
Azureサブスクリプションの既定のディレクトリをO365で利用しているAzure Active Directoryに変更する方法
Azureサブスクリプションには「既定のディレクトリ」という概念があり、紐付いているAzure Active Directoryのユーザーを管理に使用することが出来ます。企業で利用する場合にはAzureの管理にマイクロソフトアカウントではなく、組織アカウントを使用することがセキュリティの観点から良いと思います。アカウント生成、削除、多要素認証の適用等適切に管理可能だからです。
以下では新規のAzureサブスクリプションに対してすでに存在しておりO365で使用しているAzure Active Directoryを既定のディレクトリとして紐付ける方法を紹介します。
まず、Azure管理ポータルにアクセスします。2016/04/07時点ではまだAzure Active Directory周りの管理操作はクラシックポータル上で行う必要があります。
左ペインから「Active Directory」を選択した所です。サブスクリプション作成時に自動的に生成された「Default Directory」(※「規定のディレクトリ」の場合が多いと思います。)のみが見える状態になっています。
「設定」にて確認をするとサブスクリプションに対して、規定のディレクトリが紐付いていることが確認出来ます。
この規定のディレクトリを変更していきますが、変更するためには変更先のAzure Active Directoryの管理者として現在操作しているアカウントが権限をもっていなければいけません。別途O365の管理コンソールから操作することも可能ですし、場合によってはだれか別の人に管理者に追加してもらう必要がある場合もあるでしょう。
ここではひとつのやり方として、O365の全体管理者のアカウント(Azureの管理者とは別のアカウント)を自分自身が持っている前提で、Azure管理ポータル上の操作で権限追加まで行う方法を紹介します。
この場合まずAzure管理ポータル上のActive Directoryの一覧に、紐付ける先のAzure Active Directoryが表示される状態にします(これは必須ではありませんが一つのわかりやすいやり方です)。
このため、まず、O365で使用しているAzure Active Directoryへの接続を行います。
「Active Directory」にて「新規」をクリックします。
「ディレクトリ」をクリックします。
「カスタム作成」をクリックします。
「既存のディレクトリの使用」を選択します。
「 既存のディレクトリを使用するには、その前にユーザーがサインアウトし、ディレクトリの全体管理者としてもう一度サインインする必要があります。」と表示されます。
ここで混乱してしまう人が多いのですが、つまりこれはまず事前にアクセス権を付与するための操作です。
これからAzure管理ポータルにAzure Active Direcotryを追加してそれを管理しようとしていますが、そのためには、そのAzure Active Directory自体の全体管理者の権限が必要です。全体管理者の権限を付与するためには、その権限をすでに持っているアカウントで操作する必要があります。ですから、一度サインアウトして、別のアカウントで(この場合はO365の全体管理者で)サインインしなさいと言われているわけです。
チェックをつけて、次に進みます。
サインアウトされます。
サインイン画面になります。
ここではO365の全体管理者の権限を持つアカウントでサインインします。
サインインします。
権限付与する旨のメッセージが出ます。続行します。
権限が付与されました。サインアウトします。
Azureの管理者アカウントでサインインします。
O365で利用しているAzure Active Directoryが新しく追加されました。
これでAzureサブスクリプションの規定のディレクトリを変更する準備が整いました。
これからAzureサブスクリプションの規定のディレクトリを「Default Directory」から「ebisuda」に変更します。
「設定」に移動し、規定のディレクトリを変更する対象のサブスクリプションを選択した上で「ディレクトリの編集」をクリックします。
新しく関連付けるディレクトリを選択し、次へ進みます。
「影響を受ける共同管理者」が表示されます。
ディレクトリを変更するため、共同管理者の設定はクリアされてしまいます。特に、変更元のAzure Active Directoryのユーザー(組織アカウント)に関しては今後共同管理者になることはできません。影響を受けるユーザーが存在する場合には対象をメモしておき、あとから再度共同管理者として追加する等の対応が必要です。
以上で設定は完了です。
Azureサブスクリプションに対する規定のディレクトリが変更されました。