サブスクリプション作成時のエラー「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」

こんにちは、Azure & Identity サポート チームの小野です。 今回は、Azure におけるサブスクリプション作成時に表示される「アカウントが Azure サブスクリプションに関連付けられないディレクトリに属しています。別のアカウントでサインインしてください」というエラーの発生原因と対処策についてご紹介します。       本エラーは、サブスクリプション作成を試みたユーザー (のメールアドレス) が ”セルフサービス サインアップ テナント” に紐づいている場合に発生します。   ◆ セルフサービス サインアップ テナントとは セルフサービス サインアップ テナントとは、管理者により作成されたテナントではなく、ユーザーが Azure Active Directory(以下、Azure AD ) による認証を必須とするサービスにサインアップした (利用を試みた) 場合に自動で作成されるテナントです。具体的には Power BI などのサービスになりますが、サービスを利用するためにサインアップを試みた際に指定したユーザーのメール アドレスに含まれるドメイン名が Azure AD にまだ登録されていない場合には、自動で Azure AD テナントが作成され、これがセルフサービス サインアップ テナントになります。通常 Azure AD テナントには必ず管理者が存在しますが、このセルフサービス サインアップ テナントには管理者が存在しません。この管理者が存在しないテナントではサブスクリプションを紐づけることができないため、発生しているエラーが今回ご紹介しているエラーメッセージになります。   対処策としては、以下の手順にてテナントの管理者への昇格をする必要があります。  …

0

招待したユーザーが利用できない

こんにちは、Azure & Identity サポート チームの坂井です。   今回は Azure AD に招待したはずのユーザーが利用できない際の確認ポイントについて説明します。 Azure AD へのユーザー招待は、明示的に Azure Active Directory の管理画面からゲストユーザーを追加した場合だけでなく、 Azure のサブスクリプションに対して 「所有者」 や 「仮想マシン共同作成者」 の役割を追加したときにも、その追加したユーザーが Azure AD にすでに追加済みでなければ、この役割を追加したタイミングでユーザーの招待も行われます。 ユーザーの招待処理が完了していないと、役割を割り当てたが、サブスクリプションの利用ができないというような状況になります。   そのような状況の場合は、まずはじめに Azure ポータルにて招待状況を確認しましょう。     詳細 招待先のディレクトリの管理者権限を持つユーザーで下記を確認します。 [Azure Active Directory] – [ユーザーとグループ] – [すべてのユーザー] から該当のユーザーを選択します。   「ソース」(赤枠)の項目が「ユーザーが招待されました」の場合は、招待メールは送信されているものの、該当のユーザーが招待を受け付けたという操作を完了していない状態を示します。 招待を受けたユーザーは送信されたメールに含まれる [はじめに] のリンクをクリックしてウィザードを完了させる必要があります。 なお、招待メールが届いていない場合、緑枠部分の「招待の再送信」から再送も可能です。   招待メールは下記のようなメールです。   アドレス:invites@microsoft.com 件名  :<テナント名>組織に招待されました  …

0

サブスクリプションが見えない

こんにちは、Azure & Identity サポート チームの坂井です。   今回は サブスクリプションの管理者権限を持っているユーザーにも関わらず、Azure ポータル 上でサブスクリプションやリソースが見えない場合の確認ポイントについて説明します。 確認ポイントとしては、2 点あります。   ・サブスクリプションの権限を付与したユーザーでログインしていない ・サブスクリプションが紐づいている、Azure AD を選択していない     サブスクリプションの権限を付与したユーザーでログインしていない ユーザーによっては、同じユーザー名で「Microsoft アカウント」と「職場または学校アカウント」の両方に登録されています。   これは会社で利用しているアカウントを Microsoft アカウントとして登録しているケースが当てはまります。 (* 現在は新規で職場または学校アカウントとして登録されているアカウントを Microsoft アカウントとしても登録することはできなくなっています。詳しくはリンクを参照ください) 同じユーザー名であっても Microsoft アカウントと職場または学校アカウントは別物で、サブスクリプションの権限が割り当たっているユーザーもどちらかの種類のユーザーになります。 例えば、Azure AD に職場または学校アカウントの user01@contoso.com が登録されている状況でそのユーザーにサブスクリプションの権限を付与した場合、下記のように Microsoft アカウントは同じユーザー名であるもののサブスクリプションの権限を所有していないことになります。 よって、Azure ポータル にログインする際に下記のように、2 種類のアカウントが表示される場合には、サブスクリプションの権限を割り当てた種類のアカウントを選択してログインする必要があります。       サブスクリプションが紐づいている、Azure AD を選択していない サブスクリプション は必ず 1 つの Azure…

0

Azure サブスクリプションと Azure AD の管理者

こんにちは、 Azure ID サポートチームの三浦です。 今回は混乱することが多い Azure のサブスクリプションと Azure Active Directory (Azure AD) の関係、それぞれの管理者について紹介します。   Azure サブスクリプションと Azure AD の関係 まず、 Azure サブスクリプションと Azure AD の関係ですが、 Azure のサブスクリプションに Azure AD が含まれているというイメージを持たれている方もいるかもしれませんが、以下の図のようなイメージは間違いです。       正しくは Azure サブスクリプションと Azure AD には包含関係は無く、独立しています。Azure サブスクリプションは必ず 1 つの Azure AD に関連付けられています (*注1) ので、両者の関係性は次のような図になります。       上の図では 2 つのサブスクリプションが Office 365 を利用中の同一の Azure AD…

0