Azure管理者とオンプレのAD管理者が異なる場合の注意点 / コマンド実行の話

皆さんの組織はAzureの管理者とオンプレのADの管理者は同じでしょうか？別でしょうか？比較的小規模な組織であれば同じだと思いますが、組織の規模が大きくなってくると役割分担がなされて組織も別になることが多いかと思います。

AzureとオンプレのADだとディレクトリの同期でもしていなければ無関係では？という疑問もあるかと思います。それは確かにそうです。

ですが、無償で簡単にAzure Arc Enabled Serverを使ってオンプレのVMや物理サーバーの管理をAzureから行える時代になってきましたので組織のルールとして「作成されたVMはすべからくAzure ArcでAzureに接続して一定のポリシーを適用する」というような組織も増えてきたと思います。

この時、自然にロール管理をしていると、セキュリティ的にまずいことになる可能性があります。