Azureの基本!
Azure AD、サブスクリプション、リソースグループ位置関係と権限を再整理する -その1-

本稿では、Azureを使い始めたときに一番初めに遭遇し、理解を迫られるAzure Active Directory(Azure AD)、サブスクリプション、リソースグループについて、それらの「位置関係」と「概念」の二つの観点から紹介する。また、第二回ではAzure AD、サブスクリプション、リソースグループとAzureの権限の関係性について紹介予定だ。

対象読者

  • これから、AzureのIaaS/PaaSをはじめようとしている方
  • 試用クレジットで仮想マシンをAzure上に作ろうとしている、もしくは作ってみたはいいものの、Azure AD、サブスクリプション、リソースグループの関係性がなお理解しづらい方

Azureの階層構造と位置関係

Auzre ADとサブスクリプション、リソースグループの間にはAzure ADをトップとし、以下のような包含関係がある。また、逆の包含関係は成り立たない。

Azureの階層構造と位置関係

アイコン 構成要素 保持するもの
image.png Azure AD ・Azureのユーザー
・サブスクリプション
サブスクリプション ・リソースグループ
リソースグループ ・Azureの各種リソース(仮想マシンなど)

Azure Active Directory(Azure AD)

Azureテナント

Azure ADはさまざまな機能を有するが、最も重要かつ基本的な機能のひとつにテナントにおけるユーザーID認証基盤としての役割がある。

Azure AD上のIDでAzureへサインインすると、Azureポータルリダイレクトされ、ユーザーが権限を持つAzureの各種資産にアクセスできるようになる。

MicrosoftAzureサインイン画面

AzureAD管理画面

ユーザーの追加

たとえばシステム構築を手伝ってくれる同僚と同じAzureテナント上で作業を行うには、
Azure ADユーザーに以下いずれかの方法で同僚のユーザーIDを追加する。

  1. Azure ADに直接ユーザーIDを作成する
  2. (オンプレミスまたはクラウド上の)Active Directory ドメインコントローラとユーザーIDを連携する。
    連携の詳細については、こちらの記事を参照してほしい。
    Active Directory?Azure Active Directory?混乱ポイントを整理!
  3. 別のAzure ADからユーザーを招待する
    ゲストユーザーとして別のAzure ADテナントのユーザーを招待することも可能だ。

Azure ADのドメイン名

Azure ADのデフォルトのドメインは、〇〇〇〇.onmicrosoft.comである。〇〇〇〇の部分はAzure AD作成時に指定する。

AzureAD管理画面

このため、デフォルトではAzure ADに作成されるユーザーIDのUPNサフィックスが「username@nelcolab.onmicrosoft.com」となり、ユーザーによってはなじみのないドメインであることから混乱の原因にもなりうる。

そこで、企業が所有するドメインをカスタムドメインとしてAzure ADに追加で登録することが可能だ。
プライマリドメインをそちらに切り替えれば、Azure ADのドメインがユーザーの慣れ親しんだドメインとなり、「username@nelcolab.jp」のようにカスタムドメインをUPNサフィックスとしたユーザーIDをAzure ADに直接作成し、利用できるようになる。

AzureAD管理画面

AzureADアカウント管理画面

Azure AD 資料
無償ダウンロードはこちら

 

サブスクリプション

image.png

サブスクリプションは「課金請求」と「運用管理」の観点で利用部署ごとや商用サービスごとといった単位で分離するのがおすすめだ。

サブスクリプションは”Azureの階層構造と位置関係”で図示した通り、単一のAzure ADテナントだけに所属する。

課金請求

image.png

Azureでは、必ずサブスクリプションを指定しAzureリソースを作成する。このとき、当該リソースの課金メーターがそのサブスクリプションに紐づく形となる。

image.png

このような仕組みのため、Azureの請求書はAzureのサブスクリプションの単位で発行される。

仮想マシンや仮想ネットワークといったAzureリソース個別の明細も利用可能だが、リソース数が膨大になってくると部署やサービスごとにいくらAzureを利用したのかをサブスクリプションの請求書をもとに振り分ける労力が無視できなくなってくる。

もっとも単純なのは、出てくるサブスクリプション単位の請求書をそのまま費用として計上してやることだろう。

Azureリソースデプロイ上限値

image.png

Azureにおける「リソースのデプロイ上限数」や、「プレビュー機能の利用申請」・「Azureのアクティビティログ」などはサブスクリプションの単位で管理される。したがって、サブスクリプションを分離したほうが管理運用の観点でもシステム間の依存関係を
少なくできるといえるだろう。

Azureリソースのデプロイ上限値を超えてAzureサブスクリプションにリソースをデプロイすることはできない。Azureのサポート窓口にリクエストを上げ、引き上げを依頼することもできるが、同一シリーズの仮想マシンの大量デプロイを予定していたり、Azure SQL Managed Instanceをはじめとした、もともとのデプロイ上限値が少ないタイプのリソースをひとつのサブスクリプション上で展開する予定がある場合は、リソース上限値にいれ、サブスクリプションを分けるかどうかを検討すべきだろう。

リソースグループ

image.png
リソースグループとはAzureのリソースを整理して入れておくための箱やフォルダと考えるのがわかりやすい。

サービスが複数のサブシステムにより構成されるようなケースでは、大量のリソースが展開されることが想定されるが、サブシステムごとにリソースグループを分類しておけばリソースグループをクリックするだけで、関連するリソースだけが表示されるようになる。

なお、リソースグループはAzureリソースデプロイの際に所属する必ず指定するリソースであり、仮想マシンや仮想ネットワークといったAzureリソースがサブスクリプション直下に配置されることはない。

なお、”Azureの階層構造と位置関係”で図示した通り、リソースグループはサブスクリプションに複数作成することができるが、サブスクリプションをまたがるようなリソースグループを作成することはできない。

まとめ

Azure AD・サブスクリプション・リソースグループをまとめると以下のようになる。

アイコン 構成要素 主要な役割 包含する要素
image.png Azure AD ・AzureのユーザーID認証基盤 ・Azureのユーザー
・サブスクリプション
image.png サブスクリプション ・Azureの課金請求単位
・独立したAzure環境の単位(上限値、各種申請)
・リソースグループ
image.png リソースグループ ・Azureリソースを整理して入れておくための箱 ・Azureの各種リソース(仮想マシンなど)

第二回では、Azure AD、サブスクリプション、リソースグループとAzureの権限の関係性について紹介予定だ。
本稿がAzure理解のための一助となれば幸いである。

Azure AD 資料
無償ダウンロードはこちら

この記事を書いた人

Azure導入支援デスク 編集部
Azure導入支援デスク 編集部
こんにちは!日商エレクトロニクスでは、Microsoft Azure活用に関する有益な情報を皆様にお届けしていきます。Azure移行、データ活用、セキュリティなどに関するお困りごとや、Microsoft Azureに関する疑問点などお気軽にご相談ください。

ブログにしてほしいネタなどのリクエストもお待ちしております。