Reading Time: 1 minutes
・ Azure ADディレクトリの作成方法について解説
今回からいよいよAzure Active Directory (Azure AD) の具体的な操作も交えながら、その特徴について見ていきます。
Azure ADでは「ディレクトリ」と呼ばれる単位で管理を行います。オンプレミスで運用するActive Directoryで言うところの「ドメイン」に当たるものだと思ってもらえれば、分かりやすいと思います。Azure ADでは「ドメイン」という言葉は、Azure ADディレクトリに対して設定する、example.comやcotoso.comのような名前のことを指すために、「Azure ADドメイン」ではなく「Azure ADディレクトリ」という呼び方をするようです。しかし、実際にはディレクトリとドメインの言葉は、区別せずに使ってしまうことが多いようです。ですので、そういう違いがあるという認識をしていただいた上で、どちらでも皆さんにとって使いやすい言葉を選択してください。
前置きはこんなところにして、実際にディレクトリを作っていきましょう。
ディレクトリを作成するときは、大きく分けて2つの方法があります。
- Office 365などのマイクロソフトが提供するクラウドサービスを契約することで自動生成
- Microsoft Azure 管理ポータルから新規作成
1.の方法はOffice 365やDynamics 365などの企業向けに提供しているマイクロソフトのクラウドサービスを契約することで自動的にAzure ADディレクトリが作られます。Office 365やDynamics 365などのサービスを利用する場合、サインインの管理やライセンスの管理をするために、ユーザーを作成する必要があります。ところが、これらのサービスでは自前のユーザー管理の仕組みを持たず、Azure ADを使ってユーザー管理を行います。そのため、Office 365やDynamics 365などのサービスを契約すると、Azure ADのディレクトリと最初のユーザーが自動的に作られるのです。
Office 365ではお馴染みのユーザー管理画面も実はAzure ADを操作している
一方2.の方法は、Microsoft Azureの契約を保有しているユーザーでAzure 管理ポータル(https://portal.azure.com/)にアクセスし、Azure ADディレクトリを新規に作成するものです。
Microsoft Azure の契約にはクレジットカード等の登録が必要になりますが、Azure ADだけを利用するのであれば、課金が発生することはありません。作成も簡単で、画面左上の[リソースの作成]から[Identity]-[Azure Active Directory]を選択し、ドメイン名を設定するだけ。ドメイン名はデフォルトで****.onmicrosoft.comとなるので、*****の部分を決めるだけで作成が完了します。
[Azure Active Directory]をクリックした後はドメイン名を設定するだけでディレクトリ作成完了
1.または2.の方法でAzure ADディレクトリを作成した場合、誰が管理者になるか?についてですが、1.の場合は契約時に管理者のユーザーを作成することになります。一方、2.ではAzureの管理者がAzure ADディレクトリを作成するので、Azureの管理者がAzure ADの管理者になります。しかし、Azureの管理者がマイクロソフトアカウント(@hotmail.comや@outlook.comなどのユーザー)の場合、新しく作成した*****.onmicrosoft.comドメインのユーザーではなく、外部のユーザーである「ゲスト」という扱いになります。
マイクロソフトアカウント(@Outlook.jpユーザー)がAzure ADのユーザー一覧に作られていることが確認できる
もちろん、ゲストユーザーでも管理者権限があれば、Azure ADディレクトリの管理はできますが、ゲストが管理者というのは気持ち悪いと感じる人もいるでしょう。その場合には、別にAzure ADの管理者を作成し、管理することも可能です。
もうひとりの管理者が作成されれば、マイクロソフトアカウントから管理者権限をはく奪することもできますが、当然のことながらAzure ADディレクトリを作成したユーザーなのに、Azure ADが管理できなくなるのでご注意ください。
ユーザーを作る、管理者権限を割り当てる、などの操作については次回ご紹介しますので、次回もお楽しみになさってください。
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Active Directoryの分野におけるMicrosoft MVPを12年連続で受賞する。
主な著作に『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』 (インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは、ゾーホージャパンの前田です。今回の記事では、Azure ADで登場する「ディレクトリ」の意味、そしてその作成方法について学びました。
さて、前回記事の最後でご紹介したADAudit Plusですが、じつはこのディレクトリ単位でライセンスを消費し、監査を行います。
通常、Azure 管理ポータルから異なるディレクトの監査ログを表示しようとした場合、[概要]ページから「ディレクトリの切り替え」を行い、その後[監査ログ]ページに移行する必要があります。しかしADAudit Plusを使用することで、ページの遷移が必要なく、プルダウンから選択するだけでディレクトリを切り替え、ログを確認することができます。
複数のディレクトリをまとめて監査したいという場合は、ぜひADAudit Plusをご検討ください。
【ADAudit Plusの製品ページ】
https://www.manageengine.jp/products/ADAudit_Plus/
【ADAudit Plusのダウンロードページ】
https://www.manageengine.jp/products/ADAudit_Plus/download.html
>> 第4回 Azure ADのユーザー・グループの管理(1)
▼▼ 過去記事はこちら ▼▼
【MicrosoftのMVP解説!AzureADの虎の巻】第1回 AzureADを利用する意味
【MicrosoftのMVP解説!AzureADの虎の巻】第2回 Azure ADを使って安全にクラウドサービスへアクセスする
▼▼ 別シリーズのブログ記事もチェック! ▼▼
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。