どうも、フリーランスエンジニアのMakotoです。
今回は、サブスクリプションとAzure ADの関係について解説します。個人的にはひじょーに混乱しやすいポイントだと思います。
図解付きでなるべくわかりやすく解説しますのでぜひ最後までお読みください。
という方はこちらの記事も参考にしてください。

それではいってみましょう!
Azure ADとは?
Azure Active Directory(Azure AD)は、クラウドベースのID管理とアクセス管理を提供するサービスです。こちらの記事で詳しく解説していますが、改めてイメージを掴んでおきましょう。





Azureのほか、Microsoft 365、Dynamic 365などのMicrosoftのクラウドサービスを契約すると、必ずAzure ADを利用することになります。
サブスクリプションとAzure ADの関係
Azure契約時の管理者アカウント含め、ユーザーが登録されるAzure ADはサブスクリプションの中に含まれるわけではありません。ココを勘違いしているといろいろハマります。。


サブスクリプションとAzure ADはそれぞれが独立した要素であり関連付けられています。箱と箱が線で結ばれるイメージです。関連付けることを「信頼する」と表現することもあります。


上の図で示しているとおり、ひとつのAzure ADに複数のAzureサブスクリプションを関連付けることもできます。そして、関連付けられたAzure ADをあとから別のものに変更することもできます。
また、Microsoft 365などその他のMicrosoftクラウドサービスを利用する場合もAzure ADと関連付けられます。
Azure ADを新たに作成して1対1で関連付けることもできますが推奨されません。システム要件にもよりますが、ひとつのAzure ADで一元管理するのが望ましいです。
まとめ
今回はサブスクリプションとAzure ADの関係について解説しました。
ユーザーはサブスクリプションとは別にAzure ADで管理されています。この仕組みはAWSやGCPとは異なるAzure独特の仕組みのはずなので、他社のクラウド経験者でも混乱しやすいポイントかもしれません。
サブスクリプションとAzure ADは次のような(1対1 or 1対多の)関係を持ちます。AZ-900試験の対策としてこの点をしっかりおさえておきましょう!
- サブスクリプションは必ずどれか一つのAzure ADと関連付けられる
- サブスクリプションを複数のAzure ADと関連付けることはできない
- Azure ADに複数のサブスクリプションを関連付けることができる
- サブスクリプションに関連付けるAzure ADは後から変更できる