Office365のテナントとAzureのテナントは統一すべきか?

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

はじめに
マイクロソフトが提供しているサービスに「Office365」、「Azure」と、もはや説明不要のサービスがございます。
これらのサービスを利用する際、ユーザーは「テナント」という単位で提供されます。

「テナント」とは…
Office365、Azureを利用する際、ユーザーに渡される最上位の存在でこの「テナント」に、「サブスクリプション」・「ユーザーアカウント」・「リソース」等が紐づく。
「テナント」は「xxxx@onmicrosoft.com」という一意の文字列で分けられ、また、1つのテナントは必ず1つのAzure ADディレクトリと紐づくため、管理上、「テナント=Azure AD ディレクトリ」とも言える。
※Office365に紐づくのは「Azure ADディレクトリ」であって、Azureサービスではない

上記説明にあるように、Office365もAzureもそれぞれ1つのテナント=Azure AD ディレクトリを持っていますが、Azureに紐づくAzure ADディレクトリは、Office365のAzure ADディレクトリと統一することが可能です。つまり「Office365を利用するユーザーとAzureを利用するユーザーの管理ディレクトリを同一のものを利用する」と言うことが可能です。
これを踏まえて、よく以下内容のお問い合わせをいただきます。
「そもそもOffice365とAzureのテナントの統一って必要あるんだっけ?」
この記事ではそれぞれのテナントを統一するメリットと推奨構成について以下記載していきたいと思います。

先に結論
結論から言うと、Office365、Azureの使用方法に応じて影響度が変わるため、以下に記載のメリットデメリットを確認したうえでお選びいただくのが良いかと思います。
「Office365を利用するユーザーとAzureを利用するユーザーの管理ディレクトリを同一のものを利用する」と言うのは、管理・使用方法によってメリットデメリットが変わってくるため、弊社が提供する場合も、顧客の使用方法とそれに応じたメリット・デメリットを説明したうえでユーザー様にお選びいただきます。特にメリットデメリットに大きな差がなく、顧客が選べない、と言う場合は、(あくまで筆者の個人的見解で言うと)特別な理由がない限りは、少なからずメリットがあるため同一のテナントとすることを推奨しています。

テナントを統一するメリット
・テナント内のユーザーをOffice365、Azure両方で利用できる。
Office365内に全社のユーザーが存在している状況において、その中の情報システム部のみにAzureを利用させたい場合、テナントを統一することでAzureのAzure ADディレクトリにも情報システム部のユーザーが存在しているため、新たにAzure作業用にユーザーを作成することなく、既存の情シスのユーザーに権限を割り当てることでAzureを利用することが可能となります。
Office365のユーザーとAzureを利用するユーザーには大きな乖離があると思われるため、一見弱いメリットの様に思えますが、Azureはブラウザで利用するケースが多いかと思いますので、Office365(Outlook Web AccessやSharePoint)もブラウザで利用するユーザーからすると、各画面を開く際にサインアウト/インを繰り返さなくてよいので、ユーザービリティの面で大きなメリットと言えると思います。

テナントを統一するデメリット
・ユーザー管理が煩雑化する
2つのサービスのユーザー管理ディレクトリが統一されるため、例えばOffice365で社外ユーザーを招待していた場合、Azureにおけるユーザーディレクトリ配下にもシステム上存在します。(もちろん権限を付与しない限りAzureリソースは確認不可能)管理性の面と、コンプライアンス等の社内統制ルール等的にも問題ないかは確認しておくと良いかと思います。
なお、これはデメリットと言うか統一した場合の注意点となりますが、1つのサブスクリプションをAzure AD内の組織ユーザーだけで使っている場合、サブスクリプションとディレクトリの関連付けの変更ができません。ディレクトリを変更する場合は、アカウント管理者(テナントの最上位管理者)毎所有権の譲渡が必要になるためです。

参考情報
なかなかややこしいテナントやサブスクリプションの話、、、
以下サイトがなかなかわかりやすかったので、一部外部サイトですがご参照いただければと思います。

Microsoft Azure のテナントとサブスクリプションの関係
Azure サブスクリプションと Azure AD の管理者

いいね (この記事が参考になった人の数:22)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください