こんな利用ケースがあったとします。
Office 365を導入し、500ユーザーが利用する。
そのうち100ユーザーのみがAzure AD Premiumを契約し、条件付きアクセスでのアクセス制御を行う。
※ 「条件付きアクセス」は、Azure AD Premium P1もしくはP2にて利用できる機能で、例として適切なアクセス方法でのみ認証を許可する制御が行えます。
条件付きアクセスとは
https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/overview
しかし、ここで何も考えずにAzure AD Premiumを100ユーザーに割り当てて条件付きアクセスポリシーを設定して利用を開始すると、
実際のアクセス時にはライセンスを割り当てていないユーザーに対しても条件付きアクセスによる評価が行われます。
これは明確なライセンス契約違反になることがMicrosoftでも示されています。
>Q. 条件付きアクセスを利用するためには、Azure AD Premium のライセンス数を何個購入すればよいでしょうか?
>
>A. 条件付きアクセスの機能を利用してアプリケーションへのアクセス可否の評価が行われるユーザーに対して、Azure AD Premium (P1 以上) を割り当てる必要があります。現時点の実装では、Azure AD Premium ライセンスを割り当てていないユーザーであっても、ポリシーの対象であれば条件付きアクセス ポリシーの内容に従ってアクセス制限が行われますが、このような状態での利用はライセンス違反となります。
Azure AD の条件付きアクセスに関する Q&A
https://jpazureid.github.io/blog/azure-active-directory/qanda-conditional-access/
このようなことがあるため、一部のユーザーのみがAzure AD Premiumの機能の対象となるよう調整する必要があります。
導入の際には気を付けないといけませんね。
Azure AD Premiumは基本的に「組織内の全ユーザーがライセンスを持つ」ことが前提にデザインされているように見えますね。。。