<目次>
Azure ADのテナントとディレクトリの違いについて
Azure ADとは?
テナントとは?
ディレクトリとは?
テナントIDの見方
ディレクトリIDの見方
まとめ
Azure ADのテナントとディレクトリの違いについて
Azure ADとは?
Azure ADはクラウドベースで以下のサービスを提供します。
・①IDプロバイダ(ID/パスワードの保管や検証)
・②アクセス制御(SaaSの認可グループなど)
(図111)イメージ
詳しくは下記をご参照ください。
→(参考)Azure AD(Azure Active Directory)とは?簡単に概要をご紹介
テナントとは?
現実世界では「ビルの入居者(店)」に相当。クラウドの世界では、特定のクラウドサービス(部屋相当)を所有・管理する個人or組織と定義されます。
- Azure ADの観点では、Microsoftのサービス(AzureやMicrosoft 365=部屋相当)に登録時に付与される、独立したAzure ADのインスタンス(部屋の権利を得た入居者)と定義。
- Azureでは、テナントは複数のサブスクリプションを保持できます(1:N)
- Azureでは、テナントは1つのAzure ADに紐付きます(N:1)
(備考)
- Azure ADから見た顧客(≒ADに登録するSaaSサービスなど)から見ると「テナント」としての登録になります。
- いうなれば、AD内で同居するサービス間の仕切る境界線(組織ビル内の部屋)のようなイメージです。
- サブスクリプションはAzureにおける課金単位です。サブスクリプション配下でリソースグループや各種リソース(VM、App Service、Functionなど)を作って管理します。
(図121)
ディレクトリとは?
テナント(入居者)が入るためのビルに相当するのがAzure ADです。テナント(入居者)のユーザ情報、グループ情報、アプリ情報などを保持し、認証を行う機能を提供します。
つまり、Azure ADのディレクトリは、組織に紐づく「入れ物(自社ビル)」あるいは「入れ物が持つ認証機能」と捉えることができます。
(備考)
「Azure AD」は「Azureサブスクリプション」との間で「信頼関係」があります。つまり、サブスクリプションはAzure ADを信頼しており、リソースに対する「ユーザ認証」「デバイス認証」などをAzure ADに一任しています。
(図122)
テナントIDの見方
・①Azureポータルの左メニューから「Azure Active Directory」を選択します。
(図131)
↓
・②テナントIDが確認できます。
(図132)
ディレクトリIDの見方
・①Azureポータルの右上から自身のアイコンを選択し、「ディレクトリの切り替え」を押下します。
(図133)
↓
・②ディレクトリ毎に、ディレクトリIDが確認できます。
(図134)
まとめ
・厳密には上記の定義ですが、実際は「Tenant ID=Directory ID」のため同じ場合が多いです。
→※マスキングしているため見えませんが、(図133)のTenant IDとDirectory IDは一致しています。
