Azureに関する情報を見ると、「テナント」と「サブスクリプション」というワードをよく見かけますよね。実はこの2つの関係性を知っておかないと、課金管理の煩雑化やライセンスの二重管理につながりかねません。
そこで本ブログでは、Microsoft Azureを利用する際に知っておくべきテナントとサブスクリプションの関係について解説します。
Azureを契約するとどうなるか
まず大枠からご説明します。
Azureを契約すると、テナントにサブスクリプションがぶら下がる形になります。
そして、テナントで管理されているユーザがサブスクリプションの管理者権限を付与されます。
テナントとは
テナントは、Entra ID(旧Azure AD)を基盤とした、組織や企業のための専用の環境のことです。
1つのEntraID(≒ドメイン)に対して1つのテナントが紐づきます。テナント=EntraIDとして解説されているwebサイトもたまに見かけますね。
テナントは、企業で利用するアプリケーションやリソースに ID とアクセス管理 (IAM) 機能を提供します。
1つのドメインに対して1つのテナントが紐づきますので、基本的には1つの企業に1つのテナントが存在していることが多いです。(本番ドメインとは別に検証用の環境などを用意したい場合やM&Aにより複数の企業が同じドメイン配下になったりした場合はこの限りではありません)
そしてこれは、AzureやMicrosoft 365・Office 365といったマイクロソフトのサブスクリプションサービスを初めて利用開始した時点で作成されます。
ユーザやライセンスはこの”テナント”単位で管理されます。
Azureサブスクリプションとは
Azureサブスクリプションとは、Azureの課金単位です。(サブスクリプションごとに請求書が発行されます。)
Azureを契約する=Azureサブスクリプションを契約する ということです。
サブスクリプション単位で権限を管理することができるので、
たとえば部署AのメンバーはサブスクリプションAのみに管理権限を、部署BのメンバーにはサブスクリプションBのみに管理権限を、情報システム部のメンバーはサブスクリプションA、サブスクリプションBともに管理権限を持つ、というようなことも可能です。
また、サブスクリプションは発行しただけでは課金されません。
この配下に仮想マシンやストレージアカウントといったAzureのリソースをデプロイするとそれらの利用状況に応じて課金されます。
また、テナント(≒Microsoftライセンス)を契約した企業と、Azureサブスクリプションを契約する企業を別にすることも可能です。その際は、ライセンスとAzure利用料がそれぞれ別の企業から請求されることになります。
Azure契約時に意識すること
以上のように、テナントではIDやライセンスを管理しており、その配下に課金単位であるサブスクリプションがぶら下がる、という構造となっています。
なので、Azureサブスクリプション契約時には、すでにテナントがあるかどうか意識してサブスクリプションを契約する必要があります。
例えば、下記の状況の場合…、
・Office 365のライセンスを利用しておりそれをテナントAに紐づけている
・本番環境として、新たにAzureサブスクリプションBを契約したい
テナントAにぶら下げる形でサブスクリプションBを契約する必要があります。
この際、テナントを新たに建ててしまうと、テナントAで管理しているユーザやライセンスを用いてサブスクリプションBを管理することができず、ユーザやライセンスの二重管理が発生してしまいます。
サブスクリプションを契約する際に、契約先の企業に既存のテナントに紐づけたい旨を伝えれば必要な情報をヒアリングしてくれるはずです。
Azureサブスクリプションを契約する前には、すでにMicrosoft 365やOffice 365などのMicrosoftサブスクリプションサービスを契約しているかどうか確認したうえで進めていただければと思います。
弊社では、Microsoft Azure関連の最新情報を日本語で分かりやすく、月1回(緊急時は都度)ご案内するメールマガジンを配信しています。
Azure管理者様必見です!ご興味お持ちいただけましたらぜひ下記よりご登録くださいね。
コメント