリプションと同じアカウントに関連付けられる
- Azureサブスクリプションの所有者は、ディレクトリ内の各ユーザーとなる
- アカウントはAzureサブスクリプションを複数持つことができる
- O365サブスクリプションの所有者は、ディレクトリ自体である。 ディレクトリ内で適切なアクセス許可を持つユーザーは、これらのサブスクリプションを管理できる
アカウント配下の位置関係
ユーザーアカウント、Azureサブスクリプション、Azureのリソースの位置関係は、以下のようになっている。
- アカウントは複数のAzureサブスクリプションを持つことができる。
- Azureサブスクリプションは必ずどこかのアカウントに紐づけられている。
- Azureサブスクリプションは、紐づけられているアカウントが登録されているAzure ADテナント(MemberまたはGuest)に関連している(Azure ADを信頼している)。
- Azureサブスクリプションが信頼できるAzure ADはひとつのみ。
こういう風に、AzureサブスクリプションはAzure ADテナントに直接ぶら下がっているのではなく、アカウントにぶら下がっているのだという事を理解しておくことが重要である。別のAzure ADテナントのところに移す時も、そのAzure ADテナント配下のアカウントを新しい所有者として権利を譲渡することになる。既存のAzureサブスクリプションをAzure Active Directoryに関連付けるまたは追加する方法 も、そのAzureサブスクリプションの所有者アカウントが変更先のディレクトリにも B2B招待 によって存在する場合に実施可能であり、所有者は変わっていない。つまり課金請求先も変わらない。どこに行ってもAzureサブスクリプションは常に誰かのところにくっついているものなのだ。
そもそもAzureサブスクリプションとは?
Azureサブスクリプションって何だろねって未だにピンとこない感じがするが、Azureの各種リソース等の境界と捉えておくと良いのではないかと思う。ここでの境界は次の2つの意味を持つことになる。
課金における境界
AzureサブスクリプションはAzure利用料の支払いの単位(エンタープライズ契約等の場合は利用料の管理の単位)になる。例えばサブスクリプション①がサブスクリプション②の課金に影響を及ぼすことはできない。
ユーザーと権限の構造の境界
つまりサブスクリプション配下のリソース(仮想マシン、データベース等)をデプロイしたり、削除したり監視したり等の操作の権限設定を行う際の管理の境界になっている。ここでの権限設定は Azure RBAC によって行う。
※Azure Governanceの管理グループ でポリシーを束ねることは可能。
Azureサブスクリプションの所有者はサブスクリプションのサービス管理者をアサインすることができる。サービス管理者はそのサブスクリプションのすべてのリソースを管理することができ、ユーザーの招待やRBACによる権限管理も実施可能。
RBACでロールを割り当てることができる対象アカウント
RBACはそのAzureサブスクリプションが紐づけられている所有者のアカウントが所属しているAzure ADテナントに存在しているユーザーのみ選択することができる。それ以外のテナントのユーザーに権限を付与したい場合は、まずAzure ADテナントに対象の外部ユーザーを ゲストとして招待 する必要がある。下図のようなイメージになる。
(補足) Azureサブスクリプションのディレクトリを変更
https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/active-directory-how-subscriptions-associated-directory
こちらのドキュメントに従って既存のAzureサブスクリプションのAzure ADのディレクトリを変更する場合、Azureサブスクリプションの所有者が変更先のディレクトリにゲストとして存在するアカウントでなければならない。下図ではxxxxxxxxxxxx.comを信頼しているAzureサブスクリプションをzzzzzzzzzzzz.comに変更する場合はアカウントの所有者であるtaro@xxxxxxxxxxxx.comがzzzzzzzzzzzz.comディレクトリのゲストとして登録されている必要がある。Azureサブスクリプションのディレクトリを変更しても所有者は相変わらずtaro@xxxxxxxxxxxx.comさんのままであり、zzzzzzzzzzzz.comにサブスクリプションの利用料の請求が行くように変更されることはない。
ディレクトリを変更した後、所有者は変更後のディレクトリにおいてサービス管理者をアサインし、サービス管理者はRBACにより共同作成者等を追加してプロジェクトを進めることができるようになる。