M365とAzureを同時に使うときにAzure ADはどのように構成したらいいのか？ / マイクロソフトのクラウドサービスを使うなら「なにはなくともまずAzure Active Directoryが重要」その2

本記事は、前回の記事であるマイクロソフトのクラウドサービスを使うなら「なにはなくともまずAzure Active Directoryが重要」の続きです。

Azureでは複数のAzure ADが登場する

Azureを利用するにはまず契約が必要です。そしてその契約の中に「Azureサブスクリプション」を作成します。Azureサブスクリプションの中にさまざまなAzureで利用可能なサービスを展開し利用する事になります。Azureサブスクリプションは複数作成できます。この時Azureサブスクリプションはそれぞれ信頼するAzure ADが1つ設定されている状態になります。

Microsoft 365やDynamics 365の場合とは異なりAzureの利用においては複数のAzure ADが登場する（構成が取れる）のです。これはAzureがユーザーにライセンスを割り当てて使うものではないことに大きく依存しています。AzureにおいてはAzure ADは主に権限を割り当てるために使うものなのです。

さらに話をややこしくするのはAzureサブスクリプションが信頼するAzure ADは「切り替える」という操作が可能であることです。図を見てもわかる通りAzureサブスクリプションが信頼し紐づいているAzure ADの中に管理者が設定されているわけですからAzure ADを切り替えてしまったら権限をそのまま引き継ぐわけにはいきません。ですので信頼するAzure ADを切り替えると既存の権限設定はすべて失われる事になります。「権限は無くなっちゃっていいから違うAzure ADを信頼するように切り替える」という事が可能なわけです。これはそう頻繁に行われる操作ではありません。とはいえ、そういう操作ができるようになっているという事実があるわけです。

Azureの話をする時には「Azure ADが複数登場しうる」「Azure ADが切り替わりうる」ということをよく理解しておいてください。これはMicrosoft 365等のユーザーベースのライセンス形態であるマイクロソフトのクラウドサービスにはないとても大きな特徴です。

ではこれを踏まえて、どのような失敗がよくあるのかを説明していきましょう。

よくある失敗その2「Microsoft 365とは別のAzure ADに紐づけてAzureを利用してしまった」

Microsoft 365を利用しようとすると裏で勝手にAzure ADが生成されていました。それと同じように通常の手順でAzureの利用を開始すると裏でAzure ADが生成されているパターンがあります。Azureの利用を開始しようとした時に使っていたアカウントの種類に応じて下記のどちらかの動きとなります。

1. Azureを利用しようとしているユーザーがAzure ADのユーザーならそのユーザーが所属するAzure ADを信頼する

2. Azureを利用しているユーザーがAzure ADのユーザーでないなら（個人で利用するMicrosoftアカウントを利用しているなら）勝手に裏でAzure ADを自動作成する

とくに2の動きが曲者です。下記の図は私が個人で使用しているebibibi@gmailという個人のマイクロソフトアカウントを使ってAzureを使いだしたときに自動生成されたAzure ADです。

「名前」は「既定のディレクトリ」という名前になり、プライマリドメインは「ebibibigmail.onmicrosoft.com」となっている。つまりメールアドレス（ID）からプライマリドメインが自動的に決定されたAzure ADが生成されています。なお、名前に関してはあとから変更が可能です。

どちらの場合もAzureの利用を申し込んだユーザーがまず管理者アカウントになるのです。ユーザーがAzure AD上のユーザーであれば自然ですが（1のパターン）、ユーザーがAzure AD上のユーザーでない場合にはそのユーザーをAzure AD上のユーザーにしないといけないため、専用の新しいAzure ADが自動生成されるのです（2のパターン）

普通にWebで手順を調べ素直に指示にしたがっていくと、個人のマイクロソフトアカウントを作成し手順を進める形になります。そうすると結果的に2のパターンになってしまうというわけです。

すでにMicrosoft 365を使っている組織でこの2の進め方をしてしまうとMicrosoft 365で使っているAzure ADとは別の「Azureを利用するための新規のAzure AD」ができてしまいます。しかも本番利用に適さない個人のメールアドレスから自動生成されたドメイン名で…。

そして、ここがとくに問題を根深くするのですが この状態でもとくに問題を感じずに長期間利用する事が可能 なのです。

「問題を感じずに利用する事が可能なのであれば、問題ないのではないか？」確かにはじめはそうかもしれません。ですが、この状態で長期間使い続けたところを想像してみてください。Azure上ではさまざまなサービスが利用され多数のシステムが稼働する状況になってきます。そのうちとても重要なデータも扱うようになってくるでしょう。はじめのAzure利用者は少数だったとしても、徐々に組織内の多くのユーザーがAzure環境を触る必要が出てくるでしょう。場合によっては外部の組織のユーザーをゲストとして招待して協業をする必要が出てくるかもしれません。利用が進んでくると当初のテスト的に使い始めた状況とは異なり、しっかりとしたセキュリティ対策が求められるようになることは想像に難くありません。

Azure ADにはAzure AD Premium P1, Premium P2などの追加のライセンスが提供されており、より安全かつ便利にIDおよびアクセスの管理を行うさまざまな機能が提供されます。たとえばIntune等のデバイスを管理するクラウドサービスと連携させIDおよびデバイスの状態を元に条件付きアクセスを用いてMicrosoft 365やAzure等のアクセスを管理していく事が可能です。

このAzure AD PremiumやIntuneのライセンスは「ユーザー単位のライセンス」です。単一のAzure ADテナントに紐づき「ユーザー1人あたりいくら」という課金体系になっています。Azureの従量課金の仕組みの中での支払ではないのです。セキュリティを高めようと思ったときにAzure ADが2つ存在していたらどうなるでしょうか？同じユーザーに対して2つのIDが存在しており、IDの管理は二重に、ライセンス料金も二重に必要となってしまいます。2つならまだましな方かもしれません。Azureサブスクリプション毎に異なるAzure ADが生成されておりAzure ADの数が10も20もあったらどうなってしまうでしょうか？考えただけでも頭が痛い状況です。

このようにAzureの利用が進み「セキュリティ対策」「ゲスト管理」を本格的に行おうとしたときにAzure ADが複数存在していると困ったことになってしまうのです。そして「Microsoft 365とAzureをガイドに沿って普通に使いはじめると困った状態になってしまう」可能性が高いのです。

ここまで記事を読んでくださった方は自分の組織がこの「困った状態」になってしまっていないか、あるいはこれから先Azureを使おうと思った時にこの「困った状態」になってしまわないか（Azureの契約担当者がAzure ADの事を理解しているかどうか）、今すぐ確認してください。かなり多くの組織がこの落とし穴にはまってしまっています。本当に注意してください。

そして、この落とし穴にはまっている状態から抜け出すのは、早ければ早いほど簡単です。作成直後なら単にその作ってしまったAzure環境を捨ててやり直せばよいだけです。中にはまだ何もないのですから。少し検証をした、少しリソースを作ってしまったくらいならAzure環境を作り直してもまだダメージは少ないでしょう。ですが、多くの期間と工数を費やしてAzure環境を作ってしまった、Microsoft 365にもユーザーの作ったデータが多数貯まっている状況になってしまうと身動きが取れなくなって対処が難しくなってきます。そのまま放置していると状況はどんどん悪くなります。気がついたらその場で早急に対処を進めてください。

Microsoft 365とAzureを同時に使う時にはどのように構成すればよいのか

では、Microsoft 365とAzureを同時に使う時にはどのように構成すればよいのでしょうか？