#Azure サブスクリプションと #AzureActiveDirectory の関係 / Azure ADディレクトリ切り替え

この記事の内容

• Azure サブスクリプションは必ず1つの Azure Active Directory（AAD）に紐付きます
• AAD 内のユーザー・グループに対してサブスクリプションの権限を付与できます
• サブスクリプションが紐付く AAD は後から別のディレクトリへ変更（切り替え）できます
• ディレクトリを切り替えると、既存のアクセス権がすべて削除される点に注意が必要です
• Microsoft 365 で使用している AAD にサブスクリプションを紐付けるシンプルな構成を推奨します

Azure サブスクリプションと Azure Active Directory の基本的な関係

Azure の管理ポータルを開いてサブスクリプションの詳細を確認すると、「ディレクトリ」という項目があります。これがこのテーマの核心です。

すべての Azure サブスクリプションは、必ず1つの Azure Active Directory に紐付いています。

たとえば example@gmail.com という Microsoft アカウントで作成したサブスクリプションは、そのアカウントに対応する既定のディレクトリに紐付いた状態になっています。

この関係は「1対1」ではなく「多対1」です。複数のサブスクリプションを1つの AAD に紐付けることはできますが、1つのサブスクリプションが同時に複数の AAD に紐付くことはありません。

アクセス権（RBAC）と AAD の関係

サブスクリプションに対してロール（所有者・共同作成者など）を割り当てられるのは、そのサブスクリプションが紐付いている AAD の中に存在するユーザーまたはグループだけです。

外部の別ドメインのユーザーであっても、ゲストユーザーとして AAD に招待されていれば権限を付与できます。逆に言えば、AAD に存在しないユーザーには権限を割り当てることができません。

グループについても同様です。紐付いている AAD 内のグループをサブスクリプションのロールに割り当てることで、グループメンバー全員に一括でアクセス権を付与できます。

よくある課題：別の AAD に付け替えたい

実際の運用では、次のようなケースが発生しやすいです。

• Microsoft アカウント（個人用）で Azure サブスクリプションを作成してしまった
• 一方で、社内では Microsoft 365 / Office 365 を使っていて、そちらの AAD にはユーザーやグループが整備されており、Azure AD Premium のライセンスも割り当てられている
• オンプレミスの Active Directory から Azure AD Connect で同期もされている

このような場合、「既存のサブスクリプションを Microsoft 365 側の AAD に紐付け直したい」という要件が生じます。

ディレクトリの変更（切り替え）操作

Azure ポータルのサブスクリプション設定には 「ディレクトリの変更」 という操作があります。これを使うと、サブスクリプションを別の AAD に移動させることができます。

切り替えの前提条件

ディレクトリの変更を実行するには、次の条件を満たす必要があります。

1. 現在サインインしているアカウントが、変更先の AAD でグローバル管理者権限を持っていること
2. かつ、そのアカウントが現在のサブスクリプションのサービス管理者または共同管理者であること

つまり、切り替えを行うユーザーは「変更元のサブスクリプション」と「変更先の AAD」の両方に対して適切な権限を持っている必要があります。

切り替え手順の例

新しい AAD を作成して切り替える場合の手順例です。

1. 移行先となる新しい AAD（例：adchangetest）を作成する
2. 切り替えを実行したいアカウントを、新しい AAD にゲストユーザーとして招待する
3. 招待したユーザーに新しい AAD のグローバル管理者ロールを付与する
4. Azure ポータルでサブスクリプションを開き、「ディレクトリの変更」から新しい AAD を選択して実行する

既存の AAD にユーザーを追加して権限を付与する方法でも、結果は同じです。

ディレクトリ切り替え時の重要な注意点

アクセス権がすべて削除される

ディレクトリを切り替えた瞬間、サブスクリプションに設定されていたすべてのロール割り当て（RBAC）が削除されます。

これは「別の Active Directory ドメインに参加し直した場合、以前のドメインのアクセス権がそのまま使えなくなる」のと同じ原理です。ディレクトリが異なれば、ユーザーもグループも別のものとして扱われるためです。

切り替え後は、新しい AAD のユーザーやグループに対して、アクセス権を改めて付与する必要があります。

トラブルとして認識されやすい落とし穴

ディレクトリの切り替え後にアクセス権が消えてしまい、「Azure サブスクリプションが見えなくなった」「リソースにアクセスできなくなった」と誤認されるケースが非常に多くあります。

これはトラブルではなく、ディレクトリが変わったことで表示対象のサブスクリプションが切り替わっているだけです。ポータルの右上にあるディレクトリ切り替えメニューから、正しいディレクトリを選択することで元のサブスクリプションにアクセスできます。

AAD に依存したサービスは動作に影響が出る場合がある

仮想マシンや Blob ストレージなど、AAD に直接依存しないリソース自体は引き続き動作します。しかし、AAD の仕組みを利用しているサービスは影響を受けます。

代表的な例として Azure Automation があります。従来の Azure Automation は AAD 内にアカウントを作成して動作する仕組みのため、ディレクトリを切り替えると実行が停止することがあります。

切り替え後は、AAD と連携しているサービスの動作確認とアクセス権の再設定が必要です。

推奨する構成：シンプルな AAD 設計

基本方針

Microsoft 365 / Office 365 をすでに利用している環境であれば、そちらで使っている AAD に Azure サブスクリプションを紐付けることを強く推奨します。

新しく Azure サブスクリプションを作成する際は、Microsoft アカウント（個人アカウント）で作成するのではなく、既存の組織の AAD に紐付ける形で作成するのが理想です。

この構成にすることで、次のメリットが得られます。

• オンプレミス AD から同期されたユーザーやグループをそのまま利用できる
• Azure AD Premium などのライセンスを活用した条件付きアクセスや MFA が使える
• シングル ID で Azure・Microsoft 365・その他クラウドサービスを統一管理できる

AAD を複数に分けることへの警告

「本番とテストで AAD を分けたほうが安全では」という考え方もありますが、慎重に判断することを推奨します。

AAD を複数管理することによる運用のオーバーヘッドは決して小さくありません。同期のトラブル、フォレスト統合の複雑さ、ユーザー管理の煩雑さなど、オンプレミス時代に多くの組織が経験してきた課題がクラウドでも繰り返される可能性があります。

セキュリティ上の要件から分離が真に必要なケースを除き、なるべく1つの AAD に統合してシンプルな構成を維持することが長期的な安定運用につながります。

まとめ

• Azure サブスクリプションは必ず1つの Azure Active Directory に紐付きます
• サブスクリプションへの権限付与は、紐付いている AAD のユーザー・グループに対してのみ行えます
• ディレクトリの変更（切り替え）操作により、サブスクリプションを別の AAD へ移動できます
• 切り替えには「変更元サブスクリプションの管理権限」と「変更先 AAD のグローバル管理者権限」の両方が必要です
• ディレクトリ切り替え後はすべてのアクセス権が削除されるため、再設定が必要です
• Microsoft 365 で使用している既存の AAD にサブスクリプションを紐付けるシンプルな設計を最初から採用することを推奨します