どうも、フリーランスエンジニアのMakotoです。
今回は、サブスクリプションとMicrosoft Entra IDの関係について解説します。個人的にはひじょーに混乱しやすいポイントだと思います。
図解付きでなるべくわかりやすく解説しますのでぜひ最後までお読みください。
という方はこちらの記事も参考にしてください。
それではいってみましょう!
Microsoft Entra IDとは?
Microsoft Entra ID(旧Azure AD)は、クラウドベースのID管理とアクセス管理を提供するサービスです。こちらの記事で詳しく解説していますが、改めてイメージを掴んでおきましょう。
Azureのほか、Microsoft 365、Dynamic 365などのMicrosoftのクラウドサービスを契約すると、必ずMicrosoft Entra IDを利用することになります。
サブスクリプションとMicrosoft Entra IDの関係
Azure契約時の管理者アカウント含め、ユーザーが登録されるMicrosoft Entra IDはサブスクリプションの中に含まれるわけではありません。ココを勘違いしているといろいろハマります。。
サブスクリプションとMicrosoft Entra IDはそれぞれが独立した要素であり関連付けられています。箱と箱が線で結ばれるイメージです。関連付けることを「信頼する」と表現することもあります。
上の図で示しているとおり、ひとつのMicrosoft Entra IDに複数のAzureサブスクリプションを関連付けることもできます。そして、関連付けられたMicrosoft Entra IDをあとから別のものに変更することもできます。
また、Microsoft 365などその他のMicrosoftクラウドサービスを利用する場合もMicrosoft Entra IDと関連付けられます。
Microsoft Entra IDを新たに作成して1対1で関連付けることもできますが推奨されません。システム要件にもよりますが、ひとつのMicrosoft Entra IDで一元管理するのが望ましいです。
まとめ
今回はサブスクリプションとMicrosoft Entra IDの関係について解説しました。
ユーザーはサブスクリプションとは別にMicrosoft Entra IDで管理されています。この仕組みはAWSやGCPとは異なるAzure独特の仕組みのはずなので、他社のクラウド経験者でも混乱しやすいポイントかもしれません。
サブスクリプションとMicrosoft Entra IDは次のような(1対1 or 1対多の)関係を持ちます。AZ-900試験の対策としてこの点をしっかりおさえておきましょう!
- サブスクリプションは必ずどれか一つのMicrosoft Entra IDと関連付けられる
- サブスクリプションを複数のMicrosoft Entra IDと関連付けることはできない
- Microsoft Entra IDに複数のサブスクリプションを関連付けることができる
- サブスクリプションに関連付けるMicrosoft Entra IDは後から変更できる
