Azure Managed Service Column ＜Azure運用コラム＞Azure ADテナントとは？課金の仕組みや運用方法を解説

シンプルで効率の良いAzure ADテナント運用を実現するには

Azure AD とはクラウドベースの ID およびアクセス管理サービスです。またテナントとは組織の管理範囲を表します。

Microsoft のサービスを利用するうえで、 Azure AD とテナントは欠かせません。しかしユーザにライセンスを割り当てて利用する Microsoft365 などのサービスと、 Azure が提供するクラウドプラットフォームサービスとのテナントの関係性は少しわかりにくいため、運用に悩まれる方も多いのではないでしょうか。

本記事では Azure AD テナントの概要や、効率よく運用するための注意点などについてわかりやすく解説します。

1.Azure ADテナントとは？

まず Azure AD とテナントの概要について解説します。

Azure ADとは

Azure AD（ Azure Active Directory ）とは、 Microsoft が提供する ID ・アクセス管理サービスです。組織内のユーザーが Microsoft365 や Azure Portal 、外部の SaaS アプリケーションなどのリソースにアクセスする際に認証と認可を行う統合的な ID プラットフォームとしての役割を担っています。なお Azure AD は「 Azure 」と付いているものの、 Azure とは課金体系などが異なり、別のサービスという位置づけです。

Azure ADにおけるテナントとは

テナントとは一般的にオフィスビルや商業ビルと賃貸契約して入居する事務所や店舗のことを指します。 Azure AD におけるテナントとは、組織で使用するユーザアカウントやアプリなどのオブジェクトをまとめるグループのようなものです。大きなビルの中に組織の部屋（テナント）が存在するようなイメージを持つと良いでしょう。

テナントは Microsoft のクラウドサービス（ Microsoft365 、 Azure 、 Intune など）にサインアップした際に自動的に作成されます。テナントは組織の管理範囲を表し、管理者はテナント内のユーザやアプリケーションなどのリソースに対してポリシーを設定して管理することができます。

図版出典：Microsoft 公式サイト

Azure ADとテナントの関係

一つのテナント内には必ず一つの Azure AD が存在します。一つのテナントは単一の組織を表し、テナントと Azure AD は必ず 1:1 の関係です。そのため Azure AD を追加した場合は同時にテナントも追加されます。

2.ユーザライセンスとテナントの関係

Microsoft が提供する Microsoft365 や Dynamics365 などの SaaS 製品を利用するには、ライセンスの購入が必要です。ライセンスを持つユーザがサービスを利用でき、ユーザごとにライセンス料金が請求されます。

ユーザにライセンスを割り当てるには

組織がライセンスを契約すると、まずテナントにライセンスが紐づきます。そのライセンスをテナント内の Azure AD に作成されたユーザアカウントに割り当てることで、そのユーザがサービスを利用できるようになります。

テナントは複数製品のライセンスを保有することが可能で、同じテナントに紐づいたそれぞれのライセンスをユーザに割り当てることで利用できるサービスが増える仕組みです。

3.Azureサービスとテナントの関係

Microsoft Azure とは Microsoft が提供するクラウドサービスの集合体で、主に IaaS や PaaS を提供します。課金体系はサービスを使用した分だけ料金が請求される従量課金型です。

Azureの課金の仕組み

Azure のクラウドサービスを利用するには、まず Azure ポータルの開設手続きを行います。同時に作成される Azure テナント内にサブスクリプションという課金単位を作り、 Azure のサービスを使用した分だけ料金を支払う仕組みです。

Azure サービスを使用するにはサブスクリプションの指定が必須であり、料金は指定したサブスクリプションに集約されて請求されます。サブスクリプションを作成したユーザが所有者となり、サブスクリプションはその所有者アカウントが所属する Azure AD を信頼します。またサブスクリプションは一つの Azure テナント内に複数作成することが可能です。

ユーザライセンスとの違い

ユーザにライセンスを割り当てるサービスの場合はテナントにライセンスが紐づきますが、Azureサブスクリプションはサブスクリプションを作成したユーザに紐づき、そのユーザの所属する Azure AD を信頼します。

サブスクリプションはユーザアカウントに紐づくため、別のテナントのユーザに所有者の権利を譲渡することで、当初信頼していた Azure AD から別の Azure AD へ切り替えることも可能です。これはユーザライセンスにはない特徴です。

つまり一つの組織内で複数のサブスクリプションを作成し、それぞれ別の Azure AD テナントに関連付けるといった構成が可能になります。

4.Azure ADテナント運用の注意点

Azure AD テナントを効率的に運用するには、以下のポイントに注意しましょう。

Azure ADテナントはシングル構成にする

Azure AD テナントは組織で一つだけ使用するシングル構成がおすすめです。なぜなら組織内に複数の Azure AD が存在すると運用が複雑になるからです。

たとえばある組織で Microsoft365 のライセンスを紐づける Azure AD1 、 Azure サービスを利用するため Azure ポータルで2つのサブスクリプションを作りそれぞれ Azure AD2 、 Azure AD3 と紐づける構成を仮定します。この組織で特定のユーザがすべてのサービスを利用したい場合、それぞれの Azure AD にアカウントが必要となり、複数の ID やパスワードを管理しなければなりません。

また Intune などを後から導入する場合、 Intune はユーザライセンスが必要なためそれぞれの Azure AD テナントでライセンスを購入する必要があります。そのため一つの Azure AD テナントにすべてのユーザライセンスや Azure サブスクリプションが紐付いている構成のほうがコスト面でも運用面でも合理的と言えます。

図版出典：Microsoft 公式サイト

組織内の請求管理はサブスクリプションを活用する

複数のサブスクリプションを持てることは、組織内の請求管理に役立ちます。部署やプロジェクトごとに Azure の請求を管理したい場合、テナントを分けるのではなく一つのテナント内にそれぞれサブスクリプションを作成するのがおすすめです。

サブスクリプションは支払いの単位となり各サブスクリプションで区別されるため、 Azure AD をシングル構成にしつつ支払いを分けることができます。管理の要件に応じて、計画的にサブスクリプションを分けることが大切です。

5.まとめ

Azure AD テナントとユーザライセンス、 Azure サブスクリプションとの関係性などについて解説しました。それぞれ課金の仕組みが異なりますが、 Azure AD およびテナントを組織内で複数作成すると運用の複雑化につながってしまいがちです。そのためなるべくシングル構成にすることが推奨されます。シンプルで無駄がなく、自社にもっとも適した構成や運用を実現するには、ぜひ専門家へのご相談をおすすめします。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Azure AD

• 

  Azure ADの「テナント」とは？使用方法やテナント間アクセス設定方法についても解説

• 

  Azure Active Directory（Azure AD）でできるユーザー管理機能の基本について解説します！