Azure でのリソース アクセスについてUnderstanding resource access in Azure

Azure のアクセス制御では、最初に課金に注目します。Access control in Azure starts from a billing perspective. Azure アカウント センターがアクセスする Azure アカウントの所有者は、アカウント管理者 (AA) です。The owner of an Azure account, accessed by visiting the Azure Accounts Center, is the Account Administrator (AA). サブスクリプションは課金用のコンテナーですが、セキュリティの境界としても機能します。 各サブスクリプションはサービス管理者 (SA) を有し、SA はAzure Portal を使ってそのサブスクリプションの Azure リソースを追加、削除、変更することができます。Subscriptions are a container for billing, but they also act as a security boundary: each subscription has a Service Administrator (SA) who can add, remove, and modify Azure resources in that subscription by using the Azure portal. 新しいサブスクリプションの既定の SA は AA ですが、AA は Azure アカウント センターで SA を変更できます。The default SA of a new subscription is the AA, but the AA can change the SA in the Azure Accounts Center.

Azure アカウント

サブスクリプションは、ディレクトリとも関連付けられています。Subscriptions also have an association with a directory. ディレクトリでは、一連のユーザーを定義します。The directory defines a set of users. たとえば、ディレクトリを作成した職場や学校のユーザーや、外部ユーザー (つまり、Microsoft アカウント) として定義できます。These can be users from the work or school that created the directory or they can be external users (that is, Microsoft Accounts). サブスクリプションは、サービス管理者 (SA) または共同管理者 (CA) のいずれかとして割り当てられているディレクトリ ユーザーのサブセットからアクセス可能です。唯一の例外は、従来版との兼ね合いから、Microsoft アカウント (旧 Windows Live ID) はディレクトリに存在しなくても SA または CA として割り当てることができる、という点です 。Subscriptions are accessible by a subset of those directory users who have been assigned as either Service Administrator (SA) or Co-Administrator (CA); the only exception is that, for legacy reasons, Microsoft Accounts (formerly Windows Live ID) can be assigned as SA or CA without being present in the directory.

Azure でのアクセス制御

Azure クラシック ポータル内では、Microsoft アカウントを使用してサインインしている SA は、[設定][サブスクリプション] ページから [ディレクトリの編集] コマンドを使って、サブスクリプションと関連付けられているディレクトリを変更することができます。Functionality within the Azure classic portal enables SAs that are signed in using a Microsoft Account to change the directory that a subscription is associated with by using the Edit Directory command on the Subscriptions page in Settings. この操作が、サブスクリプションのアクセス制御に対して影響を及ぼすことに注意してください。Note that this operation has implications on the access control of that subscription.


Azure クラシック ポータルの [ディレクトリの編集] コマンドは、職場または学校アカウントを使用してサインインしたユーザーは利用できません。こうしたアカウントでは、自分が属しているディレクトリにしかサインインできないからです。The Edit Directory command in the Azure classic portal is not available to users who are signed in using a work or school account because those accounts can sign in only to the directory to which they belong.

簡単なユーザー ログイン フロー

簡単な例では、組織 (Contoso など) による課金とアクセス制御が、同じサブスクリプション セットに対して適用されます。In the simple case, an organization (such as Contoso) will enforce billing and access control across the same set of subscriptions. つまり、ディレクトリは、1 つの Azure アカウントが所有するサブスクリプションに関連付けられます。That is, the directory is associated to subscriptions that are owned by a single Azure Account. Azure クラシック ポータルに正常にログインすると、2 つのリソース コレクションが表示されます (前の図ではオレンジ色で表示)。Upon successful login to the Azure classic portal, users see two collections of resources (depicted in orange in the previous illustration):

  • ユーザー アカウントが存在しているディレクトリ (内部で提供、または外部プリンシパルとして追加)。Directories where their user account exists (sourced or added as a foreign principal). ログインに使用するディレクトリがこの計算に関連付けられないこと、したがって、ログインした場所にかかわりなくディレクトリは常に表示されることに注意してください。Note that the directory used for login isn’t relevant to this computation, so your directories will always be shown regardless of where you logged in.
  • ログインに使用されるディレクトリに関連付けられているサブスクリプションの一部であると同時に、ユーザー (ここでは SA または CA) がアクセスできるリソース。Resources that are part of subscriptions that are associated with the directory used for login AND which the user can access (where they are an SA or CA).


複数のディレクトリにまたがるサブスクリプションを使用しているユーザーは、サブスクリプション フィルターを使用して、Azure クラシック ポータルの現在のコンテキストを切り替えることができます。Users with subscriptions across multiple directories have the ability to switch the current context of the Azure classic portal by using the subscription filter. 内部的には、ディレクトリごとに異なるログインという結果になっていますが、この操作は、シングル サインオン (SSO) によってシームレスに実行されます。Under the covers, this results in a separate login to a different directory, but this is accomplished seamlessly using single sign-on (SSO).

サブスクリプションのディレクトリ ビューが 1 つであるため、複数のサブスクリプション間でリソースを移動する、といった操作はさらに難しくなる可能性があります。Operations such as moving resources between subscriptions can be more difficult as a result of this single directory view of subscriptions. リソースの転送を実行するには、まず最初に [設定] の [サブスクリプション] ページから [ディレクトリの編集] コマンドを使って、同じディレクトリにサブスクリプションを関連付けます。To perform the resource transfer, it may be necessary to first use the Edit Directory command on the Subscriptions page in Settings to associate the subscriptions to the same directory.

次のステップNext Steps