こんにちは、富士榮です。
最近アクティビティが減っていますが分散型IDを含む諸々の活動は継続していますので時間をとって何かアウトプットしていかないとなぁ、と考えている今日この頃です。
ちょうどIgniteがあったのでAzure AD周りも色々と発表がありましたが、その中でもやっとか・・・というのがAzure ADのデータの置き場所問題です。
これまでAzure ADのデータは日本リージョンにテナントを作っても他の地域へレプリケーションされていましたが、今回のUpdateで日本データセンターに配置されることになりました。(今回の発表はAzure ADのみが対象でB2B/B2Cを含む各種サブセットについては対象外です。各コンポーネントごとのデータ配置は後述のサイトで確認できます)
公式Blog:「Announcing a New Azure AD, part of Microsoft Entra, region in Japan」
ざっくりいうと、
- 新規に日本リージョンに作ったテナントは日本データセンターに(対象コンポーネントはauthentication, core directory storage, and premium features storage)
- 以前に日本リージョンに作ったテナントのマイグレーションは今後の発表を待て
ということです。
なお、コンポーネント単位のデータ配置場所は「https://aka.ms/aaddatamap」で確認することができます。
「AAD Directory Data & Management」や「Authentication」など対象となっているサービスを選択すると「大阪、東京、埼玉(笑)」と出ます。
では、自分のテナントのデータの配置場所がどこになっているのか?はどうやって確認するのかですが、2つ方法があります。
一つ目は単純にポータルからディレクトリのプロパティを見る方法です。
■10月に新しく作ったテナント
リージョン(国または地域):Japan
データの場所:Japan datacenters
■昔作ったテナント
国または地域(リージョン):Japan
データの場所:Asia, United States, Europe datacenters
※余談ですが何年か前に古巣バハレーンに作ったテナントのデータの場所はEUになってました。
もう一つの方法はアクセストークンの中のClaimを見る方法です。
アプリケーションでリージョンを絞りたい場合などはこちらを使うことができそうです。
こちらが日本データセンターにデータがあるテナントのアクセストークンをjwt.ioでデコードしたものです。
tenant_region_scopeというClaimに"JPR"という値が入っています。
それに対してこちらが古いテナント(まだ海外にデータがレプリケーションされている)のものです。
自治体とか金融機関とか医療関係などデータの置き場所に縛りのあるシナリオではこの辺りをうまく活用していくと良いでしょう。