Azure AD と CSP契約の関係 ─ Microsoft クラウドサービスを使うなら知っておきたいこと

この記事の内容

  • CSP(クラウドソリューションプロバイダー)契約とは何か、その仕組みを解説します
  • Azure AD テナントと CSP 契約の正しい関係性と理想的な構成を説明します
  • CSP 契約時に Azure AD が複数になってしまいやすい問題点と原因を紹介します
  • Azure AD が複数存在する状態でのリスクと、サブスクリプション移行の難しさを解説します
  • 適切な CSP 契約のために確認すべきポイントと、プロへの相談が必要なケースをまとめます

CSP契約とは何か

CSP とは、Cloud Solution Provider(クラウドソリューションプロバイダー)の頭文字をとったものです。Microsoft のクラウドサービスを Microsoft と直接契約するのではなく、CSP ベンダーと契約を結んでそのサービスを利用するという形態です。

CSP 契約を利用することで、Azure、Microsoft 365、Dynamics 365 などの Microsoft クラウドサービスを CSP ベンダー経由で使えます。また、CSP ベンダー独自のサービスを利用することも可能です。

CSP 契約の本来のメリットは、環境構築から日常管理、Microsoft とのサポート対応まで、CSP ベンダーがすべてを面倒みてくれる点にあります。顧客側は、CSP ベンダーが提供するサービスを利用するだけでよく、問題が発生した場合も CSP ベンダーに問い合わせるだけです。一方、Microsoft と直接契約した場合は、自分たちで契約・管理・問題解決をすべて行う必要があります。

Azure AD の理想的な構成(おさらい)

CSP 契約の話に入る前に、Azure AD の理想的な構成を確認しておきましょう。

理想は、1つの Azure Active Directory にすべてのユーザーが存在している状態です。そのひとつの Azure AD に対して、ライセンスが割り当てられ、Azure サブスクリプションも紐付いており、セキュリティやガバナンスを効かせながらすべてのサービスが使える状態が理想です。また、Microsoft 以外の SaaS サービスへも同じ ID でサインインできることが望ましい姿です。

放置してしまうと、Azure AD がどんどん増えてしまいがちです。これが多くの問題の根本原因となります。

CSP契約の本来の姿 ─ Microsoft 365 を含まないサービスの場合

CSP ベンダーがクラウド上でサービスを提供している場合、そのサービスの裏では CSP ベンダーが管理する Azure AD が存在しています。顧客からはこの Azure AD が見える必要はなく、CSP ベンダーが提供するサービスにアクセスして使うだけです。

この場合、顧客側に Azure AD があってもなくても関係ありません。顧客の Azure AD とは切り離された CSP ベンダーが管理する領域でサービスが動くというのが、本来の CSP の姿です。

なお、顧客の Azure AD との連携が必要な場合(Microsoft 365 と連携する CSP サービスなど)は、管理者がアクセス許可(コンセント)を行ったり、Azure AD B2B でユーザーを招待したりするケースもあります。

CSP契約と Microsoft 365 の組み合わせ

Microsoft 365 も CSP で扱える Microsoft クラウドサービスのひとつです。CSP 契約で Microsoft 365 を使うことはよくあるパターンです。

Microsoft 365 のライセンスはユーザーに割り当てるものであり、ユーザーは Azure AD に存在します。したがって、CSP 契約で Microsoft 365 を利用する際には、CSP 契約に紐付く Azure AD をどのように構成するかが重要になります。

パターン1:まだ Azure AD を持っていない顧客の場合

Azure AD を持っていない顧客がはじめて CSP 契約で Microsoft 365 を使う場合は、CSP ベンダーが管理する Azure AD 上にユーザーをクラウド ID として作成する方法があります。また、顧客がオンプレミスの Active Directory を持っている場合は、Azure AD Connect や Azure AD クラウド同期を使って、オンプレ AD からユーザーを同期させることもできます。

パターン2:すでに Azure AD を持っている顧客の場合

すでに Azure AD を持っていて Microsoft 365 も使っている顧客が、CSP 契約に移行したい場合はどうすればよいでしょうか。

このケースでは、既存の Azure AD に紐付ける形で CSP テナントを作成することができます。CSP ベンダーはパートナーセンターという管理ツールを使い、顧客の既存 Azure AD に紐付けた形で顧客テナントを作成できます。こうすることで、Microsoft 365 のライセンスは既存の Azure AD ユーザーに割り当てられ、Azure AD を 1 つのままに保った状態で CSP 契約に移行できます

これが正しい構成です。CSP 契約が追加されても、Azure AD は 1 つのまま維持されます。

よくある問題のパターン ─ Azure AD が複数になってしまうケース

残念ながら、現実には本来の理想的な形とは異なる構成になってしまうことが多くあります。

問題パターン1:知識不足で Azure AD が増えてしまっている

もともと Azure AD が複数存在してしまっているケースがあります。

  • Microsoft 365 用の Azure AD が 1 つある
  • Azure のサブスクリプションが別の Azure AD に紐付いている

このような状態は理想的ではありませんが、わからないまま作ってしまうことで発生しがちです。

問題パターン2:CSP 契約時に新しい Azure AD がさらに増えてしまう

CSP ベンダーはさまざまな事情(パートナープログラムの成績や営業戦略など)から、CSP 契約を勧めることがあります。その際、顧客の既存 Azure AD に紐付けず、新たに Azure AD を作成した上でサービスを提供するケースがあります。

CSP ベンダー側にとっては、顧客ごとに環境を統一して管理しやすい形にした方が運用コストが下がるため、このような構成にしがちです。しかしこれにより、顧客の Azure AD がさらに 1 つ増えてしまいます。

CSP 移行時の「引っ越し問題」

CSP 契約後に、以前の Azure AD に紐付いていたリソース(Azure サブスクリプションや各種サービス)を CSP 側に移行しようとすると、大変な移行作業が発生します。

サブスクリプションの紐付け変更は難しい

Azure AD を別の Azure AD に切り替える操作は技術的に可能ではありますが、以下のようなリスクや制約があります。

  • サービスプリンシパルへの参照が壊れる場合がある
  • 権限(ロール)の再設定が必要になる場合がある
  • Azure Expert MSP 以上のレベルのパートナーでないと利用できない機能がある

また、CSP 契約の Azure サブスクリプションは、通常の EA 契約と比べて利用できる機能(Azure ポータルの一部機能や Marketplace サービスなど)に差がある場合もあります。

データの移行も発生する

以前の Azure AD に紐付いていた Microsoft 365 のデータ(Exchange Online、SharePoint Online、Teams など)を新しい Azure AD 環境に移行しようとすると、さらに大規模な移行作業が必要になります。最終的に得られる機能は同じなのに、莫大な時間とコストをかけることになります。

CSP ベンダーを変更する場合の問題

さらに、CSP ベンダーを乗り換えようとした場合にも問題が生じます。移行元の CSP ベンダーは、自社の顧客でなくなるにもかかわらず、移行作業を支援するモチベーションがありません。このため、乗り換えがスムーズに進まないケースが多くあります。

適切な CSP 契約のために確認すべきポイント

大原則:Azure AD は 1 つにする

どのような CSP 契約であっても、Azure AD は極力 1 つにすることが大原則です。新しく Azure AD を作成する場合は、必ず明確な理由が必要です。その理由を説明できない場合は、作成すべきではありません。

CSP 契約時のチェックリスト

CSP 契約を検討する際には、以下の点を確認してください。

  • CSP ベンダーが、既存の Azure AD に紐付けた形でテナントを作成してくれるか
  • CSP ベンダーが現場調査を行い、適切な構成を提案してくれるか
  • 管理範囲と責任の分担が明確になっているか
  • サポート窓口は CSP ベンダーが担ってくれるか

なお、現場の調査と適切な設計提案は、本来は有償で提供されるべきコンサルティングの領域です。「提案は無料」という日本の商習慣があるため見えにくいですが、Azure AD の構成設計は専門的な知識が必要な作業です。

プロへの相談が必要なケース

以下のような状況に当てはまる場合は、きちんとした知識を持つプロに相談して構成を整理することを強くお勧めします。

  • オンプレミスの Active Directory フォレストが複数存在している、または過去に統合プロジェクトを実施したことがある
  • Microsoft 365 専用の AD フォレストを別途作成してしまっている
  • Azure AD が複数存在しており、それぞれに異なるサービスが紐付いている
  • CSP 契約を機にさらに Azure AD を増やそうとしている

Active Directory の時代から「フォレストは 1 つが推奨」と言われ続けてきたように、Azure AD も同様です。複数作ってしまった後に統合するのは、多大なコストと時間がかかります。

まとめ

CSP 契約は、Microsoft クラウドサービスの管理を CSP ベンダーに任せることができる便利な仕組みです。ただし、契約時に Azure AD の構成を誤ると、後から修正することが非常に困難になります。

大切なのは以下の点です。

  • Azure AD は最初から 1 つにする。複数作る場合は必ず明確な理由が必要
  • CSP 契約時は既存の Azure AD に紐付ける形でテナントを作成してもらう
  • CSP ベンダーが全面的に管理・サポートしてくれる体制になっているか確認する
  • CSP 契約の構成設計は専門知識が必要であり、わからない場合は有償でも信頼できるプロに依頼する

CSP 契約そのものが悪いわけではなく、CSP ベンダーに適切に任せることでメリットが生まれます。重要なのは、なぜ CSP 契約をするのか、どこまで任せるのかを明確にした上で、Azure AD の構成を正しく設計することです。