Azureはサブスクリプションだったりアカウントの種類が多くて、混乱することが多い。 そもそもの前提としてAzureではアカウントの種類が大別して2つに分かれてて、microsoftアカウントと組織アカウントというのがあるようだ。 ざっくり言ってしまうと、Office365と連携していない個人アカウントがmicrosoftアカウントで、Office365のADで管理されているのが組織アカウントらしい。

そのほか、いろいろな面で組織アカウントにしかできないこと(microsoftアカウントではローカルADとAzureADの連携ができなかったり、AzureCLIやPowerShellで自動ログインできなかったりetc ...)が多く、MS的にはできれば組織アカウントを使ってほしいのかなと感じる。

しかし、サブスクリプションの種類によっては組織アカウントに所有者を移譲できず、microsoftアカウントを持ち主としたまま運用しないといけないことがある。 そんな時は、microsoftアカウントと組織アカウントで特定ディレクトリを共同管理して、そこにサブスクリプションを付与することで組織アカウントでのサブスクリプション利用が可能なようだ。

対応方法としては、以下の2つの手順を行うといいようだ。 ※下記作業実施前に、事前にAzureADの全体管理者としてmicrosoftアカウントを登録しておく必要があるので注意。

• Windows Azure Active Directory でのサブスクリプション管理 サブスクリプションに紐づく管理ディレクトリをAzureADのディレクトリに移動する
• アカウント管理者・サービス管理者・共同管理者の変更方法について 旧ポータルからサブスクリプションの共同管理者としてAzureADのユーザを指定する

既存のサブスクリプションでVMなどを構築していた場合でも、それらのリソースはすべてサブスクリプションに紐づくのでディレクトリ変更をしても問題ない。 なお、そのままだと一般ユーザはそのサブスクリプションの操作が何もできないので、各リソースグループの所有者として登録してやるといいだろう(各ユーザをそのまま共同管理者にするのはセキュリティ上いかがなものかと思うので)。

参考

• Office 365 アカウントでMicrosoft アカウントのAzure サブスクリプションを使う方法 | 元「なんでもエンジニ屋」のダメ日記