Microsoft Account

このあたり追いかけていない人には何のことかわからないと思いますが、個人的に衝撃だったので簡単にブログにポストします。 - マイクロソフトアカウントを作成すると、そのユーザー名とメールドメインに紐付いて自動的にAADテナントが作成されるようになっていました！ - しかも、そのAADテナントには**マイクロソフトアカウントに紐づけたメールアドレスがユーザー名である組織アカウント**が自動作成されています！ 上記がその証拠画像です。 いつからこうなってたんでしょうか？マイクロソフトアカウントを作成するときにAADにすでに登録済みのドメインのメールアドレスは使えないようになったのはずいぶん前ですが、この条件であればこうできるのかな？という感じではありますが。 マイクロソフトアカウントはAzureからみると以前はAADには紐付かない宙ぶらりんなアカウントでしたが、今はAzure利用という観点でみるとしっかりとAADにも紐づく存在になってきているようです。 もっとも、新規作成のマイクロソフトアカウントはこの状態だとしても、以前から存在しているマイクロソフトアカウントはまた違うようですが。 それにしても、AADに追加した確認済みのドメイン名ではないドメインの組織アカウントがディレクトリ内に存在する状態にしてしまって、ほかとの整合性は大丈夫なんでしょうか？ちょっと心配な部分もありますが、うまくさばいてくれることを期待しながら…。 なお、このようにマイクロソフトアカウントもAADに紐付いたので、サブスクリプション転送時にもディレクトリの切り替えが発生するパターンが増えていますね。このあたり諸々注意が必要です。 個人的にはもうマイクロソフトアカウントも全部完全にAADのアカウントです、という形で整理してくれた方がスッキリする気がしますが…。

一つ前の投稿でAzureサブスクリプションとAzure Active Directory(以下AAD)まわりで苦労した話を書いたばかりですが、やはりこのあたりで苦労している人は多いらしく、質問がきましたのでせっかくなのでブログで回答してみたいと思います。スクリーンショットもペタペタしながらですね。 Q1. 組織アカウントでサブスクリプションの共同管理者としてポータルを操作する方法 →サービス管理者の権限でどうやったら設定できるのか教えてください 質問はサービス管理者はマイクロソフトアカウントで現状使っているのだけれども、それを組織アカウントに権限を付与し、そのアカウントでAzureポータルを操作したい…ということだと理解しました。 この場合にはユーザーを作成してそこに権限を出してあげればよいです。操作手順…を見る前に1つだけ注意です。Azureサブスクリプションの共同管理者として追加できるのはAzureサブスクリプションの規定のディレクトリのユーザーのみです。ですので、まず最初におこなうことは「どのディレクトリの組織アカウントを共同管理者にすべきなのか」です。特にO365を利用しており、「組織アカウント」が暗黙的にこのO365が参照しているAADディレクトリである場合には、それを規定のディレクトリにまずする必要があります。 質問から早速脱線してしまいますが、先に、現在Azureコンソール上に表示されていないAADディレクトリに接続する方法を紹介しておきます。 まず、サービス管理者でAzureポータルにアクセスします。まだ現在ではクラシックポータルでの操作となります。 まず、Active Directoryを選択します。私の環境ではすでに複数作成および接続済みですが通常ははじめは「規定のディレクトリ」のみが表示されていると思います。 新規からカスタム作成をします。 既存のディレクトリに接続したくても、ここで選択するのは「カスタム作成」です。エントリの作成くらいの意味なんでしょうね。きっと。 ここで、「既存のディレクトリの使用」を選択します。これによって、すでに存在しているディレクトリに接続するわけですね。 このあとの操作ははじめは戸惑うところだとおもいますが、いちどサインアウトして、「ディレクトリの全体管理者として」サインインします。 ここ、ポイントです。 今、AzureポータルにはAzureサブスクリプションの管理者としてアクセスしています。そして次は、Azure Active Directoryディレクトリの全体管理者としてサインインするのです。 つまり、 「Azureサブスクリプションの管理者」と「Azure Active Directoryの管理者」は全くの別物 であり Azure Active Directory内に「Azureサブスクリプションの管理者」に対しての権限を追加し、参照可能とする 操作をこれからしようという画面なわけです。 あとは、単純にウィザード通り進めればよいので省略します…すいません。入るアカウントを間違えないように！ …というわけで、目的のAADディレクトリが接続できたら、次はそのAADディレクトリをAzureサブスクリプションの規定のAADディレクトリとして設定します。 「設定」の項目で「ディレクトリの編集」をクリックします。 ここで、変更可能なディレクトリ一覧(管理ポータル上で接続しているもの)がでてきますので、目的のものを選択してあとは進めていけばOKです。 さて、これでAzureサブスクリプションには目的のAADディレクトリが紐付いているはずですので、そこにユーザーを作成し、それを共同管理者にしていきます。 (ここからが質問への回答) 目的のAADディレクトリを選択します。 ユーザーの追加をクリックします。 組織内の新しいユーザーを作成します。(これが組織アカウントです。) ここに「ロール」がありますが、ここも注意！これはAADディレクトリに対してのロールであり、Azureサブスクリプションのことは何も言っていません。両者は別物です！ あとは一時パスワードの生成等進めていくだけです。 これでソースが「Microsoft Azure Active Directory」のユーザーができました。これが組織アカウントです。 このアカウントをこのAzureサブスクリプションの共同管理者に追加していきましょう！ 「設定」にて「管理者」を選択し、「追加」を行います。 これでnewadmin@windowsadmin.onmicrosoft.comが共同管理者となりました。 サインアウトし、このアカウントで入り直してみます。 はい。これで組織アカウントで共同管理者としてAzureポータルにアクセスできました。 右上のアイコンがきちんと組織アカウントのものになっています。 ...

前回のエントリに引き続き、AzureサブスクリプションとAAD周りの質問への回答です。 Q. 共同管理者権限のMSアカウントをAADの既定ディレクトリと紐付ける方法 → サブスクリプションに紐付いた既定のディレクトリを共同管理者にも操作させたいんですが、どうやったらいいのか教えてください これは、前回の内容が理解できればもう答えが出ている内容ですね。(エントリわけなくてよかったですな・・・） AzureサブスクリプションとAADディレクトリの権限はべつなので、該当のMSアカウントをAADの管理者にしつつ、コンソール上でAADに接続してしまえばよいです。 これはまさに前回のエントリで既存のディレクトリへの接続を行った操作を行えばよいです。 AADはAzureサブスクリプションとは完全に独立して別途存在しているものなので、両者をべつものとして考え、見る、操作させるためには権限が必要と考え…としていくと理解は容易かなと思います。このあたりADのころの信頼関係を結ぶあたりと似てますね。複雑で混乱しやすいあたりも…。