Azure Active Directory

Azureサブスクリプションには「既定のディレクトリ」という概念があり、紐付いているAzure Active Directoryのユーザーを管理に使用することが出来ます。企業で利用する場合にはAzureの管理にマイクロソフトアカウントではなく、組織アカウントを使用することがセキュリティの観点から良いと思います。アカウント生成、削除、多要素認証の適用等適切に管理可能だからです。 以下では新規のAzureサブスクリプションに対してすでに存在しておりO365で使用しているAzure Active Directoryを既定のディレクトリとして紐付ける方法を紹介します。 まず、Azure管理ポータルにアクセスします。2016/04/07時点ではまだAzure Active Directory周りの管理操作はクラシックポータル上で行う必要があります。 https://manage.windowsazure.com/ 左ペインから「Active Directory」を選択した所です。サブスクリプション作成時に自動的に生成された「Default Directory」(※「規定のディレクトリ」の場合が多いと思います。)のみが見える状態になっています。 「設定」にて確認をするとサブスクリプションに対して、規定のディレクトリが紐付いていることが確認出来ます。 この規定のディレクトリを変更していきますが、変更するためには変更先のAzure Active Directoryの管理者として現在操作しているアカウントが権限をもっていなければいけません。別途O365の管理コンソールから操作することも可能ですし、場合によってはだれか別の人に管理者に追加してもらう必要がある場合もあるでしょう。 ここではひとつのやり方として、O365の全体管理者のアカウント(Azureの管理者とは別のアカウント)を自分自身が持っている前提で、Azure管理ポータル上の操作で権限追加まで行う方法を紹介します。 この場合まずAzure管理ポータル上のActive Directoryの一覧に、紐付ける先のAzure Active Directoryが表示される状態にします(これは必須ではありませんが一つのわかりやすいやり方です)。 このため、まず、O365で使用しているAzure Active Directoryへの接続を行います。 「Active Directory」にて「新規」をクリックします。 「ディレクトリ」をクリックします。 「カスタム作成」をクリックします。 「既存のディレクトリの使用」を選択します。 「 既存のディレクトリを使用するには、その前にユーザーがサインアウトし、ディレクトリの全体管理者としてもう一度サインインする必要があります。」と表示されます。 ここで混乱してしまう人が多いのですが、つまりこれはまず事前にアクセス権を付与するための操作です。 これからAzure管理ポータルにAzure Active Direcotryを追加してそれを管理しようとしていますが、そのためには、そのAzure Active Directory自体の全体管理者の権限が必要です。全体管理者の権限を付与するためには、その権限をすでに持っているアカウントで操作する必要があります。ですから、一度サインアウトして、別のアカウントで(この場合はO365の全体管理者で)サインインしなさいと言われているわけです。 チェックをつけて、次に進みます。 サインアウトされます。 サインイン画面になります。 ここではO365の全体管理者の権限を持つアカウントでサインインします。 サインインします。 権限付与する旨のメッセージが出ます。続行します。 権限が付与されました。サインアウトします。 Azureの管理者アカウントでサインインします。 O365で利用しているAzure Active Directoryが新しく追加されました。 これでAzureサブスクリプションの規定のディレクトリを変更する準備が整いました。 これからAzureサブスクリプションの規定のディレクトリを「Default Directory」から「ebisuda」に変更します。 「設定」に移動し、規定のディレクトリを変更する対象のサブスクリプションを選択した上で「ディレクトリの編集」をクリックします。 ...

一つ前の投稿でAzureサブスクリプションとAzure Active Directory(以下AAD)まわりで苦労した話を書いたばかりですが、やはりこのあたりで苦労している人は多いらしく、質問がきましたのでせっかくなのでブログで回答してみたいと思います。スクリーンショットもペタペタしながらですね。 Q1. 組織アカウントでサブスクリプションの共同管理者としてポータルを操作する方法 →サービス管理者の権限でどうやったら設定できるのか教えてください 質問はサービス管理者はマイクロソフトアカウントで現状使っているのだけれども、それを組織アカウントに権限を付与し、そのアカウントでAzureポータルを操作したい…ということだと理解しました。 この場合にはユーザーを作成してそこに権限を出してあげればよいです。操作手順…を見る前に1つだけ注意です。Azureサブスクリプションの共同管理者として追加できるのはAzureサブスクリプションの規定のディレクトリのユーザーのみです。ですので、まず最初におこなうことは「どのディレクトリの組織アカウントを共同管理者にすべきなのか」です。特にO365を利用しており、「組織アカウント」が暗黙的にこのO365が参照しているAADディレクトリである場合には、それを規定のディレクトリにまずする必要があります。 質問から早速脱線してしまいますが、先に、現在Azureコンソール上に表示されていないAADディレクトリに接続する方法を紹介しておきます。 まず、サービス管理者でAzureポータルにアクセスします。まだ現在ではクラシックポータルでの操作となります。 まず、Active Directoryを選択します。私の環境ではすでに複数作成および接続済みですが通常ははじめは「規定のディレクトリ」のみが表示されていると思います。 新規からカスタム作成をします。 既存のディレクトリに接続したくても、ここで選択するのは「カスタム作成」です。エントリの作成くらいの意味なんでしょうね。きっと。 ここで、「既存のディレクトリの使用」を選択します。これによって、すでに存在しているディレクトリに接続するわけですね。 このあとの操作ははじめは戸惑うところだとおもいますが、いちどサインアウトして、「ディレクトリの全体管理者として」サインインします。 ここ、ポイントです。 今、AzureポータルにはAzureサブスクリプションの管理者としてアクセスしています。そして次は、Azure Active Directoryディレクトリの全体管理者としてサインインするのです。 つまり、 「Azureサブスクリプションの管理者」と「Azure Active Directoryの管理者」は全くの別物 であり Azure Active Directory内に「Azureサブスクリプションの管理者」に対しての権限を追加し、参照可能とする 操作をこれからしようという画面なわけです。 あとは、単純にウィザード通り進めればよいので省略します…すいません。入るアカウントを間違えないように！ …というわけで、目的のAADディレクトリが接続できたら、次はそのAADディレクトリをAzureサブスクリプションの規定のAADディレクトリとして設定します。 「設定」の項目で「ディレクトリの編集」をクリックします。 ここで、変更可能なディレクトリ一覧(管理ポータル上で接続しているもの)がでてきますので、目的のものを選択してあとは進めていけばOKです。 さて、これでAzureサブスクリプションには目的のAADディレクトリが紐付いているはずですので、そこにユーザーを作成し、それを共同管理者にしていきます。 (ここからが質問への回答) 目的のAADディレクトリを選択します。 ユーザーの追加をクリックします。 組織内の新しいユーザーを作成します。(これが組織アカウントです。) ここに「ロール」がありますが、ここも注意！これはAADディレクトリに対してのロールであり、Azureサブスクリプションのことは何も言っていません。両者は別物です！ あとは一時パスワードの生成等進めていくだけです。 これでソースが「Microsoft Azure Active Directory」のユーザーができました。これが組織アカウントです。 このアカウントをこのAzureサブスクリプションの共同管理者に追加していきましょう！ 「設定」にて「管理者」を選択し、「追加」を行います。 これでnewadmin@windowsadmin.onmicrosoft.comが共同管理者となりました。 サインアウトし、このアカウントで入り直してみます。 はい。これで組織アカウントで共同管理者としてAzureポータルにアクセスできました。 右上のアイコンがきちんと組織アカウントのものになっています。 ...

前回のエントリに引き続き、AzureサブスクリプションとAAD周りの質問への回答です。 Q. 共同管理者権限のMSアカウントをAADの既定ディレクトリと紐付ける方法 → サブスクリプションに紐付いた既定のディレクトリを共同管理者にも操作させたいんですが、どうやったらいいのか教えてください これは、前回の内容が理解できればもう答えが出ている内容ですね。(エントリわけなくてよかったですな・・・） AzureサブスクリプションとAADディレクトリの権限はべつなので、該当のMSアカウントをAADの管理者にしつつ、コンソール上でAADに接続してしまえばよいです。 これはまさに前回のエントリで既存のディレクトリへの接続を行った操作を行えばよいです。 AADはAzureサブスクリプションとは完全に独立して別途存在しているものなので、両者をべつものとして考え、見る、操作させるためには権限が必要と考え…としていくと理解は容易かなと思います。このあたりADのころの信頼関係を結ぶあたりと似てますね。複雑で混乱しやすいあたりも…。

Azureにはサブスクリプションという管理単位が存在します。サブスクリプション単位で管理者を設定したり、課金管理をしたりする事ができます。新しいポータルになってAzure Resource Managerが全面的に採用となりリソースグループ単位でのアクセス制御や課金管理が行えるようになりましたが、それまではサブスクリプション単位での管理が主体でしたので「自分が自由に使って良いサブスクリプション」が用意されていて、その中でのみ利用できる…という状況の人も多いと思います。 私もこの状況でして、その状況でVisual Studio Team Servicesを無償枠の5人を超えたチームで使い出そうとして色々と無駄にはまってしまったのでその記録を残しておきます。 やりたかったのですが断念したのは以下の事です - VSTSにO365で利用しているAADを紐付ける 現在自分のチームに割りあてられているAzureサブスクリプションにVSTSの無償枠を超えた分を課金する もちろんこれは適切に設計されていれば当たり前にできる事ですし、頑張れば今回の私の状況でも実現できたはずです。ですが、色々とやりづらくなってしまったのはAzureサブスクリプションに紐付いている「規定のディレクトリ」が異なっていた事が原因でした。 「規定のディレクトリ」という概念は結構難しいので、少し説明しておきます。 - ディレクトリの実態はAzure Active Directoryのディレクトリです。(ディレクトリのディレクトリ……) Azureサブスクリプションは作成されるときに同時にそれに紐ずくAADディレクトリが生成されます(以前、生成されなかった時期もあったそうです) 1つのAzureサブスクリプションに紐ずくAADディレクトリは1つのみです AzureサブスクリプションとAADディレクトリの関係は1対1の固定的なものではなく後から変更する事ができます AADディレクトリはそれ単体で(事実上)いくつでも無償で作成する事ができ O365の契約をするとO365で利用するその組織専用のAADディレクトリが生成され、O365で利用されます 複数のAzureサブスクリプションの規定のディレクトリを単一のAADディレクトリに設定する事ができます Azureサブスクリプションを削除しても、それに紐付いていたAADディレクトリは削除されません Azureポータルから、AADディレクトリを作成するときには「新規に作成する」のか「既存のものを接続」するのかを選択できます このようにAzureサブスクリプションとAADディレクトリはそれぞれ独立して存在しつつ、くっつけたり、切り離したりする事ができます。 そもそもなぜAzureサブスクリプションにAADディレクトリを紐付ける必要があるのか？というのは正直なところ私にもよくわかりません。ごめんなさい。より正確に言うと「紐付ける必要がある現状の設計は悪い設計なんじゃないの？」と思います。今回はまったのもこのあたりが関係しています。 AzureサブスクリプションとAADディレクトリを紐付けないとできない事を知っている範囲で書いてみます。 - Azureサブスクリプションの管理者は規定のディレクトリのアカウントか、Microsoftアカウントでなければいけない(規定でない別のAADディレクトリのアカウントは管理者に指定できない) Azure Powershellで利用するアカウントはAADのユーザーでないといけない(Microsoft アカウントではだめ) Azure Automationで保存して使用するクレデンシャル(アカウント)はAzureサブスクリプションの規定のディレクトリのアカウントでないといけない(Microsoftアカウントではだめ) おそらく他にも色々とあると思いますが、私が知っているのはこれだけです。 さて、やっとVSTSの話になります。VSTSに限らない話なのですが、Azureポータル上で操作をしている時に何か既存の他のサービスとひも付けたりするときに「現在のアカウント」でアクセスできるものが自動的に表示され、それ以外が選択できないGUIがほとんどです。別のアカウントを入力できるケースのほうがレアですね。ですので、具体例としてVSTSの場合には以下の条件を満たさないと意図する結果にできません。 - 自分が使えるサブスクリプションの規定のディレクトリが、VSTS上で参照したいディレクトリと一致している - そのディレクトリ上に組織アカウントがあり、その組織アカウントがサブスクリプションの管理者である あるAzureサブスクリプションの共同管理者として規定ではないAADディレクトリのユーザーが指定さえできればこのあたり何も問題ないんですけどね。これができないので混乱、苦労します。 そして、Microsoftアカウントはとりあえずどこにでもなんにでも権限つけられちゃうのでそちらのほうが楽に使えちゃうんですよね。でも、他要素認証とか色々企業でコントロールするには組織アカウントを事実上つかわないと色々とやりづらくなってしまうわけで…。このあたりもう少しアーキテクチャ的に改善されて欲しいところです。

Microsoft Azure Fundamentals - Microsoft Virtual Academy 上記のMVAのコンテンツがAzureの管理周りの理解によい感じです。以下のあたりしっかりはっきり理解している人って少ないのではないでしょうか。 複数のサブスクリプションの使い分け - サブスクリプションとAADディレクトリの関係 - サービスの管理者と、ディレクトリの管理者の関係(両者は別物である) 前編英語ではありますが…、いろいろと悩む前にまとまったコンテンツで概念を理解してしまうのが手っ取り早いですね。 願わくばこのあたりがまとまった日本語コンテンツも欲しいところですが…。自分でやるべきか…。

金曜日の帰りの電車で座席に座れたので、Surfaceを取り出してこのブログを書いています。最近ブログ記事を全然書けていないので書きたいことがたくさんたまっております…。 さて、今回の話題はAzure Active Directory(AAD)です。オンプレミスのActive Directoryは知っていてもAzure上のActive Directoryの事を概念的に理解出来ている人はまだまだ少ないのが現状ではと思います。私が理解しているところをいくつか書いておこうと思います。一部正確ではない表現をあえて書いている部分がありますし、私の理解がそもそも間違っている部分があるかもしれません。ですが、まずはこういう理解から入ると良いだろうと思っています。 - オンプレミスのActive Directory Domain Service(ADDS)と似た名前がついてますし、機能的に同じ部分も一部ありますが、当初の理解のためには「名前は似てるけど現状は完全な別物」という捉え方をするのがよいだろうと思います。(将来的には同じような形に収束するのかもしれません。むしろクラウド上のみで完結する形になるのかもしれません。どういう方向に行くか、ワクワクしながらウオッチする感じです。) - AADはクラウド上にあって、インターネットに公開されていて、インターネット上での外のサービスとの連携を主眼に機能が用意されています。 - AADにはユーザーやグループ等が登録できます。 - O365のユーザー情報はAADに格納されています。例えばExchange OnlineはディレクトリとしてO365のテナント用に用意されたAADを利用しています。 - AADはAzure上のサービスとして存在しているので、いくつでもテナントを作成することができます。 - Microsoftアカウントはマイクロソフトが用意してくれていて全世界に公開されている1つのAADテナントです。 - AADのテナントは開かれているので、AADの1つのテナントに別のAADのテナントのユーザーを登録して権限を付与する…というようなことも可能です。 - AADとオンプレミスのADDSは「ディレクトリ同期ツール」にて同期することが可能です。 同期は基本的にADDSからAADの方向のみです。 - パスワードに関してはAADからADDS方向の同期も実装されてきました。今後も増えていくのかもしれません。 - AADの管理は複数の場所から行えるのですが、一番充実した管理が行えるのはAzureの管理ポータル画面からです。 - O365のAADも1つのAADなので、Azureの管理ポータル画面からO365で利用しているAADを「追加」して管理することができます。 - AADに機能を追加したAzure AD Premiumというサービスがあります。これはAzureの管理ポータルから管理します。O365の管理ポータルからは管理できません。 超簡単なまとめとしてはオンプレミスのID管理はAD DS。クラウドのID管理はAAD。間のID同期はディレクトリ同期ツール。というあたりで良いのかなと思います。 ADFSは?という声が聞こえてきそうですが、一旦ADFSを絡めずに理解するのが良いのではと思います。 ADDSの理解。AADの理解。ADFSの理解。これらを単体で理解した上で、この3つをつなげた時に行える世界の広がりを理解すると感動的だと思います。 もっとちゃんと時間をとって書きたいですね…。