Microsoft Azureのサブスクリプションのディレクトリを変更後、新しいディレクトリのアカウントでサブスクリプションが見れない現象について紹介します。

現象

Microsoft Azureのサブスクリプションを別のAzure ADのディレクトリに移した後、移行先のAzure AD の管理者でAzureにログインしてもサブスクリプションが見えません。

原因

Azure ADの管理者であってもサブスクリプションに権限が無ければ、サブスクリプションの存在は確認できません。 また、移行前にサブスクリプションが確認できる状態であった場合、移行によりサブスクリプションのロールがすべて初期化されてしまうため、 移行元のディレクトリでは見えていたサブスクリプションも移行により見えない状態になってしまいます。

対処方法

サブスクリプションの[アクセス制御 (IAM)]で移行先のAzure ADの管理者等のユーザーをロールに追加することでサブスクリプションが見えるようになります。 また、サブスクリプションへのロールを設定すれば、サブスクリプションに紐づいているリソースも表示される状態になります。

操作手順

ディレクトリを iPentec-old から iPentec-new ディレクトリに移動した場合での例です。

1. 従来の管理者のアカウント(例:ipentec-azure-admin@outlook.jp)を移行先のAzure AD (iPentec-new)に「ゲスト」として追加します。
2. 従来の管理者アカウント(ipentec-azure-admin@outlook.jp)でAzureポータルにサインインします。
3. ログイン後iPentec-new ディレクトリを表示します。(ipentec-azure-admin@outlook.jp が iPentec-new ディレクトリにゲストとして追加されていれば表示できます。)
4. 移行先のディレクトリ(iPentec-new)の[サブスクリプション]を表示します。従来の管理者アカウント(ipentec-azure-admin@outlook.jp)であればサブスクリプションが表示されることが確認できます。
   
5. サブスクリプションをクリックし、[アクセス制御 (IAM)]の項目をクリックします。右側のエリアで[ロールの割り当て]をクリックし、移行先のAzure ADディレクトリでアクセスするメンバをロールに追加します。(下図参照)

ロールに追加したユーザーでAzureポータルにサインインして、サブスクリプションが表示できるか確認します。