Azureはサブスクリプションだったりアカウントの種類が多くて、混乱することが多い。 そもそもの前提としてAzureではアカウントの種類が大別して2つに分かれてて、microsoftアカウントと組織アカウントというのがあるようだ。 ざっくり言ってしまうと、Office365と連携していない個人アカウントがmicrosoftアカウントで、Office365のADで管理されているのが組織アカウントらしい。

そのほか、いろいろな面で組織アカウントにしかできないこと(microsoftアカウントではローカルADとAzureADの連携ができなかったり、AzureCLIやPowerShellで自動ログインできなかったりetc ...)が多く、MS的にはできれば組織アカウントを使ってほしいのかなと感じる。

しかし、サブスクリプションの種類によっては組織アカウントに所有者を移譲できず、microsoftアカウントを持ち主としたまま運用しないといけないことがある。 そんな時は、microsoftアカウントと組織アカウントで特定ディレクトリを共同管理して、そこにサブスクリプションを付与することで組織アカウントでのサブスクリプション利用が可能なようだ。

対応方法としては、以下の2つの手順を行うといいようだ。 ※下記作業実施前に、事前にAzureADの全体管理者としてmicrosoftアカウントを登録しておく必要があるので注意。

既存のサブスクリプションでVMなどを構築していた場合でも、それらのリソースはすべてサブスクリプションに紐づくのでディレクトリ変更をしても問題ない。 なお、そのままだと一般ユーザはそのサブスクリプションの操作が何もできないので、各リソースグループの所有者として登録してやるといいだろう(各ユーザをそのまま共同管理者にするのはセキュリティ上いかがなものかと思うので)。


参考