Microoft Azureのサブスクリプション所有者のアカウントを変える

January 08, 2020

Azure

Page content

Azureの素振り環境を適当なMSアカウントで作って後悔していたので、AzureADに新しく作ったちゃんとしたアカウントにサブスクリプションの所有者(一番強い権限を持っている)を移動してみました。

今回はマイクロソフトアカウントから、AzureADのアカウントへの変更です。

公式のマニュアルはこれ

https://docs.microsoft.com/ja-jp/azure/billing/billing-subscription-transfer

この通りにやれば出来ます。

元のアカウントでAzureADにドメインを登録する

ちゃんと自分のドメインのメールアドレスのアカウントを使いたかったので登録しました。これのやり方は後で別記事で書きます

元のアカウントでAzureADにアカウントを追加する

自分のドメインのアカウント(メールを受け取れる必要がある)を追加します。私は自分のドメインのメールをGsuiteで受け取れる様にして居るアカウントを指定しました。このアカウントでAzureポータルにログイン出来るか確認しておきます。

元のアカウントでサブスクリプションを開き譲渡要求の送信をする

ここからはほぼ公式のマニュアルの通りです

元のアカウントでコストの管理と請求からサブスクリプションを開きます。サブスクリプションIDとか前回の請求金額が表示される画面に →課金所有権の譲渡 というメニューがあるので選択します。

受信者のメールアドレスを指定して 譲渡要求の送信 ボタンを押すと指定のメールアドレスに課金所有権の譲渡を行うためのURLが入ったメールが送られます

このメールを送ると後はメールを受け取った相手の処理だけでサブスクリプションの譲渡が進むため、メールアドレスの指定は慎重に行います。

譲渡先のアカウントでメールを読む

お客様にサブスクリプションの課金所有権を譲渡したいユーザーがいます

という内容のメールが送られてくるので 譲渡を承諾する ボタンのリンクにアクセスします。アクセスを行うと、前のアカウントでいくら支払が残っているか表示されるのでそれを受諾します。

譲渡先で支払方法などを指定する

中の人が同じだから支払方法の指定はし直さなくてもいいや…というような事情はマイクロソフトは知らないので、譲渡先のアカウントで支払方法の設定をします。氏名やクレジットカード情報を入力する必要があります。

クレジットカードの承認情報などの確認が終わるとサブスクリプションの移転が行われます。

リソースがほぼない(VMが１個だけとか)そういうサブスクリプションの譲渡でもサブスクリプションの移転が完了するまで5分程待ちました。

サブスクリプションの譲渡が完了する

サブスクリプションの譲渡が完了すると、サブスクリプションに付属していたリソースへのアクセス権も移転先に移ります。

今までサブスクリプションに設定してあったIAMは消えるので設定し直しになるようですので、サブスクリプションの譲渡を行った場合にはIAMの見直しを行いましょう(サブスクリプションに付属のリソースについても同様だと思います(リソースについてはサービス管理者しか居ない状態で譲渡を行ったのでIAMの状態を見られなかった)

Azure ADのグローバル管理者roleを追加する

今回は元々のアカウントが適当なMicrosoftアカウントだったのをちゃんと作ったAzureADに譲渡するという内容です。サブスクリプションの譲渡が終わった後で譲渡先のアカウントにAzureADのグローバル管理者Roleをつけておきましょう新しく作ったAzureADのアカウントにパスワード再設定の手段の設定を1個以上しておかないと、グローバル管理者Roleを割り当てられてもユーザの削除などを行う事が出来ません(全くログイン出来ないアカウントしか管理権限が無いという事を防ぐ為だと思われます)

一番最初に作った適当なMicrosoftアカウントを追い出す

ここまでやると、サブスクリプションの譲渡先のアカウントで一番最初に作ったアカウントをAzureADの全てのアカウントの一覧から削除することが出来ます。これで、自分がちゃんと作ろうと思ったアカウントでAzureのリソースを完全に管理することが出来る様になったはずです。

譲渡元のアカウントにサブスクリプションが1個しか無い状態でサブスクリプションの譲渡を行うとサブスクリプションが全く無いアカウントになってしまいまいした。この状態でVM等すぐに課金が発生するリソースを作成しようとすると

要求されたリソースへのアクセスが拒否されました。ユーザーに十分なアクセス許可がない可能性があります

というエラーメッセージが出て作成する事が出来ません(お支払い方法が登録されていないので当然)

恐らく、このアカウントに新しくサブスクリプションを作成すればリソースを作る事が出来ると思うのですが、今回はもう使わないアカウントなのでやりません。