下記の文章は現在何年もずっと書籍の原稿として書いている途中の文章です。いつまでもどこにも出さないのももったいないので、noteに書いておきます。

================================================

多くの企業でクラウドサービスを業務に利用する事が当たり前の時代になりました。さまざまなクラウドサービスがあり色々な使われ方をされている中で「日々ユーザーが使っているにもかかわらずそれが意識されていないサービス」のダントツ一位であろうと思われるのがAzure Active Directory(※以下、Azure AD)です。本書を読んでくださっている方の中にも「Azure ADはまだ使っていない」と自分では認識しているけれども実はすでに使っている方が多くいるはずです。そして意図せず適切ではない構成になってしまい将来的に問題に直面する（が、今はまだ気が付いていない）組織が多くあります。

さて、前置きはこのくらいにして本題に入っていきましょう。本章ではまずAzure ADとは何なのかという事を説明しつつ、多くの企業がハマりがちな「落とし穴」についてお伝えします。

Azure ADとは何か？

Azure ADはマイクロソフトが提供する組織を安全に守るID（アイデンティティ）およびアクセス管理を実現するクラウドサービスでありいわゆる「IDaaS」です。ユーザー、グループ、デバイス、アプリケーション等を登録することができ、シングル サインオン、多要素認証、条件付きアクセスなと多様な機能を提供してサイバーセキュリティ攻撃を防ぐことのできるエンタープライズIDサービスです。クラウド上のID基盤であり、そこに登録されたユーザーがそのIDを使ってさまざまなクラウドサービスを利用できます。管理者はIDの乗っ取り等の問題が発生しないように、多要素認証を要求するように構成したり、サービスへアクセスする際に使用するデバイスを限定する等の条件付けを行うことができます。さらに連携構成を行いAzure AD上のIDを用いて他社のサービスも含めたさまざまなサービス利用を可能とし、シングルサインオンを実現することも可能です。

エンドユーザーの立場としては「Teamsにアクセスしてチャットをする」時にも「Exchange Onlineでメールを読む」時にも裏でAzure ADを使っているということになります。

長い間Azure ADはそれ自体が単独のサービスでしたが、現在はMicrosoft EntraというマイクロソフトのIdentity機能とアクセス機能を網羅する新しい製品群の中の1つという位置づけになっています。ただ、今のところEntraのことはまだあまり意識せずにAzure ADを単独で意識してもらっても問題ない状況です。

Azure ADに関してのよくある誤解

まずよくある誤解を2つ解いておきたいと思います。まず、Azure ADは名前に「Azure」と含まれていることからMicrosoftが提供する開発用サービス（PaaS, IaaS等）である「Microsoft Azure」で使えるサービスの1つという認識を持っている方が多くいらっしゃいます。しかしこれは誤解です。関連はしていますがAzureの中の1サービスという位置づけではなくAzure ADはもっとはるかに広い範囲を担っています。Azure ADはマイクロソフトの提供するすべてのクラウドサービスのIDサービスとして使われており、Minecraftなどのゲームにまで関わっています。このことが「落とし穴」にも深くかかわってきます。

もう1つよくある誤解はActive Directoryとの混同です。企業で昔からよく使われているWindows Serverで構成可能な「Active Directory」と「Azure Active Directory」とは完全に別物です。「クラウド版のActive Directory」ではないのです。「Active Directory」のクラウド版に近いサービスとしては「Azure Active Directory Domain Services」という別のサービスが存在しています。ただし、このサービスでさえもオンプレミスのActive Directoryと完全に同じ使い方が想定されているわけではないので注意が必要です。

ただし、Azure ADもActive Directoryも両方ともユーザー、グループ、デバイスを登録できる等の共通点もあります。さらに、Azure AD ConnectというAzure ADとActive Directoryとで同期を行うシステムを構成するとActive Directoryに登録されている各種IDをAzure ADでも利用できます。両者は別物でありながら連携が可能となっており、ユーザーの観点から見てみるとオンプレミスのシステムで利用していたIDをそのままクラウドでも利用できるようになるわけです。

Azure ADは単独でクラウド上のID基盤として利用する事もできるし、Active Directoryを使用している組織であれば同期を構成してオンプレミスとクラウド両方で使えるハイブリッドなID基盤として利用する事も可能となるわけです。

Azure ADが複数になると落とし穴にハマりやすい

Azure ADに関する落とし穴には色々なものがありますが、どれも「IDが複数の場所に存在してしまう」つまり「Azure ADが複数」の状態になってしまう事によって引き起こされてしまうものが大多数です。そして普通に使っているとAzure ADが複数になりやすい状況が生まれてしまうのです。どのような時にAzure ADが複数になってしまうのかをこれから見ていきます。ですが、よく理解するためにはまずAzure ADと「テナント」の関係を理解しておく必要があります。まずいちばんよくある「Azure ADを意識せずに使っているパターン」である「Microsoft 365(旧称Office 365)を使っているだけ」という状態を基本として解説していきましょう。

Azure ADとテナントの関係