モチベ

社内都合で検証用サブスクリプションのテナント毎の移動が発生したため、マルチテナント管理が楽にできるらしいAzure Lighthouseを使ってみたくなった

Azure Lighthouse

• Azure AD B2Bを使ってゲスト招待することなく、同一のアカウントで別テナントのリソースを管理するためのサービス
• A社がB社のAzure環境を特定のスコープで管理する場合、A社がサービスプロバイダー、B社が顧客、という位置付けとなる
• A社がAzure環境管理のための情報を組み込んだARMテンプレートをB社と共有し、B社はそのARMテンプレートからサービスプロバイダーとしてA社をB社テナントに登録する
• これにより委任関係が成立し、A社はAzure Lighthouse経由でB社テナントを管理できる

手順

サービスプロバイダ側でのARMテンプレート作成

• サービスプロバイダー側テナントにてAzure Lighthouseを検索
• 「作業の開始」⇒「顧客の管理」⇒「概要」から「ARMテンプレートの作成」を選択
  
• 適切な認可の追加、閲覧者を含む権限がないとポータル上で確認出来ません
  
  
• テンプレートのダウンロード
  

顧客側でのARMテンプレートデプロイ

• 顧客側テナントにてAzure Lighthouseを開く
• 「サービスプロバイダ-プランの表示」⇒「サービスプロバイダ－のオファー」⇒「プランの追加」⇒「テンプレート経由で追加」を選択
  
  
• 先ほどダウンロードしたARMテンプレートをアップロード
• 委任するサブスクリプションを選択(ARMテンプレート作成時のスコープがサブスクリプションになっていれば)
• リージョンはとりあえず東日本にしてデプロイ
  
• デプロイ完了を待つ

オンボーディング状態の確認

• サービスプロバイダ側のテナントのAzure Lighthouse画面を開く
• 「顧客の管理」⇒「顧客」と選択
• ここで何も表示されていなければ、サブスクリプションのフィルタがかかっているため「グローバルサブスクリプションフィルター」を選択
  
• 対象のディレクトリとサブスクリプションを選択
  
• 再度「顧客」画面を開いて確認
  

おわり

シームレスに別テナントの管理ができるため、社内で複数のテナントを扱っている場合にも有用です。