Azure AD ディレクトリとは

更新日: 2015 年 7 月 6 日

適用対象: Azure、Office 365、Windows Intune

注意

このトピックでは、ID サービスとディレクトリ サービスにMicrosoft Azure Active Directoryに依存する、Microsoft IntuneやOffice 365などのクラウド サービスのオンライン ヘルプ コンテンツを提供します。

ここでは、Azure AD ディレクトリの管理に関連する重要な概念とタスクについて説明します。また、次のセクションがあります。

• Azure AD テナントとは

• Azure AD ディレクトリを取得する方法

  • Azure AD ディレクトリを新しい Azure サブスクリプションに関連付ける

  • 組織としてサービスにサインアップすることによって Azure AD ディレクトリを作成する

  • Azure によってプロビジョニングされた既定のディレクトリを管理する

• Azure AD ディレクトリの追加と管理

• Azure AD ディレクトリを削除する

  • Azure AD ディレクトリを削除するために満たす必要がある条件

Azure AD テナントとは

物理的なワークスペースでは、テナントはビルを占めているグループまたは会社と定義できます。 たとえば、組織がビルのオフィス スペースを所有しているとします。 このビルは、他の複数の組織が面している通りにある場合があります。 組織はそのビルのテナントと考えることができます。 このビルは組織の資産であり、セキュリティを提供し、ビジネスを安全に行うことができるようにします。 また、ビルは通りで他の企業から切り離されています。 これにより、組織とその資産は他の組織から分離されます。

クラウド対応のワークスペースでは、テナントはそのクラウド サービスの特定のインスタンスを所有して管理するクライアントまたは組織と定義できます。 Microsoft Azure によって ID プラットフォームを提供されたテナントは、組織が Azure や Office 365 などの Microsoft クラウド サービスにサインアップしたときに受け取って所有する、Azure Active Directory (Azure AD) の専用インスタンスです。

各 Azure AD ディレクトリは、他の Azure AD ディレクトリと区別され分離されています。 会社のオフィス ビルが組織に固有のセキュリティで保護された資産であるのと同様に、Azure AD ディレクトリも特定の組織だけが使用するセキュリティで保護された資産として設計されています。 Azure AD アーキテクチャは、顧客のデータや ID 情報が混合しないよう分離します。 これは、Azure AD ディレクトリのユーザーや管理者が、別のディレクトリのデータに誤ってまたは悪意をもってアクセスすることはできないことを意味します。

Azure AD ディレクトリを取得する方法

Microsoft クラウド サービスにサインアップすると、Azure AD ディレクトリを取得します。 必要に応じて、追加のディレクトリを作成できます。 たとえば、最初のディレクトリを運用ディレクトリとして保持し、テストまたはステージング用に別のディレクトリを作成できます。

注意

最初のサービスにサインアップした後は、他の Microsoft クラウド サービスにサインアップするときに、組織に関連付けられている同じ管理者アカウントを使用することをお勧めします。 ユーザー ID の詳細については、「ユーザー ID とは何か」および「必要な理由」を参照してください。

Azure、Microsoft Office 365、Microsoft Intuneなどの Microsoft クラウド サービスに初めてサインアップするときに、組織と組織のインターネット ドメイン名の登録に関する詳細を入力するように求められます。 その後、この情報を使用して、組織の新しい Azure AD ディレクトリ インスタンスが作成されます。 複数の Microsoft クラウド サービスにサブスクライブしている場合でも、サインイン試行の認証にその同じディレクトリが使用されます。

追加のサービスでは、構成した既存のユーザー アカウント、ポリシー、設定、またはオンプレミスディレクトリ統合を完全に活用して、組織のオンプレミスの ID インフラストラクチャと Azure AD の間の効率を向上させることができます。

たとえば、最初は Microsoft Intune サブスクリプションにサインアップし、ディレクトリ同期サーバーやシングル サインオン サーバーをデプロイすることによって、オンプレミス Active Directory と Azure AD ディレクトリの統合を強化するために必要な手順を完了した場合、Office 365 などの別の Microsoft クラウド サービスにサインアップすると、Microsoft Intune で現在使用しているディレクトリ統合の同じメリットをそのサービスでも活用できます。

オンプレミス ディレクトリと Azure AD の統合の詳細については、「 ディレクトリ統合」をご覧ください。

Azure AD ディレクトリを新しい Azure サブスクリプションに関連付ける

新しい Azure サブスクリプションは、既存の Office 365 または Microsoft Intune サブスクリプションへのサインインを認証する同じディレクトリに関連付けることができます。 職場または学校アカウントを使用して Azure 管理ポータル にサインインします。 Azure の管理ポータルでは、そのアカウントのサブスクリプションが見つからなかったというメッセージを返します。 [ Azure にサインアップ] を選択すると、Azure 管理ポータル内でディレクトリを管理できるようになります。 詳細については、「 Azure での Office 365 サブスクリプションのディレクトリの管理」をご覧ください。

Azure AD の使用方法に関するよくある質問のビデオについては、「 Azure Active Directory - Common Sign-up, sign-in and usage questions (Azure Active Directory - サインアップ、サインイン、使用方法に関するよくある質問)」をご覧ください。

組織としてサービスにサインアップすることによって Azure AD ディレクトリを作成する

Microsoft クラウド サービスのサブスクリプションをまだ持っていない場合は、次のリンクのいずれかを使用してサインアップします。 最初のサービスにサインアップすると、Azure AD ディレクトリが自動的に作成されます。

• Azure - 今すぐサインアップします。

• Office 365 – 今すぐサインアップします。

• - Microsoft Intune今すぐサインアップします。

Azure によってプロビジョニングされた既定のディレクトリを管理する

現在は、Azure にサインアップするとディレクトリが自動的に作成され、そのディレクトリにサブスクリプションが関連付けられます。 ただし、Azure に最初にサインアップしたのが 2013 年 10 月より前の場合、ディレクトリは自動的には作成されませんでした。 その場合、Azure がアカウントの既定のディレクトリをプロビジョニングすることによって、アカウントに対して "バックフィル" が実行された可能性があります。 サブスクリプションは、その既定のディレクトリに関連付けられています。

ディレクトリのバックフィルは、Azure のセキュリティ モデルの全体的な改善の一環として、2013 年 10 月に実行されました。 バックフィルにより、組織の ID 機能をすべての Azure ユーザーに提供し、ディレクトリ内のユーザーのコンテキストですべての Azure リソースにアクセスできるようになります。 ディレクトリなしで Azure を使用することはできません。 Azure を使用できるようにするために、2013 年 7 月 7 日より前にサインアップし、ディレクトリを持っていなかったユーザーには、ディレクトリを作成してもらう必要がありました。 ディレクトリを既に作成していた場合は、そのディレクトリにサブスクリプションが関連付けられています。

Azure AD を使用するのにコストは一切かかりません。 ディレクトリは無料のリソースです。 個別にライセンスが付与され、会社のブランド化やセルフサービスパスワードリセットなどの追加機能を提供する追加のAzure Active Directory Premiumレベルがあります。

ディレクトリの表示名を変更するには、管理ポータルでディレクトリをクリックし、[構成] をクリックします。 このトピックの後の方で説明するように、新しいディレクトリを追加したり、不要になったディレクトリを削除したりすることができます。 サブスクリプションを別のディレクトリに関連付けるには、[サブスクリプション設定>ディレクトリの>編集] をクリックします。 既定の *.onmicrosoft.com ドメインではなく、登録済みの DNS 名を使用してカスタム ドメインを作成することもできます。これは、SharePoint Online などのサービスを利用している場合にお勧めします。

ディレクトリを管理する方法の詳細については、 Azure AD ディレクトリの管理に関するページを参照してください。

Azure AD ディレクトリの追加と管理

Azure AD ディレクトリは、Microsoft Azure 管理ポータルで追加できます。 左側で Active Directory 拡張機能を選択して、[追加] をクリックします。

各ディレクトリは、完全に独立したリソースとして管理できます。つまり、各ディレクトリは対等であり、フル機能を備え、管理対象の他のディレクトリから論理的に独立しています。ディレクトリ間に親子関係はありません。 このディレクトリ間の独立には、リソースの独立、管理上の独立、同期の独立があります。

• リソースの独立。 後述する外部ユーザーの一部の例外を除き、あるディレクトリでリソースを作成または削除しても、別のディレクトリのリソースには影響しません。 あるディレクトリで "contoso.com" というカスタム ドメインを使用している場合、このドメインを他のディレクトリで使用することはできません。

• 管理上の独立。 "Contoso" ディレクトリの管理者以外のユーザーが、"Test" というテスト ディレクトリを作成した場合、次のようになります。

  • 既定では、ディレクトリを作成したユーザーがその新しいディレクトリの外部のユーザーとして追加され、そのディレクトリのグローバル管理者ロールが割り当てられます。

  • "Test" の管理者が管理者特権を明示的に付与した場合を除き、"Contoso" ディレクトリの管理者には、"Test" ディレクトリに対する直接的な管理者特権はありません。 "Contoso" の管理者は、"Test" を作成したユーザー アカウントの制御により、"Test" ディレクトリへのアクセスを制御できます。

  また、あるディレクトリでユーザーの管理者ロールを変更 (追加または削除) した場合、変更は、別のディレクトリでそのユーザーに割り当てられている可能性のある管理者ロールには影響しません。

• 同期の独立。 次のいずれかの 1 つのインスタンスからデータが同期されるように、各 Azure AD を個別に構成できます。

  • データを 1 つの AD フォレストと同期するディレクトリ同期ツール。

  • データを 1 つ以上のオンプレミス フォレストや非 AD データ ソースと同期する、Azure Active Directory Connector for Forefront Identity Manager。

他の Azure リソースとは異なり、ディレクトリは Azure サブスクリプションの子リソースではないことにも注意してください。 そのため、Azure サブスクリプションの期限切れをキャンセルまたは許可した場合、Azure PowerShell、Azure Graph API、または Office 365 管理センターなどの他のインターフェイスを使用して、依然としてディレクトリ データにアクセスできます。 また、ディレクトリに別のサブスクリプションを関連付けることもできます。

Azure AD ディレクトリを削除する

グローバル管理者は、Azure の管理ポータルから Azure AD ディレクトリを削除できます。 ディレクトリを削除すると、そのディレクトリに含まれるリソースもすべて削除されます。そのため、ディレクトリを削除する前に、そのディレクトリが不要であることを確認する必要があります。

注意

ユーザーが職場または学校アカウントを使用してサインインしている場合、そのユーザーは自分のホーム ディレクトリを削除することはできません。 たとえば、ユーザーが joe@contoso.onmicrosoft.com としてサインインしている場合、そのユーザーは既定のドメインが contoso.onmicrosoft.com であるディレクトリを削除することはできません。

Azure AD ディレクトリを削除するために満たす必要がある条件

Azure AD でディレクトリを削除するには、特定の条件を満たす必要があります。 これにより、ディレクトリの削除がユーザーやアプリケーションに悪影響を及ぼす (ユーザーが Office 365 にサインインできない、Azure のリソースにアクセスできないなど) リスクが軽減されます。 たとえば、サブスクリプションのディレクトリが誤って削除された場合、ユーザーはそのサブスクリプションの Azure リソースにアクセスできなくなります。

次の条件がチェックされます。

• ディレクトリ内のユーザーは、ディレクトリを削除するグローバル管理者に限られます。 ディレクトリを削除するには、他のすべてのユーザーを削除しておく必要があります。 ユーザーがオンプレミスから同期されている場合は、同期を無効にする必要があります。また、管理ポータルまたは Windows PowerShell 用 Azure モジュールを使用して、クラウド ディレクトリでユーザーを削除する必要があります。 グループまたは連絡先 (Office 365 管理センターから追加された連絡先など) を削除する要件はありません。

• ディレクトリ内にアプリケーションが存在してはいけません。 ディレクトリを削除するには、すべてのアプリケーションを削除しておく必要があります。

• ディレクトリに関連付けられている、Microsoft Azure、Office 365、Azure AD Premium などの Microsoft Online Services のサブスクリプションが存在してはいけません。 たとえば、Azure で既定のディレクトリが作成されている場合、Azure サブスクリプションが認証にこのディレクトリを引き続き使用していれば、このディレクトリを削除することはできません。 同様に、別のユーザーがディレクトリにサブスクリプションを関連付けている場合、そのディレクトリを削除することはできません。 サブスクリプションを別のディレクトリに関連付けるには、Azure 管理ポータルにサインインし、左側のナビゲーションにある [設定] をクリックします。 次に、[サブスクリプション]、[ディレクトリの編集] の順にクリックします。 Azure サブスクリプションの詳細については、「 How Azure subscriptions are associated with Azure AD (Azure サブスクリプションを Azure AD に関連付ける方法)」をご覧ください。

  注意

  サブスクリプションを解約し、ディレクトリを削除する場合は、別のサブスクリプションを使用してサインインし、サブスクリプションの共同管理者としてディレクトリのグローバル管理者を追加します。 次にサインアウトし、サブスクリプションの共同管理者アカウントを使用してサインインし直します。 その他すべての条件を満たしていれば、ディレクトリを削除できます。

• Multi-Factor Authentication プロバイダーをディレクトリにリンクすることはできません。

コミュニティのリソース

Azure AD コンテンツ マップ IT プロフェッショナル向け Azure AD フォーラム 開発者向け Azure AD フォーラム