ぷろじぇくと、みすじら。

Filtered by Tag: Azure

ドメインに参加しているとMicrosoftアカウントで同期できない

Created at:

問題

Windows 10でドメインに参加しているデバイスでMicrosoft アカウントを登録してもアカウントの同期設定を有効にできない問題があります。その一方で以前からある環境は有効なままとなっていることもあります。

発生する環境

理由

設定とデータのローミングに関する FAQにあれこれ書いてありますが、要するにWindows 10 Creators Update以降ではいわゆる企業のアカウント(AD, Azure AD)とMicrosoftアカウントを結びつけることができなくなった影響です。

企業の所有の下で Azure AD に接続された Windows 10 デバイスの Microsoft アカウントは、今後ドメイン アカウントに接続できません。 Microsoft アカウントをドメイン アカウントに接続してそのユーザーの全データを Microsoft アカウントに同期させる機能 (Microsoft アカウントと Active Directory との接続による Microsoft アカウントでのローミング機能) は、Active Directory と Azure AD とが接続された環境に参加している Windows 10 デバイスからは削除されます。

Feedback Hubにもフィードバックが起票されていますが、企業アカウントの場合にはMSAではなくてAzure ADのEnterprise State Roamingを使ってくださいと。

In the Windows 10 Anniversary Update, domain joined users who connected their Microsoft Account (MSA) could roam settings and data between Windows devices. Many IT Pros told us that this functionality was not consistent with their policies for managing information owned by the organization. They did not want their PCs roaming to an individual’s personal cloud. A group policy to prevent users from connecting their MSAs did and does exist, but this setting also prevents users from easily accessing their personal Microsoft services. To address IT Pro concerns, we removed the ability for domain joined machines to roam with an MSA. Enterprises can still enable Enterprise State Roaming with Azure Active Directory.

ややこしいのが同期できている環境も場合によってはあるというところでしょうか。

どうやらCreators Update前にすでに同期していた環境であれば設定が引き継がれているためMicrosoftアカウントとの同期が可能なままということのようです。そのため新しくセットアップした場合に設定できずにハマります。

現時点で一応機能は残っているのでレジストリをいじると動かせるという話もありますが、今後を考えるとやめておいた方がよい気もします。

まとめ

つまり要するにどういうことなのかという話ですが…

確かに一貫性はありそうではありますが…うーん、今までできていたので不便ですね…。

まあとりあえずこれを踏まえて新しく設定するのであればアカウントの種類の使い分けとしては以下のような感じにするとよさそうです。

メモ: Enterprise State Roamingで同期するとテーマが同期されない

ところでAzure Active Directoryに参加したデバイスでEnterprise State Roamingを利用した同期を行った際、テーマの設定(背景、ロック画面、アクセントカラー)が同期されませんでした。ExplorerやEdge、タスクバーなどの設定は同期されているので謎です…。

App Service PlanとApp Serviceをリソースグループ間で移動する場合の制限

Created at:

AzureのApp Service PlanとApp Serviceをリソースグループ間で移動する場合には制限事項があり、その手順に沿って移動しないとうまくいきません。…というのにはまりました。

ドキュメントのApp Serviceの制限事項には以下のように書かれています。

App Service アプリを使用している場合、App Service プランのみを移動することはできません。 App Service アプリを移動するには、次のオプションがあります。

  • App Service プランとそのリソース グループ内の他のすべての App Service リソースを、まだ App Service リソースが含まれていない新しいリソース グループに移動する。 この要件により、App Service プランに関連付けられていない App Service リソースも移動する必要があります。
  • アプリを別のリソース グループに移動し、元のリソース グループにも App Service プランをすべて保持する。

アプリが正常に動作するために、App Service プランがそのアプリと同じリソース グループ内に存在する必要はありません。

これ(とそれに続く説明)はどういうことなのかというのがピンとこないので順を追って移動する例を見ていきます。

初期構成の想定

まずは初期構成として以下のような構成になっているとします。

最終的な構成

次に移動した結果として希望したい構成です。

Step 1: 新しいグループを作ってAppServiceとともに移動する

まずは新しいリソースグループ BasicPlan を作って、App Service Planを移動します。この際、App Service Planの移動とそれに付随するリソース(App Serviceなど)はすべて新しいリソースグループに移動する必要があります。

Step 2: 他のリソースも新しいグループに一度まとめる

次にもう一つのApp Serviceも一度新しいリソースグループ BasicPlan に移動します。 App Service自体の移動にはApp Service Planは必要ないのでそのまま移動できます。

Step 3: App Serviceを移動する

次に新しいリソースグループ App1Group, App2Group を作り、そこにApp Serviceのみを移動します。

Step 4: App Service以外を移動する

最後にApp Service以外を移動します。

注意事項

az resource move (azure-cli)で移動する

Azure ポータルからではなくazure-cliを利用して移動すると、バリデーションがかからずバラバラに移動できてしまいポータルよりいいと思いきや、想定外の形になることがあるようなので素直にポータルからやっていきましょう。

原則として1つのResource Groupに一つ以上WebApp リソース(App Service Plan)を移動できない

App Service Planの移動先にすでにMicrosoft.Web以下のリソースタイプなどがあると移動できません。ドキュメントのまだ App Service リソースが含まれていない新しいリソース グループに移動するというのはこの制限事項のことを指しています。

この状態で移動しようとすると以下のようなエラーメッセージが表示されます。

There was an error moving resources. Resource move validation failed. Please see details. Diagnostic information: timestamp '20170805T164541Z', subscription id 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx', tracking id 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx', request correlation id 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'. (Code: ResourceMoveProviderValidationFailed) Cannot move WebApp resources to a resource group that already contains WebApp resources. Please ensure destination resource group Common does not have any WebApp resources in it before performing the next move operation. Or create a new resource group and move resources there. (Code: BadRequest, Target: Microsoft.Web/serverFarms)

App Service Planの移動と同時にすでにバラバラになっているApp Serviceを一度移動する必要がある

App Service Planを移動するときには関連したApp Serviceも同時に移動する必要があります。つまり一度App Service Planを移動する前にApp Serviceを同じリソースグループに移動する必要があります。

ドキュメントではWeb アプリがその App Service プランとは異なるリソース グループに存在するが、その両方を新しいリソース グループに移動する場合、移動を 2 段階で行う必要がありますとして解説されているのがこれです。

この状態で移動しようとすると以下のようなエラーメッセージが表示されます。

There was an error moving resources. Resource move validation failed. Please see details. Diagnostic information: timestamp '20170805T175159Z', subscription id 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx', tracking id 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx', request correlation id 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'. (Code: ResourceMoveProviderValidationFailed) Cannot move resources because some site(s) are located in other resource group(s) but hosted by resource group 'Default-Web-JapanEast'. The list of site(s) and corresponding resource groups: 'website-01:Default-Web-JapanEast,website-02:Default-Web-JapanEast'. This may be a result of prior move operations. Move the site(s) back to respective hosting resource group(s) and try again. (Code: BadRequest, Target: Microsoft.Web/serverFarms)

Microsoft.Web/certificates リソースタイプは移動不能

証明書はApp Service Planに関連付けられ、そのリソースグループに移動不能な形で残るので最悪削除する羽目になります(新しいリソースグループで証明書を追加できなくなる場合がある)。

まとめ

移動するのは手順はともかくとしても処理に時間がかかるので、App Service Planとリソースグループの構成は最初からちゃんと考えておいたほうがいいでしょう。まあ真面目に使うときには考えて作るとは思いますが…。