Microsoft 365 の Microsoft Entra ID と Azure の Microsoft Entra ID みたいな話
Advent Calendar
こちらの記事は Microsoft Azure Advent Calendar 2023 の 17 日目の記事です!
TL;DR
- Microsoft Entra ID は 1 種類しかない
- Microsoft 365 の Microsoft Entra ID と Azure の Microsoft Entra ID は同じものを使うべき
- Microsoft Entra ロールと Azure ロールという概念もあるので、そこは注意
Update log
- グループが招待されているような絵になっていたので修正しました - 2023/12/17
- Microsft Entra ID P1 ライセンスが複数必要となる可能性について記述を追加しました - 2023/12/17
- Advent Calendar へのリンク追加 - 2023/12/18
はじめに
「Microsoft Azure は分かりづらい」と言われる原因の 1 つは Microsoft Entra ID (旧称: Azure Active Directory) ではないでしょうか。
Microsoft Azure を利用するにあたりサブスクリプションが必要なのはなんとなくわかるものの、そこに認証基盤である Microsoft Entra ID が絡んでくるとなると、なんだかよくわからない、ということが多いのではないでしょうか。
「Azure の Azure AD」と「Microsoft 365 の Azure AD」があるんですけどー、のような内容から始まるご質問をいただくこともあるので、簡単にまとめておきます。
Microsoft Entra ID は何種類あるのか
結論から言うと、Microsoft Entra ID は 1 種類しかありません。
ただし、Microsoft 365 で利用している Microsoft Entra ID と、Azure で利用している Microsoft Entra ID が異なる組織が結構多いので、混乱が生じているのではないかと思います。
なんとなく、「Microsoft 365 の Azure AD」と「Azure の Azure AD」があるんだろうな、という認識がある方もいらっしゃるのではないかと思いますが、この記事を読んでその誤解を解消していただければと考えています。
最初にお話しするのはこちらのケースです。
説明の都合上、「Microsoft 365 の Microsoft Entra ID」と名づけている Microsoft Entra tenant と、「Azure の Microsoft Entra ID」と名づけている Microsoft Entra tenant があります。
ふと気づいたのですが、こちらのケースの場合にはグループをゲスト招待することはできないため、RBAC としてもユーザ単位での管理がメインとなりそうです。
Different Micoroft Entra tenant is used for Micorosft 365 and Azure
続いて、同じ Microsoft Entra tenant を利用しているイメージはこちらです。
こちらの場合には、Active Directory Domain Services (AD DS) にある Security group を RBAC に利用できる、という違いがあります。
Same Micoroft Entra tenant is used for Micorosft 365 and Azure
Microsoft 365 の Microsoft Entra ID と呼んでいるものは何か
いやそもそもそんなものはないのですが便宜上このように区別しておきます。
Microsoft 365 の認証基盤として使われる Microsoft Entra ID には、ユーザ情報が「メンバー」の形で登録されています。
これは、多くのケースではオンプレミスや Azure VM として AD DS があり、そこから Microsoft Entra Connect (旧称: Azure AD Connect) によって同期されていることが多いです。
Azure の Microsoft Entra ID と呼んでいるものは何か
こちらは、Azure の IaaS/PaaS などをご利用中で、その認証基盤や Role Based Access Control (RBAC) などの管理として使われている Microsoft Entra ID です。
「Microsoft 365 の Microsoft Entra ID」とこの記事で呼んでいる Microsoft Entra ID から、「Azure の Microsoft Entra ID」と呼んでいる Microsoft Entra ID に対してユーザを「ゲスト」として招待しているケースを結構見かけます。
Microsft Entra Connect でのユーザ同期は 1 つの Microsoft Entra tenant にしかできないため、このような構成になります。
そもそも分ける必要があるのか
端的に言えば分ける必要はありません。
シンプルな構成のお客様は、Microsoft 365 の Microsoft Entra ID と Azure の Microsoft Entra ID は同じものを使っています。
その場合、同じユーザを 2 つの Microsoft Entra tenant でゲスト招待する必要はなく、非常に簡潔な管理ができます。
ちなみに、分けなければいけない理由がある場合として私が考えているのは、Microsoft Entra ID の管理者と Azure インフラ側の管理者を厳密に分けたい、というケースです。
だいぶ細かい話ではあるのですが、Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる に書いてあるとおり、「Microsoft Entra ID のグローバル管理者はいくつかの手順を経ることで Azure サブスクリプションの所有者になることができる」ということがあります。
これは、Azure サブスクリプションの管理者がいなくなってしまったときや、管理グループ (Management group) を利用する際などのために用意された手順です。
しかし、組織によっては権限分離の観点からこの機能がネックとなり、Microsoft Entra ID を分けた、というケースを見たことがあります。
なんかロールも複数あるって聞きました
はい、そうですね。
Microsoft Entra ロールと Azure ロールという 2 種類のロールがあり、これもまた Microsoft Azure の理解を難しくしているものの 1 つもしれません。
皆様が Single Sign On (SSO)、SAML とかそんな用語を使いながら Microsoft Entra ID との連携で必要だといわれる「グローバル管理者」というのは Microsoft Entra ロールの 1 つです。
グローバル管理者があると Microsoft Entra ID に関するさまざまな操作ができますが、Azure ロールではないため Azure VM などに関する操作はできません。
一方で、「所有者」「共同作成者」「閲覧者」というのは Azure ロールにあたり、こちらの権限があると Azure VM を作ったり消したり、という操作が管理されます。
逆に、Azure ロールの中で一番強い「所有者」というロールが割り当てられていても、それだけでは Microsoft Entra ID に関してはユーザ情報を閲覧するなどの簡単な操作しかできません。
概念としては Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール に紹介されています。
また、Microsoft Entra 組み込みロール については Microsoft Entra ビルトイン ロール - Microsoft Entra ID に、Azure 組み込みロールについては Azure 組み込みロール - Azure RBAC にそれぞれまとめられています。
まとめ
Microsoft Entra ID は 1 種類しかありません。
Microsoft Azure を利用しているユーザは Microsoft 365 も利用していることが多く、その際に何らかの理由により Microsoft Entra ID を分けているケースが多くみられます。
その結果、Microsoft Entra ID が 2 種類あるように感じられるケースもあるかもしれませんが、実際には同じ種類のものが 2 つある、というだけです。
あとから Microsoft Entra ID を統合する、もしくは Azure リソースを Microsoft 365 側の Microsoft Entra ID 側に移行するのは結構大変なタスクとなるため、最初の設計には気を付けましょう。
Discussion