😀

Azure のテナント・Azure AD・ディレクトリの関係について整理してみた

2022/03/26に公開

きっかけ


業務の中でAzureで何となくディレクトリの切り替えを行っていました。(画像)
Azureでは、Portal上のディレクトリIDと、テナントIDが同じ値であり、どういう違いあるか分からず整理してみました。

参考

定義(概念)

  • テナント
    Azureサービスやアプリケーションがまとめられた部屋のようなもの。
    よく街中でもテナント募集の張り紙を見ます。1企業につき、1テナント契約しますよね。
    Azure ADとは1対1の関係になる。Azure ADを追加すると、テナントも追加で存在することになります。

  • Azure Active Directory(Azure AD)
    リソースへの認証・認可を行う管理サービス。ドメインを作成して、その中に所属するユーザはリソースへのアクセスも可能になります。

  • ディレクトリ(≠Azure AD)
    厳密にはAzure AD ディレクトリのこと。
    サブスクリプションと関連づけることができる。個人的には、その名の通り、ユーザやアプリをまとめておくディレクトリのようなイメージ。なので、複数のサブスクリプションも紐づけることができる。(サブフォルダのイメージ)
    そのディレクトリに対して認証・認可を行う。

定義(詳細)

上記をもとに、自分のイメージを以下の図にしています。ディレクトリには1つだけサブスクリプションを紐づけていますが、複数サブスクリプションを紐づけ可能です。

また、参考資料の中にある、以下の図でも理解は促進しやすいかと思います。

テナントという大きなハコの中にAzure ADが存在します。Azure ADも利用用途に応じて、テナントと共に追加します。更に、ADの中には、部署などの課金単位であるサブスクリプションが作成されます。

結論(Azure Portal上での見え方)

ディレクトリが2つあることが分かります。
ここではディレクトリという名前ですが、実際はディレクトリID=テナントIDなんですよね…
そもそも、そこがテナントとディレクトリの混乱を招いたきっかけでした。

ただ、ここでスイッチをすると、そもそもAzure ADも別のADにスイッチされます。
そのため、Portal上のディレクトリという表記は、テナントと同義で考えると腑に落ちるかなと思っています。

Discussion