JAZUG 8周年イベント登壇資料

初めてのAzure構築 ～ 契約のトラップに 巻き込まれたお話 ～ JAZUG 8周年イベント（2018/9/22） パーソルテクノロジースタッフ株式会社 Twitter：@iwai_d 岩井 大祐（いわい だいすけ） 2022/2/3 Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved.

作成者自己紹介と 簡単な会社紹介 Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved.

作成者自己紹介 • 自己紹介 – 岩井 大祐（いわい だいすけ） Twitter：@iwai_d （やや死蔵気味アカウント……） – パーソルテクノロジースタッフ(株)でマイクロソフト系 プロダクトをメインに取り扱うおじさんインフラ技術者 昨年6月よりAzureに関わり始めたのでまだまだオンプレが主 • 好きなもの – ウッドストック （小さきことは美しい……） Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 3

簡単な会社紹介 • パーソルテクノロジースタッフ(株) – 旧テンプスタッフテクノロジーと旧インテリジェンスの 派遣ディビジョンが合併して2017年1月より発足 機械設計系の部隊とIT関連の部隊があります – IT関連の部隊には国内で保有者が400人そこそこと言われている VMware VCAPの有資格者も社員として在籍しているプロ集団 – セキュリティサービスも社内で提供していたりしております （ https://persol-tech-s.co.jp /corporate/security/） よろしくお願いいたします m(_ _)m Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 4

• https://persol-tech-s.co.jp/corporate/security/

今回のお題目と 注意点 Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved.

今回のお題目と注意点 • Azureを契約して使う上で多くの人が意識していない部分で 意外なトラップにかかり、かなり泣いたお話 → 実体験100%のお話です • 内容として重要なポイントは事実ですが、諸般の事情から ぼかして書いている部分もあります →（その辺はお察しください…） Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 6

では本題に…… Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved.

今回の業務内容は • オンプレミスのWindowsサーバ、DBをAzureのIaaSと PaaSで置き換え、既存環境とExpressRouteで接続して 環境をリプレイスするというもの – 私がこの業務に参画した時点でAzureの契約は締結済み • エンドユーザーから、使用するAzureADアカウントにMFAと アクセス制限をかけてから構築するという条件があった • 入札案件 → これが直接ではないものの、トラブルの火種となった Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 8

今回の業務内容は（続き） • 構築の前段階でリセラーとの発注関係書類を確認、 AzureAD Premium P1（以後、AADPと記述）が 購入済みであることは確認した • AzureADアカウントも作成、AADPを設定することに…… ん？ あ、あれ？ ※ 画面は再現です Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 9

Azureポータルには…… • 表示されたのは【AzureAD Premium P1】ではなく 【結果はありません】の表示 ちょっと待て、AADPがない！！ ※画面は再現です Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 10

当然 • エンドユーザーとのルール上、これ以上作業はできず – MFAだけなら何とかする方法もあったが、納入前検査時に 結局問題になるので小手先対処はやめることに • サポートにサブスクリプションとオーダー番号を伝えて 対応を依頼したのだが…… – 回答のサブスクリプション名は聞いたこともないものだった – 作った覚えもないのでその旨返答したところ、 「サポート単独の範疇を超えているので関係部署も巻き込んで 対応します」との回答 →長期戦確定 Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 11

エンドユーザーに報告したところ…… • 別のAzure構築案件においても同様の問題が発生して やはり構築作業がストップ • サポートから教えてもらったサブスクリプション名を エンドユーザーの担当者に伝え、何かご存知ではないかと 聞いたところ、何年か前のOffice365案件で作成した サブスクリプションである事が判明 • 発注処理上の問題ではないのも確認し、我々の範疇を超えて いるため、Microsoftから話を聞くしかないという結論に Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 12

Microsoftからの回答は…… • AzureADの仕様（基本的ルール）によるもの – 原則として会社1つにつき1つのパブリックカスタマ番号 （PCN番号）と、ディレクトリ（AzureAD）が割り当てられる – AADPなどAzureAD関連のオプションはその会社で最も古い サブスクリプションに割り当てられる（今回はOffice365へ） – そもそもサブスクリプションが分けられた理由は不明 通常はAzureAD自体も既存のサブスクリプションになるとのこと Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 13

なぜこうなった？ 1. 入札案件であったため、エンドユーザー内部の 契約状況を把握していなかった – 通常、把握しておく必要も理由もないので当然ながら （このようなことがなければ）こちらから聞くことはない 2. リセラーも含めてこのような仕様をそもそも知らなかった 3. AzureADとAADPが対にならなかったので、発覚が遅れた – AzureADごと古いサブスクリプションになっていれば その時点で「変だ」と思ったが、その場合は全部やり直しに なっていたのでそれはそれでもっと大事になっていたが…… Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 14

この時の事例では…… • 再契約の形を取り、案件ごとにPCN番号を分けて サブスクリプション譲渡処理の形でAzureADを完全分離、 AADPも改めてそれぞれに割り当て実施 – この時はお盆シーズンを挟んだため、すべての書類が整って 対応できるまでに約2か月弱ほど要した ※その後、ExpressRouteがらみで色々あったが、それは別の話…… Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 15

傾向と対策……もとい Azure契約時の注意点は？ Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved.

傾向と対策 • 契約する前にエンドユーザー内でAzureや Office365の契約がないかどうかを確認しましょう – 後で発覚すると後処理が極めて大変、スケジュールにも 大きな影響が出ることを説明して協力をお願いしましょう • 契約があった場合、そのAzureADを後々ユーザー認証に 使う可能性があるかどうかを検討してもらいましょう – AzureADを分割してしまうと、あとから統合するのは 不可能になります。情報システムの統一などの足かせに なって後でトラブルにならないためにも一考いただきましょう Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 17

傾向と対策（その2） 今回のお話はMicrosoftとの契約に絡むお話になるので、 技術者がそこに絡む例は少ないかもしれません。 ……が、今回体験してわかったのは、Microsoftサイドと エンドユーザーサイドの基準は異なり、かつ巻き込まれると 対処に時間も手間もかかる非常に面倒なお話でありました。 このようなトラブルは事前に退治し、気持ちよく構築や 運用に力を注いでいただければと思います。 Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 18

謝辞 ～ いつもお世話になってる あんなサイトやこんなサイト ～ Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved.

いつもお世話になっております • ブチザッキさん (https://buchizo.wordpress.com/) – Azureの更新確認などなど定期チェックは欠かせず • くらう道さん (https://www.cloudou.net/) – Azureの技術要素などなど困ったらまずここ • JAZUG (https://www.facebook.com/groups/jazug/) – 3月から本格的にお世話になっております Qiitaやブログ等で経験を書かれている多くの皆様のおかげです Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 20

ご清聴 ありがとうございました m(_ _)m Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved.