![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/19ae8be4.e750202b.19ae8be5.ab17822b/?me_id=1213310&item_id=21138115&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F0366%2F9784296080366_1_2.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
Azureのリセールなどを行う際に"サブスクリプション"というワードを聞くことが多いのですが、テナントとかAzureアカウントのようなワードも頻出し、関係性がよく分からず頭がこんがらがることが多かったのでこの記事にまとめようと思います。
サブスクリプションとは?
課金とリソース管理の単位。権限管理の考え方に基づき、サブスクリプションはシステム毎に分割するのが一般的です。(例:開発用と本番用で分ける)
サブスクリプションとリソースの間にリソースグループという論理的な管理単位を設けた3階層の構造
Azureでは、サブスクリプションが関連付けられたEntraIDに登録されているユーザープリンシパル(ユーザに割り当てられるID)やサービスプリンシパル(アプリケーションに割り当てられるID)に対して、サブスクリプションレベル、リソースグループレベル、リソースレベルで権限(ロール:予め想定される役割が用意され、そのロールごとに複数の権限がまとめて紐づけられている)を付与します。
テナント
Entra IDによって管理される企業や組織全体の契約単位であり、1つのテナントに複数のサブスクリプションを持つことができます。(例:A社のAzureアカウント管理の枠)
ディレクトリとは、テナントに紐づくユーザやアプリケーションなどを管理するための一番大きな単位である。(ディレクトリ = テナント)
テナントとディレクトリの違い
Azureテナント = Entra IDディレクトリなので、基本的には同一とみなしてOKです。ただし、「テナント」は構造や契約に、「ディレクトリ」はID管理(Entra IDのユーザやグループ)に重きを置いた表現という違いがあります。
管理グループ
複数のサブスクリプションを論理的に束ねて一括管理する枠であり、ガバナンス(ポリシー・RBAC)を階層的に適用可能である。( 例:開発系サブスクリプションすべてに共通の制限をかける)
Azureアカウント
Azureの利用を開始するためのユーザアカウント(メールアドレス)であり、Microsoftアカウントまたは職場アカウント(Entra IDユーザ)を指す。通常は課金や契約の起点であり、最初のテナント所有者となる( 例:user@example.comでAzure契約を開始)
まとめ
上記のキーワードの関係性を図に表すと、以下のような関係性となります。
