狠狠撸

初めてのAzure構築
～契約のトラップに
巻き込まれたお話～
JAZUG 8周年イベント（2018/9/22）
パーソルテクノロジースタッフ株式会社
Twitter：@iwai_d
岩井大祐（いわいだいすけ）
2018/9/22 Copyright ? PERSOL HOLDINGS CO., LTD. All Rights Reserved.

Copyright ? PERSOL HOLDINGS CO., LTD. All Rights Reserved.
作成者自己紹介と
簡単な会社紹介

作成者自己紹介
Copyright ? PERSOL HOLDINGS CO., LTD. All Rights Reserved. 3
? 自己紹介
– 岩井大祐（いわいだいすけ）
Twitter：@iwai_d （やや死蔵気味アカウント……）
– パーソルテクノロジースタッフ(株)でマイクロソフト系
プロダクトをメインに取り扱うおじさんインフラ技術者
昨年6月よりAzureに関わり始めたのでまだまだオンプレが主
? 好きなもの
– ウッドストック
（小さきことは美しい……）

簡単な会社紹介
? パーソルテクノロジースタッフ(株)
– 旧テンプスタッフ?テクノロジーと旧インテリジェンスの
エンジニア派遣サービス部門が合併して2017年1月より発足
機械設計系の部隊とIT関連の部隊があります
– IT関連の部隊には国内で保有者が400人そこそこと言われている
VMware VCAPの有資格者も社員として在籍しているプロ集団
– セキュリティサービスも社内で提供していたりしております
（ https://persol-tech-s.co.jp/corporate/security/）
よろしくお願いいたします m(_ _)m

今回のお題目と
注意点

今回のお題目と注意点
? Azureを契約して使う上で多くの人が意識していない部分で
意外なトラップにかかり、かなり泣いたお話
→ 実体験100%のお話です
? 内容として重要なポイントは事実ですが、諸般の事情から
ぼかして書いている部分もあります
→（その辺はお察しください…）

では本題に……

今回の業務内容は
? オンプレミスのWindowsサーバ、DBをAzureのIaaSと
PaaSで置き換え、既存環境とExpressRouteで接続して
環境をリプレイスするというもの
– 私がこの業務に参画した時点でAzureの契約は締結済み
? エンドユーザーから、使用するAzureADアカウントにMFAと
アクセス制限をかけてから構築するという条件があった
? 入札案件
→ これが直接ではないものの、トラブルの火種となった

今回の業務内容は（続き）
? 構築の前段階でリセラーとの発注関係書類を確認、
AzureAD Premium P1（以後、AADPと記述）が
購入済みであることは確認した
? AzureADアカウントも作成、AADPを設定することに……
※ 画面は再現です
ん？あ、あれ？

Azureポータルには……
? 表示されたのは【AzureAD Premium P1】ではなく
【結果はありません】の表示
ちょっと待て、AADPがない！！ ※画面は再現です

当然
? エンドユーザーとのルール上、これ以上作業はできず
– MFAだけなら何とかする方法もあったが、納入前検査時に
結局問題になるので小手先対処はやめることに
? サポートにサブスクリプションとオーダー番号を伝えて
対応を依頼したのだが……
– 回答のサブスクリプション名は聞いたこともないものだった
– 作った覚えもないのでその旨返答したところ、
「サポート単独の範疇を超えているので関係部署も巻き込んで
対応します」との回答
→長期戦確定

エンドユーザーに報告したところ……
? 別のAzure構築案件においても同様の問題が発生して
やはり構築作業がストップ
? サポートから教えてもらったサブスクリプション名を
エンドユーザーの担当者に伝え、何かご存知ではないかと
聞いたところ、何年か前のOffice365案件で作成した
サブスクリプションである事が判明
? 発注処理上の問題ではないのも確認し、我々の範疇を超えて
いるため、Microsoftから話を聞くしかないという結論に

Microsoftからの回答は……
? AzureADの仕様（基本的ルール）によるもの
– 原則として会社1つにつき1つのパブリックカスタマ番号
（PCN番号）と、ディレクトリ（AzureAD）が割り当てられる
– AADPなどAzureAD関連のオプションはその会社で最も古い
サブスクリプションに割り当てられる（今回はOffice365へ）
– そもそもサブスクリプションが分けられた理由は不明
通常はAzureAD自体も既存のサブスクリプションになるとのこと

なぜこうなった？
1. 入札案件であったため、エンドユーザー内部の
契約状況を把握していなかった
– 通常、把握しておく必要も理由もないので当然ながら
（このようなことがなければ）こちらから聞くことはない
2. リセラーも含めてこのような仕様をそもそも知らなかった
3. AzureADとAADPが対にならなかったので、発覚が遅れた
– AzureADごと古いサブスクリプションになっていれば
その時点で「変だ」と思ったが、その場合は全部やり直しに
なっていたのでそれはそれでもっと大事になっていたが……

この時の事例では……
? 再契約の形を取り、案件ごとにPCN番号を分けて
サブスクリプション譲渡処理の形でAzureADを完全分離、
AADPも改めてそれぞれに割り当て実施
– この時はお盆シーズンを挟んだため、すべての書類が整って
対応できるまでに約2か月弱ほど要した
※その後、ExpressRouteがらみで色々あったが、それは別の話……

傾向と対策……もとい
Azure契約時の注意点は？

傾向と対策
? 契約する前にエンドユーザー内でAzureや
Office365の契約がないかどうかを確認しましょう
– 後で発覚すると後処理が極めて大変、スケジュールにも
大きな影響が出ることを説明して協力をお願いしましょう
? 契約があった場合、そのAzureADを後々ユーザー認証に
使う可能性があるかどうかを検討してもらいましょう
– AzureADを分割してしまうと、あとから統合するのは
不可能になります。情報システムの統一などの足かせに
なって後でトラブルにならないためにも一考いただきましょう

傾向と対策（その2）
今回のお話はMicrosoftとの契約に絡むお話になるので、
技術者がそこに絡む例は少ないかもしれません。
……が、今回体験してわかったのは、Microsoftサイドと
エンドユーザーサイドの基準は異なり、かつ巻き込まれると
対処に時間も手間もかかる非常に面倒なお話でありました。
このようなトラブルは事前に退治し、気持ちよく構築や
運用に力を注いでいただければと思います。

謝辞
～いつもお世話になってる
あんなサイトやこんなサイト～

いつもお世話になっております
? ブチザッキさん (https://buchizo.wordpress.com/)
– Azureの更新確認などなど定期チェックは欠かせず
? くらう道さん (https://www.cloudou.net/)
– Azureの技術要素などなど困ったらまずここ
? JAZUG (https://www.facebook.com/groups/jazug/)
– 3月から本格的にお世話になっております
Qiitaやブログ等で経験を書かれている多くの皆様のおかげです

ご清聴
ありがとうございました
m(_ _)m

狠狠撸

JAZUG 8周年イベント登壇資料

More Related Content

JAZUG 8周年イベント登壇資料