Azure Entra IDの試用環境を構築する手順
ここ最近、AzureのEntra ID(旧Azure Active Directory)界隈を操作する機会が多かったので、自分で検証用環境として構築する「Entra ID P1」の環境の構築方法とそのテナントの削除方法についてまとめてみました。
作成については大きな障害は無いのですが、問題は削除がめちゃくちゃ面倒でしたので要注意です。
目次
今回利用するサービス
尚、Microsoft365契約してる場合やMicrosoftアカウントだけの場合にはEntra IDの環境は構築は可能であっても、色々と機能が制限された状態になります(例えばグループでプロビジョニング等は使えない)。よって、P1ライセンスで十分なのでこのライセンスで試用環境を構築します。
※試用期間は30日間となっています。ユーザについては25名まで登録が可能です。
※またノーマルなMicrosoftアカウントの場合、Entra ID P1の試用は出来ません(例:hotmail, outlook.comのアドレス等)
試用環境の構築
注意点
Azure Entra ID環境なのですが、何故かEntra ID管理センター上のライセンスから試用/購入をクリックしても「P2とGovernance」は出てきてもP1については出てきません。P1とP2ではユーザ当たりの単価が異なる為、ちょっと悪質だなぁと思う。
ですので、P1の試用版を使いたい場合にはEntra ID管理センターからではなく、次項の試用環境を作成するにて説明してる手順にて構築する必要がありますので要注意!!
また、Entra ID環境が作成できたら作成時に用意した自身のonmicrosoft.comは二段階認証の設定をしておく必要があります(削除時に管理センターにアクセスできなくなったり、何故か他のマシンからはログイン出来なくなったりと更なる面倒が待っています)。
図:P1の試用が何故か出てこない
試用環境を作成する
Entra IDの試用環境はonmicrosoft.comのMicrosoftアカウントが必要です。つまり、outlookやhotmailではなくonmicrosoft.comである必要があるため、以下の手順でアカウントを作成しP1で十分なのでP1ライセンスでのアカウントを作成しながらP1試用環境を構築する必要があります。。
-
こちらのページを開く
-
Microsoft Entra ID P1の30日間無料で試すをクリックする
-
Microsoft Entra ID P1 Trialのページになりますが、この時点で職場アカウントなどないので、自身の連絡の取れるのメアドを入れて次へ進みます(hotmailやoutlookのフリーアカウントを作っておいて入力しても良い)
-
アカウントのセットアップというボタンが出てくるので、クリックする
-
氏名や電話番号等を入力し、最後のチェックボックス2つを入力して、次へをクリックします。
-
セキュリティチェックの画面になるので自身の電話番号を入力し、SMSでコードを取得します。確認コードを送信をクリックします。
-
SMSでコードが来たら入力して確認をクリックする
-
onmicrosoft.comアカウント作成画面になるのでここでは好きなアカウント名で入力し、パスワードをセットして、次へをクリック
-
自分の3.のメアド宛にメールが届く。Microsoft Entra ID P1 Trialの使用を開始するをクリックして完了です。
図:P1はこのページからじゃないと作れない
図:onmicrosoft.comのアカウントを作る
独自ドメインを適用する
この時点でユーザアカウントを作成すると全てのユーザのデフォルトのメアドがonmicrosoft.comになってしまいます。独自ドメインを適用してそのアカウントにてメアドを作成(といってもUser Pricipalnameですが)する必要があります。そのためにはEntra IDに独自ドメインを設定する必要があります。
作業はEntra管理センターのほうがしやすいのでまずはそこを開きます。
-
上部の検索窓で「ドメイン」と検索するとカスタムドメインのページが開かれます。
-
上部のカスタムドメインの追加をクリックし、ドメイン名に取得したドメインを入力しドメインを追加をクリックします。
-
TXTレコードおよびMXレコードの2つのDNSレコード用値が出てくるので、TXTレコードについては登録が必須です。Microsoft365としてOutlookも使う場合にはMXレコードも登録が必要です。
- 3.のレコードをドメインを登録してるDNSに対して追加する
-
DNSに登録したら、確認をクリックすることで、Entra ID上で独自ドメインのアカウントを作成することが可能になります。
図:カスタムドメインの追加
図:DNS登録用のレコード
ユーザアカウントの作成
DNS登録も終えてこれで独自ドメインでユーザアカウントを作成することが可能になります。
-
Entra IDのトップページを開きます。
-
左サイドバーのユーザをクリックし、上部の新しいユーザをクリック、新しいユーザの作成をクリックします。
-
ユーザプリンシパルネームに適当な名前を入れて、プルダウンから登録した独自ドメインを選びます。
-
表示名とパスワードを入れて、「次:プロパティ」をクリックします。
-
姓名を入力して、レビューと作成をクリックします。
-
作成をクリックします
-
必要な人数分同じ手順で作成します。
-
更新をクリックすると、今作成したメンバーが表示されます。
図:独自ドメインを選択出来る
グループの作成
Entra ID P1のライセンス環境である為、グループを使っての作業が可能になっています。例えばGoogle WorkspaceへのプロビジョニングやSSOなどもそういった一例でユーザ単位ではなくグループ単位で適用などがこれで出来るようになっています。
※今回はMXレコードを登録していないのでグループのアドレスはonmicrosoft.comのままです。
-
Entra IDのトップページを開きます。
-
左サイドバーからグループをクリックします。
-
上部にある新しいグループをクリックします。
-
グループの種類はMicrosoft365としておきます。
-
グループ名にはわかりやすい名前を入れておきます。
-
グループのアドレスはわかりやすいものを入力します。
-
グループに Microsoft Entra ロールを割り当てることができるは、「はい」とでもしておきます。
-
所有者をクリックし、自分自身を指定します。
-
メンバーをクリックして、作成済みユーザを選択します。
-
作成をクリック
-
更新をクリックすると作成したグループが出てきます(なぜかAzureっていちいち更新押さないと最新情報が出てこない罠があります)
図:グループを作成して利用可能に
課金の開始
本番環境に対して、P1の試用環境を追加すると25名分のライセンスが追加された状態で無償で30日間利用が可能ですが、これが期限が到来するとどうなるか?といったら、「課金が開始されてしまいます」。
試用開始時に課金開始時のライセンス数を入力する欄に登録した数だけ課金が始まってしまうので、もし停止したいのであれば期限到来前にサブスクリプションをキャンセルしておく必要があります。また7日以内であれば日割りで返金してくれる模様。
図:課金に関する警告
試用環境を削除する
注意点
さて、今回の試用環境構築でもっとも面倒なのが、作成したP1ライセンスの削除とテナントの削除です。これがとてつもなくややこしい。Entra ID環境だけで構築した場合について以下に削除の手順を記しますが、注意すべきポイントがあります。それは
- Entra ID P1試用環境の期限が切れる前と後では手順が異なります。
- Entra IDの環境ですがライセンスの削除はEntra ID管理センターではなく、Microsoft365管理センターで行います。
- しかしEntra IDのテナントの削除自体は、Azure Portal上で行います。
- ライセンス・テナントを削除しないと作成した自身のonmicrosoft.comアカウントは削除が出来ません。
期限切れになるとものすごく面倒臭いことがさらに増えることになるため、試用環境は出来れば期限が切れる前に削除しておくと、スムーズにアカウントの削除まで進めることが可能になります。
試用期限前に削除する
ライセンスの削除
Entra IDについてのライセンスなのですがEntra ID管理センターからは削除が出来ません。何故かMicrosoft365管理センターからでないと削除が出来ないので要注意です(Microsoft365など契約していなくても)。
- Microsoft365管理センターに入る
- 左サイドバーから課金情報⇒お使いの製品をクリックする
- Entra ID P1の項目が見えるのでそのレコードの中にある「︙」をクリックする(項目の中に入っても良い)
- サブスクリプションのキャンセルという項目があるのでクリックする
- キャンセル理由等を入力してサブスクリプションのキャンセルをクリックする
- キャンセルを続行をクリックする
- この状態はサブスクリプションの無効化の状態であるため、更に3.の項目で削除を実行する必要があります。
- 削除の完了まで3日以上掛かるので、その日までまってからテナントの削除を実行する必要があります。
図:削除を実行する手順
Azureリソースを削除するアクセス許可
ライセンスを削除が無事に出来たとしても、実はこのままAzure Portal上でテナントの削除を実行してもチェックに引っかかり削除が出来ません。それが「Azureリソースを削除するアクセス許可」になります。これが付与されていないので、削除が出来ません。
他にもEntra ID上にユーザが居る状態では削除が出来ないので削除を実行する必要があるので、これも要注意です。
- Azure PortalのEntra IDに入る
- メニューに有る「テナントの管理」をクリックする
- 対象のEntra IDテナントにチェックを入れて削除をクリックする
- チェッカーが走り、Azureリソースを削除するアクセス許可が引っかかるので、そのメッセージをクリックする
- ちなみに4.で入れる項目はEntra IDのトップ画面の左サイドバー⇒プロパティで入れる項目と同じです。
- xxxxはこのテナント内のすべての Azure サブスクリプションおよび管理グループへのアクセスを管理できますのスイッチをオンにして、保存をクリックする。
- これで削除する準備が整いました。
全部のチェック項目が緑にならないとEntra IDのテナントは削除できないので要注意です。
※ちなみにこのチェッカー、前述のライセンス削除をしていないとライセンスベースのサブスクリプションの項目で引っかかります。
図:チェックに引っかかりました
図:アクセス許可をつけてあげる
テナントの削除
ようやく削除が行えるようになったので、Azure Portal上のEntra IDにてテナントを削除します。
- Azure PortalのEntra IDに入る
- メニューに有る「テナントの管理」をクリックする
- 対象のEntra IDテナントにチェックを入れて削除をクリックする
- テナントの削除完了のメッセージが出る。
あらためて、Entra IDに入ろうとするとエラーメッセージが出るのでこれで完了です。
Microsoftアカウントの削除
ここまできたら、あとは自身がテナント作成時に作成したonmicrosoft.comのアカウントの削除のみです。ここまでの処理を完了させておかないとアカウントは削除できないようになっています。ノーマルなMicrosoftアカウントと違って削除の手順がこれまた面倒くさい。こちらの流れを参照しましょう。
ちなみにEntra ID P1の試用環境だけを構築したonmicrosoft.comのアカウントということであればテナントの削除時に同時にアカウントも利用不可能になります。気持ち悪ければ事前に課金情報(クレジットカード)などを削除してからテナントを削除すると良いでしょう。
そうではなく、別のEntra IDのテナントなどから発行されてるonmicrosoft.comのアカウントであれば管理者権限や二段階認証をすべて外してもらって、そちらのEntra ID側で対象のアカウントを削除すればオッケーです。
試用期限後に削除する
基本的な流れは、試用期限前に削除する手順と同じようなものなのですが、期限が切れてしまった場合には以下の注意点があります。期限前と違って削除出来るようになるのに大分掛かってしまうことになります。
-
試用期間切れ後30日後に「ライセンスが無効化」される
-
ライセンスが無効化の60日後に「自動的にライセンスが削除」される
-
よって、期限切れ後90日後にようやくAzure Portal上からEntra IDを削除することが可能になる
こういった文言がMicrosoft365管理センター上のどこにも書かれておらず、前述のようにサブスクリプションのキャンセルというのが実行できなくなり、テナントの削除までに3ヶ月以上も先でないと削除が出来ない事態になります。
図:期限切れてしまうとより面倒に