2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
初めてのAzure構築〜契約のトラップに巻き込まれたお話〜(全1記事)
リンクをコピー
記事をブックマーク
岩井大祐氏(以下、岩井):それでは、技術ではなくて、Azureの契約というお話になってしまうんですが、私の実体験ということでお話ししたいと思います。
「初めてのAzure構築~契約のトラップに巻き込まれたお話~」ということで、パーソルテクノロジースタッフ株式会社の岩井と申します。
簡単な自己紹介です。
パーソルテクノロジースタッフでMicrosoft系プロダクトをメインにやっております。ただ、昨年から触り始めたので、オンプレメインというところでございます。
会社の紹介を簡単にしておくと、旧テンプ・スタッフテクノロジーと旧インテリジェンスが合併して昨年からできた会社になります。
派遣のイメージが強いんですが、IT関連の部隊では、日本で400人ぐらいしかいないVMware VCAPの有資格者も社員としていたりする集団でございます。
何かご縁がありましたらよろしくお願いいたしますということで、本題にいきたいと思います。
今回のお題目と注意点ということで、Azureを契約して使う上で、多くの人が意識していないであろうと思う部分で、はまってしまってけっこう泣いたというお話です。
もちろん重要なポイントは事実なんですが、もろもろぼかして書いている部分もあります。そのあたりはお察しいただければ幸いでございます。
今回関わった内容というのは、オンプレミスのWindowsサーバやSQLデータベースをAzureのIaaSとPaaSで置き換えて、既存環境とExpressRouteを使って繋いで、環境をリプレイスするというものでした。
私がこの業務に参画した時点ではすでにAzureは契約されていた状態だったので、あとはエンドユーザーさんが使うAzureADアカウントにMFAからアクセス制限をかけてから構築するという条件がありました。
そして、直接ではないものの、トラブルの火種となったのが実は入札案件だったというところがありました。
構築の前段階で発注関係書類も確認して、AzureAD Premium P1(AADP)が買ってあるということは確認しました。
いざAzureの構築に入ろうとしたところだったんですが、この画面の再現なんですが、AzureポータルでAADPという表示がなされなくて、「結果はありません」という、けっこう無常な表示が出ておりました。
「あれ? AADPついてないじゃん!」という状態で、けっこう現場が固まりまして、私もさすがにといったありさまでした。
当然なんですが、当初のお約束である以上、AADPの設定ができないということで、これ以上作業ができなくなってしまったと。
ご存知のとおり、MFAだけだったらなんとかするという方法もあるにはあったので、それでごまかそうかという話も出たんですが、納入前の検査時に、結局AADPを何で使わなかったの? という話になったり、けっこう問題になってしまうので、小手先の対処はやめようと。
1時間悩んだ末にサポートにサブスクリプションとオーダー番号を伝えて、対応を依頼してみたんですが、なんと「そのご契約でついたAADPはこちらのサブスクリプションについております」ということで教えてもらったサブスクリプション名は、私は聞いたことがありませんでした、という回答されました。
当然つくった覚えもないので、「そんなものつくったことないですよ」という回答をしたところ、サポートからは「サポート単独の範疇を超えましたので、関係部署を巻き込んで対応します」ときて、ここで長期戦ですねという状況に陥った次第でございます。
エンドユーザーに正直に報告したところ、ちょうどこの時期に別の入札案件でAzureを使った構築案件が並行で動いていたそうなんですが、こちらでもやはり同じ問題が発生してしまって、やはり構築作業ができないという話がありました。
サポートから教えてもらったサブスクリプション名をお客さんにお伝えして、「何かご存知ないですか?」と聞いたところ、何年か前にOffice365版で作成したサブスクリプション名だということが判明いたしました。
発注処理上の問題もなかったし、我々がいくらひねってもどうしようもないということで、Microsoftの担当者さんを呼んで話を聞こうということで、呼んでお話をお願いしたんです。
「AzureADの基本的ルールによるものである」というのが第一の回答でした。
ご存知の方多いと思いますが、会社1つにつき1つのパブリックカスタマ(PCN)番号、ボリュームライセンスを買っている方だと、たまにボリュームライセンスのサイトで使ったりすることもあるんですが、こちらのPCN番号とディレクトリ(AzureAD)がそれぞれ割り当てられるというのが原則のルールだそうです。
AADPなどAzureAD関連のオプションは、その会社でもっとも古いサブスクリプションに割り当てられていたということで、今回は何年か前についたOffice365案件に割り当てられていたということで、発注した分が十数個、すべてそちらのOffice365のサブスクリプションに紐づけられていて、確認してもらったら確かに十何個あるということでした。
「どうなっているんだ」とお客さんは当然Microsoftの担当者を詰めたわけなんですが、そもそもMicrosoftの担当者も驚いていたんですが、サブスクリプションが分けられた理由がよくわからない、なんで分けられたんだろうと。
本来であれば同じPCN番号できているので、AzureADは最初につくったOffice365のAzureADに自動的に紐づいて、Azureも構築されるはずなんですが、Microsoftの方も訳が分からない状態に陥ったという状況でした。
どういうことか?
先に、なぜこうなってしまったのかということは、1つ目の入札案件とあったので、エンドユーザー内部の契約状況を把握していなかったと。
通常、入札案件のばあいは把握しておく必要すらないので、当然ながらこういうトラブルがない限りこちらから聞くようなこともないというのが普通です。
そして2番目で、リセラーも含めてこのような仕様をそもそも知らなかったと。今回Microsoftの人に聞いて初めて「こんなことあるの?」ということを聞かされたという、なかなかしびれる状況でありました。
3つ目が、AzureADとAADPが対にならなかったので、さらに発覚が遅れたと。
AzureADごと古いサブスクリプションに紐づいていれば、入った時点で「あれ、Office365がついてる」というところでわかったり、つくった覚えがないAzureADアカウントがつくられていたとか、そういうので発覚したんですが、そもそもAzureADそのものが別につくられていたので、そこが発覚しなかったので対応が遅れてしまいました。
仮に割り当てられても全部やり直しになったので、それはそれで大事になっていましたが。
この時の事例は結局どうしたかというと、結局Azureそのものは全部再契約にして、案件ごとにPCN番号を分けてもらうかたちで再契約をお願いして、サブスクリプションの譲渡処理を使うかたちで、最初につくってしまったAzureADをそれぞれ完全に分離するという処理をやって、AADPが無事にそれぞれのサブスクリプションに割り当たったので、そこから作業続行ということになりました。
ですが、折悪くお盆シーズンを挟んでしまったため、すべての書類が整って対応できるまでに2ヶ月ほどかかりました。
Microsoftさん曰く、通常は最速で15営業日程度見込んでほしいということなので、会社さんの倫理によっては、おおむね1ヶ月前後はかかるのが一般的ではないのかなと思います。
この案件は、その後、ExpressRouteがらみでいろいろあったんですが、これは別のお話ということで、ここでは割愛したいと思います。
傾向と対策……もとい、Azure契約に関わる際の注意点ということで、最後に軽くまとめていきたいと思います。
契約する前にエンドユーザー内で過去のAzureやOffice365の契約がないか確認すること。当たり前といえば当たり前なんですが、入札など少し特殊な契約になったりするとなかなかわかりませんが、あとで発覚してしまうと後処理が極めて大変な上に、スケジュールにも大きな影響が出ます。なので、説明して協力をお願いするというのが一番よろしいのかなということです。
逆に我々SI側に立つ身にしても、「こういう事象が実際にありましたので、確認させていただいております」というかたちで聞くのが、お客さまにも怒られず、あとでもめずということでいいのかなと思います。
あともう1つ、契約があった場合、そのAzureADはのちのちユーザー認証などを再利用する可能性があるのかどうかを検討してもらう必要があります。
これはMicrosoftの方にも念押しされたんですが、AzureADを分割してしまうと、あとから統合するのは不可能です。分けたら分けっぱなしになりますので、あとでAzureADの認証を使って何かをやりたいとなると、もうできませんよと言われました。
ですので、今後情報システムの統一でOffice365とAzureを組み合わせて何かやりたいとか、そうした計画が万が一にもあるのであれば、AzureADを分割するのはやめて、AzureAD回りを再設計するかたちでご一考いただくのが一番よろしいのではないかと思いました。
最後になるんですが、今回のお話はMicrosoftとの契約もからむので、みなさまのような技術者の方がそこにからむ例は非常に少ないのかもしれません。
とくにインフラレイヤーの人でなければあまりないのかもしれませんが、体験してわかったのは、Microsoftさんサイドとエンドユーザーさんサイドの基準は当然のことながら異なるので、巻き込まれてしまうと対処に非常に時間も手間もかかって、お客さんは当然構築できないからスケジュールどうするんだとなるし、Microsoftさんも書類がそろわないとどうしようもないですということになるので、お互いけっこう大変な目に遭います。
結局最終的には全部SIerさんも含めてまるっと解決するまで、12月だったので約4ヶ月ほどかかりました。ご記憶の片隅に入れておいていただければと思います。
このようなトラブルを事前に退治して、気持ちよく構築や運用に力を注いでいただけるとよろしいのではないでしょうか。最後はいつもお世話になっていますということで、Qiitaさんやブログ等で経験を書かれているみなさまのおかげで、今ここでこういうお話もできています。
少し駆け足というか早口になってしまったんですが、閉めたいと思います。
ご清聴どうもありがとうございます。
(会場拍手)
関連タグ:
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05