Windows Admin Center の Azure への登録

この記事の内容

  • Windows Admin Center を Azure に登録する手順と、その裏側で何が起きているかを解説します
  • Azure AD(Azure Active Directory)とAzureサブスクリプションの関係性について整理します
  • 複数テナントが存在する場合のディレクトリ選択の考え方を説明します
  • 登録時に作成される Azure AD アプリケーションの役割を明確にします
  • お客様環境での代行作業など、実際のシナリオに応じた登録先の選び方を紹介します

はじめに

Azure Stack HCI のクラスターを作成する際、事前に Windows Admin Center を Azure に登録する必要があります。オンプレミスのリソースを Azure で管理していく流れが当たり前になってきており、Windows Admin Center をはじめとするオンプレミスの管理ツールを Azure に登録するステップは今後ますます重要になります。

本記事では、その登録手順と、登録時に裏側で何が行われているのかを丁寧に解説します。

Azure への登録手順

1. Azure クラウドの選択

Windows Admin Center の Azure 登録ウィザードを開始すると、最初にどの Azure クラウドに登録するかを選択します。

選択肢は以下の通りです。

  • Azure グローバル(通常はこちらを選択)
  • Azure China(中国リージョン向け)

ほとんどの場合は「Azure グローバル」を選択すれば問題ありません。迷う必要はありません。

2. デバイス認証コードの取得とサインイン

次に認証コードが表示されます。これはデバイス認証(Device Code Flow)と呼ばれる方式です。

  1. 表示されたコードをコピーします
  2. ブラウザで Azure のデバイス認証ページを開きます
  3. コピーしたコードを入力します
  4. 使用する Azure AD アカウントを選択してサインインします

このコードを知っているということが本人確認の証明となり、サインインしたアカウントの Azure AD 権限と紐づく仕組みです。

注意: Azure に登録するには、Azure サブスクリプションの権限と Azure Active Directory の権限の両方が必要です。

3. テナントとアプリケーションの選択

サインインが完了すると、次の2点を選択します。

  • テナント(ディレクトリ)の選択:登録先の Azure AD テナントを指定します
  • アプリケーションの選択:既存の Azure AD アプリケーションを使用するか、新規作成するかを選びます

初回の場合は「新規作成」で問題ありません。既存のアプリケーション ID がある場合はそちらを指定することもできます。

裏側で何が起きているのか

Azure AD アプリケーションが作成される

Windows Admin Center を Azure に登録すると、Azure AD 上に「アプリケーション登録」が作成されます。Azure ポータルの「アプリの登録」や「エンタープライズアプリケーション」のメニューで確認でき、「Windows Admin Center」という名前で登録されます。

このアプリケーションには以下のような権限(アクセス許可)が付与されます。

  • Azure Active Directory へのサインインとプロフィール読み取り
  • Azure サービスマネジメント(Azure のリソース操作)へのアクセス

これらの権限を使って Windows Admin Center が動作するため、管理者による同意(Grant consent) が必要になります。登録ウィザードを実行するユーザーには、Azure AD のグローバル管理者権限が求められる理由はここにあります。

テナントが複数表示される理由

アカウントによっては、テナントの選択画面に複数のディレクトリが表示されることがあります。これは、そのユーザーが複数の Azure AD テナントに対して権限を持っている(ゲストユーザーとして招待されているなど)ためです。

テナントが異なると、紐づく Azure サブスクリプションも別々になります。テナントが違えば環境が完全に分かれると理解してください。

どのテナントに登録すべきか

自社環境の場合

自分の組織の Azure AD テナントを選択します。Azure ポータルで「Azure Active Directory」→「概要」を確認し、テナント ID とプライマリドメインを確認してから選択してください。

お客様環境を管理する場合

お客様の環境でクラスターを作成・管理したい場合は、お客様の Azure AD テナントに登録する必要があります。

この場合、以下のいずれかの対応が必要です。

  1. お客様のテナント管理者にウィザードを実行してもらう
  2. お客様のテナントにゲストユーザーとして招待してもらい、グローバル管理者権限を付与してもらった上で代行作業を行う

Azure サブスクリプションの種類について

Windows Admin Center の Azure 登録は、Azure サブスクリプションの契約形態を問わず利用できます。

  • クレジットカード登録の従量課金
  • EA(Enterprise Agreement)契約
  • CSP(クラウドソリューションプロバイダー)経由

いずれの契約形態でも登録可能です。

テナント ID の確認方法

正しいテナントに登録するために、事前にテナント ID を確認しておきましょう。

  1. Azure ポータル(https://portal.azure.com)にサインインします
  2. 「Azure Active Directory」を開きます
  3. 「概要」ページでテナント ID とプライマリドメインを確認します

確認したテナント ID をウィザードで指定することで、意図したディレクトリにアプリケーションが作成されます。

まとめ

Windows Admin Center を Azure に登録する際のポイントを整理します。

  • Azure グローバルを選択し、デバイス認証コードでサインインする
  • 登録には Azure サブスクリプションの権限Azure AD の権限(グローバル管理者) の両方が必要
  • 登録すると Azure AD 上に アプリケーション登録が作成され、そのアプリケーション経由で Windows Admin Center が Azure と連携する
  • 複数テナントが表示される場合は、管理対象のリソースが紐づいているテナントを正しく選択することが重要
  • お客様環境を管理する場合は、お客様の Azure AD テナントに登録する必要がある

Azure との登録で「何が起きているのか」を理解することで、トラブル時の切り分けやお客様への説明がしやすくなります。関連する Azure Stack HCI や Windows Admin Center の動画もあわせてご参照ください。