安全なマイクロソフトのクラウドサービスの始め方

この記事は一連の記事の8番目の記事です。前の記事も併せてご覧ください！

以前の記事

1. マイクロソフトのクラウドサービスを使うなら「なにはなくともまずAzure Active Directoryが重要」

2. M365とAzureを同時に使うときにAzure ADはどのように構成したらいいのか？

3. CSP契約とAzure Active Directoryとの関係

4. CSP契約の実際と注意点

5. テナントを超えたコラボレーションの実現方法

6. 組織アカウントと個人アカウントの違い

7. 組織アカウントと個人アカウントは「所有者」が異なる(混ぜるな危険)　

8. 安全なマイクロソフトのクラウドサービスの始め方(←本記事)

安全なマイクロソフトのクラウドサービスの始め方

本書ではAzure Active Directoryを1つのみで構成することを推奨しています。また、組織アカウントと個人アカウントが混ざると難しいことになってしまうということも繰り返しお伝えしてきました。
では、これらを踏まえて具体的にどのような順番で環境を構築すれば問題が起きにくいでしょうか？本章では現在の状況別に具体的な方策をお伝えしたいと思います。

まだマイクロソフトのクラウドサービスをまったく使っていない場合

まだマイクロソフトのクラウドサービスをまったく使っていない場合にはまだ組織にAzure Active Directoryが1つも存在していない可能性がかなり高いことになります。これはとても良い状態です。
まずは、念のために検証等でAzure Active Directoryをすでに作成している人がいないかどうか確認できる範囲でしてもらうと良いでしょう。もしも存在が確認された場合にはそれが本番利用すべき状況になってしまっていないかを念の為に確認しておくと安心です。
そして完全に組織にはまだAzure Active Directoryが存在していないと確認できた場合、まず行うべきことは新規のAzure Active Directoryの作成です。何かしらのサービスを使い出す前に何はともあれAzure Active Directoryを作成してしまえばあとはその中のIDを使用してサービス契約を進めていく事ができます。ですからまずAzure Active Directoryを作成するのです。

いきなりAzure Active Directoryを作成するのがオススメ

何もないところからいきなりAzure Active Directoryを作成できるURLが存在しています。個人アカウントも必要ありません。これを使ってまずAzure Active Directoryを作成します。

• account.windowsazure.com/organization

この時にまずはAzure Active Directoryのテナント名を決定します。これは<任意の文字列>.onmicrosoft.comという形態になります。これをそのまま使うことは少ないですが、実際に使えるドメイン名にもなります。まずはこのドメイン名を他と重複がないように設定し、新規のAzure Active Directoryを作成します。
組織の名前等でドメイン名が取れると嬉しいのですが、すでにそのドメイン名が取られてしまっていることもよくあります。何かしら妥協できる名前を複数考えておくのが良いでしょう。
そして、ここでAzure Active Directoryが作成できればその中に管理者アカウントが作成されます。あとは、このアカウントを使って他のサービスを契約して行くことになります。

ドメインを追加

Azure Active Directoryが確保できたらそのAzure Active Directoryに自組織で使っていくドメイン名を追加することをまず行ってしまいましょう。この操作は複数の場所から実施できますが、Azure管理ポータルからAzure Active Directoryの管理画面に移動して実施するか、M365管理者ポータルから実行するのが良いでしょう。
ドメインを追加するということですからあらかじめドメイン取得サービスでドメインを取得しておくことが必要です。たとえばAzureでもApp Serviceドメインというサービスでドメイン名自体を取得する事が可能ですが、この段階ではまだAzureを契約していないためそれはやめておいた方が無難です。
一般的な組織であればすでに組織用のドメインは取得済みだと思われますのでそれをそのまま利用可能です。新規の組織の場合にはお好みのドメイン取得サービスを使用できます。
Azure Active Directoryへのドメイン追加痔には、本当にそのドメインを所持していることを証明するためにマイクロソフトから指定されるレコードをDNSに登録する必要があります。ドメインの追加方法はお使いのドメインサービスによって異なるのでここでは詳しくは触れません。きちんと指定されたクエリが解決されることだけが条件となります。

必要に応じてユーザー名を変更

おめでとうございます。ドメインの追加ができれば、それがあなたの組織がこれからずっと使っていく唯一のAzure Active Directoryが確保できたことになります。他のAzure Active Directoryは作らずにこのAzure Active Directoryを使い続けてあげてください。
管理者アカウントは事前に存在していましたが、この段階ではadmin@xxxxxx.onmicrosoft.comのようなユーザー名になっているはずです。追加したドメイン名を使った形に変更しておいた方が良いと思われる場合にはユーザー名のドメイン名部分の変更が可能ですので、変更してください。変更必須ではありませんのでお好みで実施ください。

すでにMicrosoft 365を使っていて、これからAzureを使いたい場合