AzureADグループベースのライセンス付与を使用した組織のライセンス管理

 

従来、Enterprise Mobility + SecurityやOffice365、Microsoft365など、組織が使用するライセンスは個々のユーザーレベルでしか割り当てることができず、大規模な管理がしずらい面がありました。IT部門は組織の変化に応じて、PowerShellスクリプトを実行しこれらのサービスのライセンスの無効化・有効化をする必要がありました。

 

このような課題に応じるためにAzureADには、グループベースのライセンス付与機能が実装されています。(本日時点でパブリックプレビューの機能となります。)

 

 

本日の記事では、この機能をパブリックプレビュー中の現段階で使用するにあたって必要な情報をまとめました。この機能を使用するにあたっての注意点を記事内にまとめています。特にご注意いただきたい点としては、オンレプレミスADから同期されたグループに対してライセンス付与を行うことも可能ですがネストされたグループをサポートしていない点、そしてパブリックプレビュー中に本機能を利用する為には、Azure AD Basic または Premium以上のライセンスが単一のAzure AD ディレクトリに1つ存在する必要がある点に注意してください。

 

 

 

Azure AD グループベースのライセンス付与 主な機能

 

グループベースのライセンス付与の主な機能は次のとおりです。

 

• ライセンスを、Azure AD 内の任意のセキュリティ グループに割り当てられます。 セキュリティ グループは、Azure AD Connect を使用してオンプレミスから同期できます。 また、セキュリティ グループは Azure AD 内で直接作成する (クラウド専用グループとも呼ばれます) ことも、Azure AD の動的グループ機能で自動作成することもできます。

 

• 製品ライセンスをグループに割り当てる場合、管理者はその製品の 1 つまたは複数のサービス プランを無効にできます。 たとえば、管理者は Office 365 を部署に割り当てる一方で、Yammer のサービスを一時的に無効にできます。

 

• ユーザーレベルのライセンスが必要なすべての Microsoft クラウド サービスがサポートされています。 サポート対象は、全 Office 365 製品、Enterprise Mobility + Security、Dynamics CRM などです。

 

• グループベースのライセンスは、現時点ではAzure Poral を介してのみ使用できます。 ユーザーとグループの管理について、別の管理ポータル (Office 365 ポータルなど) を使用する場合は、引き続き使用できます。

 

• グループのメンバー変更に伴うライセンスの変更は、Azure AD により自動で管理されます。 通常、ライセンスの変更はメンバーシップを変更した数分以内に有効になります。つまり、ライセンス付与対象のセキュリティグループからユーザーを削除すれば、ライセンスも剥奪され、追加すればライセンスが自動付与されます。

 

• ユーザーは、ライセンス ポリシーが指定された複数のグループのメンバーになることができます。 また、グループ外で直接割り当てられたライセンスを使用することもできます。 ユーザーの状態は、割り当て済みのすべての製品ライセンスとサービス ライセンスの組み合わせたものになります。

 

• 場合によっては、ユーザーにライセンスを割り当てることができません。 たとえば、テナントに十分な数のライセンスがない場合や、同時に競合するサービスが割り当てられている場合などがあります。 

 

• パブリック プレビュー中にグループベース ライセンス管理を使用するには、テナントに Azure AD の Basic または Premium Edition の有料サブスクリプション、または試用版サブスクリプションが必要になります。

 

 

 

 

制限事項

 

• 本機能はパブリックプレビュー中の機能です。本機能を使用する際には、該当のAzureADディレクトリ内に、最低一つ以上のAzureAD BasicまたはPeremiumライセンスが割り当たったユーザーアカウントが必要です。このライセンスを割り当てるユーザーアカウントはグループベースのライセンス自動付与機能を設定する全体管理者である必要はありません。

 

• 本機能で指定するグループは前述の項目にも記載をさせていただいた通り、オンプレミスADまたは直接AzureAD上でクラウドグループを作成し指定することが可能です。しかし、本機能は現時点でネストされたグループをサポートしていません。例として以下を参照してください。

 

例:グループベースライセンス付与機能を使用して、全社グループに対してOffice365 E3のライセンスが自動付与されるように設定します。

全社グループ内に、営業事業部グループが存在している場合、全社グループの直下に存在するアカウントに対して、Office365 E3のライセンス付与機能は実行されます。この場合、全社グループにネストされている営業事業部グループ内に存在するユーザーアカウントに対してはOffice365 E3のライセンス付与は実行されません。

 

オンプレミスADから同期されたセキュリティグループを指定する場合、多くのケースではグループがネストされているかと思います。既存のグループを使用されるのではなく、可能であれば本機能専用のグループを作成していただくことを推奨いたします。

 

• 一部の Microsoft サービスは、すべての場所で利用できないことがあります。 ライセンスをユーザーに割り当てる前に、管理者はユーザーの [利用場所] プロパティを指定しておく必要があります。グループ ライセンスの割り当ての際、利用場所が指定されていないユーザーは、ディレクトリの場所を継承します。 ( 利用場所 ー 日本 などに事前に設定をしておきましょう。)

 

• ユーザーを複数のグループに所属させ、グループ単位でライセンスを割り当てることが可能です。しかし、競合するライセンスの割り当てを行った場合、該当のユーザーには競合するどちらのライセンスも割り当てられません。(Office365 E1とE3をどちらも割り当てる設定をしている場合など)対象となるグループに対して割り当てるライセンスは可能な限り細分化して割り当てることをお勧めします。

 

 

 

 

 

Azure AD グループベースのライセンス割り当て手順

 

① グローバル管理者ロールまたはユーザー アカウント管理者ロールを付与された管理者 アカウントを使用して、Azure Portal にサインインします。

② 左側のナビゲーションウィンドウに表示されている、[Azure Active Directory] を選択します。

 

③ [グループ]を選択します。

 

 

④ グループの一覧から、ライセンス自動付与を行いたいグループを検索し、選択します。

 

 

※今回このグループには、以下のメンバーが含まれています。[test0001]はライセンス付与を行うグループに直接格納されたユーザーアカウントで、[Nest_02]はネストされたグループです。Nest_02の中には、[test0002]というメンバーが格納されています。この機能を使用してライセンスを割り当てる際に、ネストされたグループ内のユーザー[test0002]に、ライセンスが割り当たらない事をライセンス付与と同時に確認していきます。

 

 

⑤ 対象のグループの左側のメニュー内から[ライセンス]を選択します。

 

 

⑥ 上部の[割り当て]を選択します。

 

 

⑦ 製品(必用な設定の構成)から、割り当て対象となるライセンスを選択します。ここでは例として、Azure Active Directory Premium Plan 1を選択しています。

 

 

⑧ 割り当てオプションから、必要となるライセンスを指定します。ここでは例として、ライセンスが包括する機能のうち Cloud App Security Discovery  のみオフにしています。

 

 

⑨ 設定が完了したら、[割り当て]を選択します。この操作によって、対象となるグループ内のメンバーへライセンスの割り当てが実行されます。

 

 

⑩ しばらく待機し、以下ポップアップが表示されると、グループに対するライセンスの自動付与は完了です。次のステップでは、ライセンスが確実に割り当てられている事を確認していきます。

 

⑪ 対象のグループのメニューから [ライセンス]を選択します。

 

 

⑫ 処理が正常に実行された場合には、以下のような表示がされます。

 

 

⑬ ライセンス付与対象グループ内のユーザーの [ライセンス]ページを確認します。以下のように、グループベースのライセンス付与によって、自動付与されたライセンスは、[継承済み(グループ名)]と表示されます。Office365 Admin Portalや、PowerShellを使用して直接割り当てたライセンスは、[直接]と表示されます。

 

 

⑫ 最後に、ライセンス付与対象グループにネストされたグループのユーザーにライセンスが割り当てられていない事を確認します。

 

 

⑬ 以下のように、ライセンス付与対象のグループにネストされたグループ内のユーザーにはライセンスが割り当てられていない事が確認できます。

 

 

 

Azure ADで、各機能を使用する際に”グループ”は非常に重要な要素になります。例として、条件付きアクセスでの認証制御を行う際にもグループを指定して設定を行う事が多いかと思います。この条件付きアクセスの対象となるグループをライセンス付与対象のグループにしてしまえば、機能の使用開始時にグループにユーザーを追加するだけで、条件付きアクセスの対象となると同時に、ライセンスの自動付与も行われる事になり、本機能を使用することで、企業のライセンス管理の作業コストを大きく削減できるのではないかと考えています。

 

現時点ではパブリックプレビュー中の機能ですので、色々な制約も多いですがとても便利な機能なので是非試してみてください。また、いずれ動的グループを使用したグループベースのライセンス付与についても別の記事でご紹介いたします。

 

 

 

!  注意点

現在、この機能はパブリック プレビュー段階です。 変更を元に戻すか、削除できるように準備しておいてください。 機能は、パブリック プレビュー期間中、すべての Azure Active Directory (Azure AD) サブスクリプションで使用できます。 ただし、機能が一般公開されたら、機能の一部で 1 つ以上の Azure Active Directory Premium ライセンスが必要になる場合があります。https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-licensing-whatis-azure-portal

 

 

 

✔ 参考情報

Sekiya Hideyuki

Profile: 都内のSIer勤務のインフラエンジニアです。普段はMicrosoft 365系のお仕事をしています。 ※本WEB SITEに記述している全ての内容は個人の主張であり、所属組織の見解や方針とは関係がありません。本サイトと所属組織とは無関係です。

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください