ある企業が Azure サブスクリプションを別の Entra ID テナントに移動させる必要が生じた。移動後の影響として正しい説明を選べ。
- A. 移動操作は Azure Support にリクエストしないと実行できず、最大 30 日かかる
- B. 移動後は元テナントのユーザーへの RBAC ロール割り当てが無効になり、新テナントで再割り当てが必要になる
- C. サブスクリプションに適用されている Azure Policy は移動後も自動的に継続して適用される
- D. サブスクリプション内の RBAC ロール割り当てはすべて新テナントに引き継がれる
解答と解説を見る
正解: B
サブスクリプションを別の Entra ID テナントに移動すると、RBAC ロール割り当ては移行されない(孤立した割り当てになる)。これは、ロール割り当てはプリンシパル ID(ユーザー・グループ・サービスプリンシパルのオブジェクト ID)を参照しているが、そのオブジェクト ID は元のテナントに属するためであり、新テナントには存在しない。移動後は新テナントのユーザーやサービスプリンシパルに対して RBAC を再設定する必要がある。選択肢Dは誤りで、ロール割り当てはテナント境界を越えて引き継がれない。選択肢Cは Azure Policy は管理グループ・サブスクリプション・リソースグループに割り当てられているが、管理グループ階層はテナントごとに存在するため、移動後のテナントの管理グループ階層で再割り当てが必要。選択肢Aはサブスクリプション移動は Azure portal から実行でき、特別なサポートリクエストも不要。
📚 関連サービスの解説: Azure RBAC