こんにちは、上坂です。
今日は久しぶりにAzureADの話です。
最近のAzureネタはデータ周りが多くネタがない、というのもありますけど。
まずAzureを最初に使い始めたときによくわからないのがAzureADの「既定のディレクトリ」ではないでしょうか。
1つしかサブスクリプションを使用していない人にはなんのことだかわからないと思います。
2つ以上のサブスクリプションを使用している方にとって、「既定のディレクトリ」とは謎の存在だと思うのです。というか私には謎の存在でした。
今日はこちらを簡単に解説したいと思います。
まず、最初に認識しておく必要があるのは、
Azureのサブスクリプションと、AzureADのディレクトリは無関係
であることです。
Azureのサブスクリプションの上位にはAzureアカウント、という管理単位があり、必ず存在しています。
Azureアカウントを作ると同時に1つ必ずサブスクリプションを作成しますので、まずAzureアカウントとサブスクリプションは1:1です。
Azureアカウント:Azureサブスクリプション=1:1
そしてこの時に作られたAzureサブスクリプションのAzureADには「既定のディレクトリ」が作られ、Azureアカウントのユーザーが存在しています。
Azureアカウント:Azureサブスクリプション:「既定のディレクトリ」:ユーザー=1:1:1:1
全部1つずつです。わかりやすいですね。
このサブスクリプションにユーザーを増やせば、例えば共同管理者を2人追加するなどすれば、次のようになります。
Azureアカウント:Azureサブスクリプション:「既定のディレクトリ」:ユーザー=1:1:1:3
このユーザーですが、「既定のディレクトリ」に追加されています。
さて、問題はここからです。Azureアカウントの下には複数のAzureサブスクリプションを追加することができます。
追加したサブスクリプションに、新しい共同管理者を追加することにしましょう。すると、次の様になります。
Azureアカウント:Azureサブスクリプション:「既定のディレクトリ」:ユーザー=1:2:1:3
ここで注意したいのは、サブスクリプションを増やしても、「既定のディレクトリ」は増えない、ということです。
「既定のディレクトリ」は、AzureADのディレクトリのことなのですが、このディレクトリはAzureアカウント、Azureサブスクリプションとは独立して存在しているのです。
その独立しているディレクトリを、サブスクリプション側が「あ、俺そこ使うわ」と関連付けているだけなのです。
「既定のディレクトリ」はサブスクリプションごとに変えることができます。変え方は簡単です。
クラシックポータルにサブスクリプションの「サービス管理者」でログインしてください。共同管理者ではダメです。
一番下の「設定」をクリックします。「既定のディレクトリ」を変更したいサブスクリプション選択状態にして、画面下の「ディレクトリの編集」をクリックします。
ログインしているユーザーが登録されているディレクトリが表示されますので、選択しましょう。
次の画面では今の共同管理者が削除されますよ、とアラートが出ます。それでも良ければ先に進みましょう。それ以上手順はありません。
今回はできるだけ画像を使わずに説明しようと試みましたが、ちょっとわかりにくかったかもしれません。
