Azure AD ディレクトリとは

発行: 2012年7月

適用対象: Azure, Office 365, Windows Intune

注意

このトピックでは、Microsoft Azure Active Directory を使用して ID サービスやディレクトリ サービスを提供する、Microsoft Intune や Office 365 などのクラウド サービスのオンライン ヘルプ コンテンツを示します。

ここでは、Azure AD ディレクトリの管理に関連する重要な概念とタスクについて説明します。また、次のセクションがあります。

  • Azure AD テナントとは

  • Azure AD ディレクトリを取得する方法

    • Azure AD ディレクトリと新しい Azure サブスクリプションを関連付ける

    • 組織としてサービスにサインアップすることによって Azure AD ディレクトリを作成する

    • Azure がプロビジョニングした既定のディレクトリを管理する

  • Azure AD ディレクトリの追加と管理

  • Azure AD ディレクトリを削除する

    • Azure AD ディレクトリを削除するために満たす必要がある条件

Azure AD テナントとは

物理的なワークスペースでは、テナントは建物を占めているグループまたは会社と定義できます。たとえば、組織は建物のオフィス スペースを所有しています。この建物は、他の複数の組織と共に街路に面している場合があります。組織はその建物のテナントと考えることができます。この建物は組織の資産であり、セキュリティを提供し、ビジネスを安全に遂行できることを保証します。また、建物は街路で他の企業から切り離されています。これにより、組織およびその資産は他の組織から分離されます。

クラウド対応のワークスペースでは、テナントはそのクラウド サービスの特定のインスタンスを所有して管理するクライアントまたは組織と定義できます。Microsoft Azure によって提供される ID プラットフォームでのテナントは、組織が Azure や Office 365 などの Microsoft クラウド サービスにサインアップすると組織が受け取って所有するようになる、Azure Active Directory (Azure AD) の専用インスタンスです。

各 Azure AD ディレクトリは、他の Azure AD ディレクトリと区別され分離されています。会社のオフィス ビルがその組織だけに固有の安全な資産であるのと同じように、Azure AD ディレクトリも特定の組織によってのみ使用される安全な資産として設計されました。Azure AD アーキテクチャは、顧客のデータと ID 情報が混交しないように分離します。これは、Azure AD ディレクトリのユーザーおよび管理者は、別のディレクトリのデータに誤って、または悪意をもってアクセスすることができないことを意味します。

Azure AD テナント

Azure AD ディレクトリを取得する方法

Microsoft クラウド サービスにサインアップすると、Azure AD ディレクトリを取得します。必要に応じて、追加のディレクトリを作成できます。たとえば、最初のディレクトリを運用ディレクトリとして維持し、別のディレクトリをテストまたはステージング用に作成することができます。

注意

最初のサービスにサインアップした後は、他の Microsoft クラウド サービスにサインアップしたときに、組織に関連付けられている同じ管理アカウントを使用することをお勧めします。ユーザー ID の詳細については、「私のユーザー ID は何であり、なぜそれが必要なのですか。」をご覧ください。

Azure、Microsoft Office 365、Microsoft Intune などの Microsoft クラウド サービス に初めてサインアップするときには、組織や組織のインターネット ドメイン名登録に関する詳細を提供するように求められます。その後、この情報を使用して組織の新しい Azure AD ディレクトリ インスタンスが作成されます。複数の Microsoft のクラウド サービスにサブスクライブしている場合は、その同じディレクトリを使用してサインインの試行を認証します。

追加のサービスは、組織のオンプレミス ID インフラストラクチャと Azure AD の間の効率向上のためにユーザーが構成した、既存のユーザー アカウント、ポリシー、設定、またはオンプレミス ディレクトリ統合を完全に利用できます。

たとえば、最初に Microsoft Intune サブスクリプションにサインアップし、ディレクトリ同期およびシングル サインオン サーバーを配置することによってオンプレミス Active Directory とAzure ADの統合に必要な手順を完了している場合、Office 365 などの別の Microsoft クラウド サービスにサインアップでき、そのサービスでも現在 Microsoft Intune で使用しているものと同じディレクトリ統合のメリットを利用できます。

オンプレミス ディレクトリと Azure AD の統合の詳細については、「ディレクトリ統合」をご覧ください。

Azure AD ディレクトリと新しい Azure サブスクリプションを関連付ける

新しい Azure サブスクリプションと、既存の Office 365 または Microsoft Intune サブスクリプションへのサインインを認証する同じディレクトリを関連付けることができます。会社または学校のアカウントを使用して Azure 管理ポータルにサインインします。Azure の管理ポータルでは、そのアカウントのサブスクリプションが見つからなかったというメッセージを返します。[Azure にサインアップ] を選択すると、ディレクトリは Azure の管理ポータル内で管理に使用できるようになります。詳細については、「Azure での Office 365 サブスクリプションのディレクトリの管理」をご覧ください。

アカウントの関連付け 2

Azure AD の一般的な使用の質問のビデオについては、「Azure Active Directory - サインアップ、サインイン、使用についてのよくある質問」をご覧ください。

組織としてサービスにサインアップすることによって Azure AD ディレクトリを作成する

Microsoft クラウド サービスのサブスクリプションをまだ持っていない場合は、次のいずれかのリンクを使用してサインアップします。最初のサービスにサインアップすると、Azure AD ディレクトリが自動的に作成されます。

Azure がプロビジョニングした既定のディレクトリを管理する

現在のところ、Azure にサインアップするとディレクトリが自動的に作成され、サブスクリプションがそのディレクトリに関連付けられます。ただし、2013 年 10 月より前の時点で Azure にサインアップしていた場合は、ディレクトリは自動的に作成されませんでした。その場合は、Azure により既定のディレクトリをプロビジョニングされ、アカウントが "バックフィル" された可能性があります。次に、サブスクリプションはその既定のディレクトリに関連付けられます。

ディレクトリのバックフィルは、Azure のセキュリティ モデル全体を改善する作業の一部として、2013 年 10 月に実行されました。バックフィルによって、組織の ID 機能をすべての Azure ユーザーに提供し、ディレクトリ内のユーザーのコンテキストですべての Azure リソースにアクセスできるようになります。ディレクトリなしで Azure を使用することはできません。Azure を使用できるようにするために、2013 年 7 月 7 日より前にサインアップし、ディレクトリを持っていなかったユーザーには、ディレクトリが作成されます。ディレクトリを作成済みだった場合は、サブスクリプションがそのディレクトリと関連付けられています。

Azure AD の使用は無料です。ディレクトリは無料のリソースです。別のライセンスで、会社のブランド化やセルフサービスのパスワード リセットなど、追加の機能を提供する Azure Active Directory プレミアム サービスもあります。

ディレクトリの表示名を変更するには、管理ポータルでディレクトリをクリックし、[構成] をクリックします。このトピックの後半で説明するように、新しいディレクトリを追加したり、不要になったディレクトリを削除したりすることができます。サブスクリプションを別のディレクトリに関連付けるには、[設定] > [サブスクリプション] > [ディレクトリの編集] をクリックします。既定の *.onmicrosoft.com ドメインではなく、登録した DNS 名を使用してカスタム ドメインを作成することもできます。SharePoint Online などのサービスを使用している場合にお勧めします。

ディレクトリの管理方法の詳細については、「Windows Azure AD ディレクトリの管理」をご覧ください。

Azure AD ディレクトリの追加と管理

Azure AD ディレクトリは Azure の管理ポータルで追加できます。左側で Active Directory 拡張機能を選択して、[追加] をクリックします。

各ディレクトリは、完全に独立したリソースとして管理できます。つまり、各ディレクトリは対等であり、完全な機能があり、管理する他のディレクトリから論理的に独立しています。ディレクトリ間に親子の関係はありません。このようなディレクトリ間の独立には、リソースの独立、管理上の独立、および同期の独立が含まれます。

  • リソースの独立。以下で説明する外部ユーザーの部分的な例外が存在しますが、あるディレクトリでリソースを作成または削除しても、別のディレクトリのリソースには影響しません。あるディレクトリでカスタム ドメイン 'contoso.com' を使用すると、他のディレクトリではそれを使用できません。

  • 管理上の独立。ディレクトリ 'Contoso' の管理者以外のユーザーがテスト ディレクトリ 'Test' を作成すると、次のようになります。

    • 既定では、ディレクトリを作成したユーザーがその新しいディレクトリの外部ユーザーとして追加され、そのディレクトリのグローバル管理者ロールが割り当てられます。

    • 'Test' の管理者が明確に特権を付与した場合を除き、ディレクトリ 'Contoso' の管理者にはディレクトリ 'Test' に対する直接的な管理者特権はありません。'Contoso' の管理者は、'Test' を作成したユーザー アカウントの制御により、ディレクトリ 'Test' へのアクセスを制御できます。

    また、あるディレクトリのユーザーの管理者ロールを変更 (追加または削除) した場合、その変更は、ユーザーが別のディレクトリで所有している可能性がある管理者ロールには影響しません。

  • 同期の独立。以下のいずれかのツールにより、1 つのインスタンスからデータが同期されるように各 Azure AD を独立して構成することができます。

    • データを 1 つの AD フォレストと同期させるディレクトリ同期ツール。

    • データを、1 つ以上のオンプレミス フォレストと非 AD データ ソースの一方または両方と同期させる、Azure Active Directory Connector for Forefront Identity Manager。

また、他の Azure リソースとは異なり、ディレクトリは Azure サブスクリプションの子リソースではないことにも注意してください。そのため、Azure サブスクリプションの期限切れをキャンセルまたは許可した場合、Azure PowerShell、Azure Graph API、または Office 365 管理センターなどの他のインターフェイスを使用して、依然としてディレクトリ データにアクセスできます。また、別のサブスクリプションをディレクトリと関連付けることもできます。

Azure AD ディレクトリを削除する

グローバル管理者は、Azure の管理ポータルから Azure AD ディレクトリを削除できます。ディレクトリが削除されると、そのディレクトリに含まれるすべてのリソースも削除されます。そのため、削除する前にそのディレクトリが本当に必要ではないことを確認する必要があります。

注意

ユーザーが会社または学校のアカウントを使用してサインインしている場合、そのユーザーは自分のホーム ディレクトリを削除しようとしてはなりません。たとえば、ユーザーが joe@contoso.onmicrosoft.com を使用してサインインしている場合、そのユーザーは既定のドメインが contoso.onmicrosoft.com であるディレクトリを削除できません。

Azure AD ディレクトリを削除するために満たす必要がある条件

Azure AD では、ディレクトリを削除するにはある種の条件を満たす必要があります。これにより、Office 365 にサインインしたり Azure のリソースにアクセスしたりするユーザーの機能など、ユーザーやアプリケーションにディレクトリの削除が悪影響を与えるリスクが軽減されます。たとえば、サブスクリプションのディレクトリが誤って削除された場合、ユーザーはそのサブスクリプションの Azure リソースにアクセスできなくなります。

次の条件がチェックされます。

  • ディレクトリ内の唯一のユーザーはグローバル管理者で、このユーザーがディレクトリを削除します。ディレクトリを削除する前に、その他すべてのユーザーを削除する必要があります。ユーザーがオンプレミスから同期されている場合、同期を無効にする必要があります。また、管理ポータルまたは Windows PowerShell 用の Azure モジュールを使用して、クラウド ディレクトリ内でユーザーを削除する必要があります。Office 365 管理センターから追加された連絡先など、グループや連絡先の削除には必要条件はありません。

  • ディレクトリ内にアプリケーションを存在させることはできません。ディレクトリを削除する前に、すべてのアプリケーションを削除する必要があります。

  • ディレクトリと関連付けられている、Microsoft Azure、Office 365、または Azure AD Premium などの Microsoft Online Services のサブスクリプションを存在させることはできません。たとえば、Azure 内で管理者用に既定のディレクトリが作成された場合、Azure サブスクリプションが認証に関して依然としてこのディレクトリに依存していれば、その管理者はこのディレクトリを削除できません。同様に、別のユーザーがディレクトリにサブスクリプションを関連付けた場合、管理者はそのディレクトリを削除できません。サブスクリプションを別のディレクトリに関連付けるには、Azure 管理ポータルにサインインし、左側のナビゲーションにある [設定] をクリックします。次に、[サブスクリプション]、[ディレクトリの編集] の順にクリックします。Azure サブスクリプションの詳細については、「Azure サブスクリプションを Azure AD に関連付ける方法」をご覧ください。

    注意

    サブスクリプションを解約し、ディレクトリを削除する場合は、別のサブスクリプションを使用してサインインし、サブスクリプションの共同管理者としてディレクトリのグローバル管理者を追加します。次にサインアウトし、サブスクリプションの共同管理者アカウントを使用してサインインし直します。その他すべての条件を満たしていれば、ディレクトリを削除できます。

  • ディレクトリに Multi-Factor Authentication プロバイダーをリンクすることはできません。

コミュニティ リソース