ロールのアクセス許可とセキュリティの管理Manage role permissions and security

Azure のリソースに対するアクセスは、Azure ロールベースのアクセス制御 (Azure RBAC) で管理できます。Azure role-based access control (Azure RBAC) enables access management for Azure resources. Azure RBAC を使用して、チーム内の職務を分離し、それぞれの職務に必要なアクセス権のみをユーザー、グループ、アプリケーションに付与することができます。Using Azure RBAC, you can segregate duties within your team and grant only the amount of access to users, groups, and applications that they need to perform their jobs. Azure portal、Azure コマンドライン ツール、Azure Management API を使用して、ロールベースのアクセス権をユーザーに付与できます。You can grant role-based access to users using the Azure portal, Azure Command-Line tools, or Azure Management APIs.

Automation アカウントのロールRoles in Automation accounts

Azure Automation でアクセス権を付与するには、Automation アカウント スコープのユーザー、グループ、アプリケーションに適切な Azure ロールを割り当てます。In Azure Automation, access is granted by assigning the appropriate Azure role to users, groups, and applications at the Automation account scope. Automation アカウントでは次の組み込みロールがサポートされています。Following are the built-in roles supported by an Automation account:

ロールRole 説明Description
所有者Owner Automation アカウント内のすべてのリソースおよびアクションへのアクセスは、所有者ロールによって許可されます。Automation アカウントを管理するためのアクセス権を他のユーザー、グループ、アプリケーションに付与することもできます。The Owner role allows access to all resources and actions within an Automation account including providing access to other users, groups, and applications to manage the Automation account.
ContributorContributor Automation アカウントに対する他のユーザーのアクセス許可に変更を加えることを除くすべての作業は共同作成者ロールで行うことができます。The Contributor role allows you to manage everything except modifying other user’s access permissions to an Automation account.
ReaderReader 閲覧者ロールでは、Automation アカウントのすべてのリソースを表示できますが、それらに変更を加えることはできません。The Reader role allows you to view all the resources in an Automation account but cannot make any changes.
Automation OperatorAutomation Operator Automation オペレーター ロールでは、Runbook の名前とプロパティの表示、Automation アカウント内のすべての Runbook のジョブの作成と管理を実行できます。The Automation Operator role allows you to view runbook name and properties and to create and manage jobs for all runbooks in an Automation account. ご利用の Automation アカウントのリソース (資格情報アセットや Runbook など) を閲覧したり改変したりできないよう保護したうえで、同じ組織のメンバーにのみ、それらの Runbook の実行を許可する必要がある場合、このロールを活用できます。This role is helpful if you want to protect your Automation account resources like credentials assets and runbooks from being viewed or modified but still allow members of your organization to execute these runbooks.
Automation ジョブ オペレーターAutomation Job Operator Automation ジョブ オペレーター ロールでは、Automation アカウント内のすべての Runbook のジョブの作成と管理を実行できます。The Automation Job Operator role allows you to create and manage jobs for all runbooks in an Automation account.
Automation Runbook オペレーターAutomation Runbook Operator Automation Runbook オペレーター ロールでは、Runbook の名前とプロパティを表示できます。The Automation Runbook Operator role allows you to view a runbook’s name and properties.
Log Analytics 共同作成者Log Analytics Contributor Log Analytics 共同作成者ロールでは、すべての監視データを読み取り、監視設定を編集できます。The Log Analytics Contributor role allows you to read all monitoring data and edit monitoring settings. 監視設定の編集には、VM 拡張機能の VM への追加、Azure Storage からログの収集を設定できるようにするためのストレージ アカウント キーの読み取り、Automation アカウントの作成と構成、Azure Automation 機能の追加、すべての Azure リソースでの Azure Diagnostics の構成が含まれます。Editing monitoring settings includes adding the VM extension to VMs, reading storage account keys to be able to configure collection of logs from Azure storage, creating and configuring Automation accounts, adding Azure Automation features, and configuring Azure diagnostics on all Azure resources.
Log Analytics 閲覧者Log Analytics Reader Log Analytics 閲覧者ロールでは、すべての監視データの表示と検索、および監視設定の表示を行うことができます。The Log Analytics Reader role allows you to view and search all monitoring data as well as view monitoring settings. これには、すべての Azure リソースに対する Azure Diagnostics の構成の表示が含まれます。This includes viewing the configuration of Azure diagnostics on all Azure resources.
Monitoring ContributorMonitoring Contributor 共同作成者の監視ロールでは、すべての監視データを読み取り、監視設定を更新できます。The Monitoring Contributor role allows you to read all monitoring data and update monitoring settings.
Monitoring ReaderMonitoring Reader 閲覧者の監視ロールでは、すべての監視データを読み取ることができます。The Monitoring Reader role allows you to read all monitoring data.
User Access AdministratorUser Access Administrator Azure Automation アカウントに対するユーザー アクセスは、ユーザー アクセスの管理者ロールで管理できます。The User Access Administrator role allows you to manage user access to Azure Automation accounts.

ロールのアクセス許可Role permissions

以降の表は、各ロールに割り当てられている具体的なアクセス許可の説明です。The following tables describe the specific permissions given to each role. アクセス許可を与える Actions のほか、それらを制限する NotActions が含まれている場合があります。This can include Actions, which give permissions, and NotActions, which restrict them.

所有者Owner

所有者は、アクセス権を含めすべてを管理できます。An Owner can manage everything, including access. 次の表は、このロールに付与されるアクセス許可を示しています。The following table shows the permissions granted for the role:

ActionsActions 説明Description
Microsoft.Automation/automationAccounts/Microsoft.Automation/automationAccounts/ あらゆる種類のリソースの作成と管理。Create and manage resources of all types.

ContributorContributor

共同作業者は、アクセス権以外のすべてを管理できます。A Contributor can manage everything except access. 次の表は、このロールに付与および否認されるアクセス許可を示しています。The following table shows the permissions granted and denied for the role:

アクションActions 説明Description
Microsoft.Automation/automationAccounts/Microsoft.Automation/automationAccounts/ あらゆる種類のリソースの作成と管理Create and manage resources of all types
否認されるアクションNot Actions
Microsoft.Authorization/*/DeleteMicrosoft.Authorization/*/Delete ロールとロール割り当ての削除。Delete roles and role assignments.
Microsoft.Authorization/*/WriteMicrosoft.Authorization/*/Write ロールとロール割り当ての作成。Create roles and role assignments.
Microsoft.Authorization/elevateAccess/ActionMicrosoft.Authorization/elevateAccess/Action ユーザー アクセス管理者を作成する機能の拒否。Denies the ability to create a User Access Administrator.

ReaderReader

閲覧者は、Automation アカウントのすべてのリソースを表示できますが、それらに変更を加えることはできません。A Reader can view all the resources in an Automation account but cannot make any changes.

アクションActions 説明Description
Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read Automation アカウントのすべてのリソースの表示。View all resources in an Automation account.

Automation OperatorAutomation Operator

Automation オペレーターは、ジョブの作成と管理、Automation アカウント内のすべての Runbook の名前とプロパティの読み取りを実行できます。An Automation Operator is able to create and manage jobs, and read runbook names and properties for all runbooks in an Automation account.

注意

個々の Runbook へのオペレーターのアクセスを制御する場合は、このロールを設定しないでください。If you want to control operator access to individual runbooks then don’t set this role. 代わりに、Automation ジョブ オペレーター ロールと Automation Runbook オペレーター ロールを組み合わせて使用します。Instead use the Automation Job Operator and Automation Runbook Operator roles in combination.

次の表は、このロールに付与されるアクセス許可を示しています。The following table shows the permissions granted for the role:

アクションActions 説明Description
Microsoft.Authorization/*/readMicrosoft.Authorization/*/read 承認の読み取り。Read authorization.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/readMicrosoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Hybrid Runbook Worker リソースを読み取ります。Read Hybrid Runbook Worker Resources.
Microsoft.Automation/automationAccounts/jobs/readMicrosoft.Automation/automationAccounts/jobs/read Runbook のジョブの一覧表示。List jobs of the runbook.
Microsoft.Automation/automationAccounts/jobs/resume/actionMicrosoft.Automation/automationAccounts/jobs/resume/action 一時停止されているジョブの再開。Resume a job that is paused.
Microsoft.Automation/automationAccounts/jobs/stop/actionMicrosoft.Automation/automationAccounts/jobs/stop/action 進行中のジョブの取り消し。Cancel a job in progress.
Microsoft.Automation/automationAccounts/jobs/streams/readMicrosoft.Automation/automationAccounts/jobs/streams/read ジョブ ストリームと出力の読み取り。Read the Job Streams and Output.
Microsoft.Automation/automationAccounts/jobs/output/readMicrosoft.Automation/automationAccounts/jobs/output/read ジョブの出力を取得します。Get the Output of a job.
Microsoft.Automation/automationAccounts/jobs/suspend/actionMicrosoft.Automation/automationAccounts/jobs/suspend/action 進行中のジョブの一時停止。Pause a job in progress.
Microsoft.Automation/automationAccounts/jobs/writeMicrosoft.Automation/automationAccounts/jobs/write ジョブの作成。Create jobs.
Microsoft.Automation/automationAccounts/jobSchedules/readMicrosoft.Automation/automationAccounts/jobSchedules/read Azure Automation ジョブ スケジュールを取得します。Get an Azure Automation job schedule.
Microsoft.Automation/automationAccounts/jobSchedules/writeMicrosoft.Automation/automationAccounts/jobSchedules/write Azure Automation ジョブ スケジュールを作成します。Create an Azure Automation job schedule.
Microsoft.Automation/automationAccounts/linkedWorkspace/readMicrosoft.Automation/automationAccounts/linkedWorkspace/read Automation アカウントにリンクされているワークスペースを取得します。Get the workspace linked to the Automation account.
Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read Azure Automation アカウントを取得します。Get an Azure Automation account.
Microsoft.Automation/automationAccounts/runbooks/readMicrosoft.Automation/automationAccounts/runbooks/read Azure Automation Runbook を取得します。Get an Azure Automation runbook.
Microsoft.Automation/automationAccounts/schedules/readMicrosoft.Automation/automationAccounts/schedules/read Azure Automation スケジュール資産を取得します。Get an Azure Automation schedule asset.
Microsoft.Automation/automationAccounts/schedules/writeMicrosoft.Automation/automationAccounts/schedules/write Azure Automation スケジュール資産を作成または更新します。Create or update an Azure Automation schedule asset.
Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/read ロールとロール割り当ての読み取り。Read roles and role assignments.
Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* リソース グループ デプロイの作成と管理。Create and manage resource group deployments.
Microsoft.Insights/alertRules/*Microsoft.Insights/alertRules/* アラート ルールの作成と管理。Create and manage alert rules.
Microsoft.Support/*Microsoft.Support/* サポート チケットの作成と管理。Create and manage support tickets.

Automation ジョブ オペレーターAutomation Job Operator

Automation ジョブ オペレーター ロールは、Automation アカウントのスコープで付与されます。An Automation Job Operator role is granted at the Automation account scope. これにより、アカウント内のすべての Runbook に対してジョブの作成と管理を行うためのアクセス許可がオペレーターに与えられます。 This allows the operator permissions to create and manage jobs for all runbooks in the account. ジョブ オペレーター ロールに Automation アカウントを含むリソース グループに対する読み取りアクセス許可が付与されている場合、そのロールのメンバーは Runbook を開始できます。If the Job Operator role is granted read permissions on the resource group containing the Automation account, members of the role have the ability to start runbooks. ただし、それらを作成、編集、または削除することはできません。However, they do not have the ability to create, edit, or delete them.

次の表は、このロールに付与されるアクセス許可を示しています。The following table shows the permissions granted for the role:

アクションActions 説明Description
Microsoft.Authorization/*/readMicrosoft.Authorization/*/read 承認の読み取り。Read authorization.
Microsoft.Automation/automationAccounts/jobs/readMicrosoft.Automation/automationAccounts/jobs/read Runbook のジョブの一覧表示。List jobs of the runbook.
Microsoft.Automation/automationAccounts/jobs/resume/actionMicrosoft.Automation/automationAccounts/jobs/resume/action 一時停止されているジョブの再開。Resume a job that is paused.
Microsoft.Automation/automationAccounts/jobs/stop/actionMicrosoft.Automation/automationAccounts/jobs/stop/action 進行中のジョブの取り消し。Cancel a job in progress.
Microsoft.Automation/automationAccounts/jobs/streams/readMicrosoft.Automation/automationAccounts/jobs/streams/read ジョブ ストリームと出力の読み取り。Read the Job Streams and Output.
Microsoft.Automation/automationAccounts/jobs/suspend/actionMicrosoft.Automation/automationAccounts/jobs/suspend/action 進行中のジョブの一時停止。Pause a job in progress.
Microsoft.Automation/automationAccounts/jobs/writeMicrosoft.Automation/automationAccounts/jobs/write ジョブの作成。Create jobs.
Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/read ロールとロール割り当ての読み取り。Read roles and role assignments.
Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* リソース グループ デプロイの作成と管理。Create and manage resource group deployments.
Microsoft.Insights/alertRules/*Microsoft.Insights/alertRules/* アラート ルールの作成と管理。Create and manage alert rules.
Microsoft.Support/*Microsoft.Support/* サポート チケットの作成と管理。Create and manage support tickets.

Automation Runbook オペレーターAutomation Runbook Operator

Automation Runbook オペレーター ロールは、Runbook のスコープで付与されます。An Automation Runbook Operator role is granted at the Runbook scope. Automation Runbook オペレーターは、Runbook の名前とプロパティを表示できます。An Automation Runbook Operator can view the runbook's name and properties. このロールと *Automation ジョブ オペレーター* ロールを組み合わせると、オペレーターは、Runbook に対するジョブの作成と管理も実行できます。 This role combined with the *Automation Job Operator* role enables the operator to also create and manage jobs for the runbook. 次の表は、このロールに付与されるアクセス許可を示しています。The following table shows the permissions granted for the role:

アクションActions 説明Description
Microsoft.Automation/automationAccounts/runbooks/readMicrosoft.Automation/automationAccounts/runbooks/read Runbook の一覧表示。List the runbooks.
Microsoft.Authorization/*/readMicrosoft.Authorization/*/read 承認の読み取り。Read authorization.
Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/read ロールとロール割り当ての読み取り。Read roles and role assignments.
Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* リソース グループ デプロイの作成と管理。Create and manage resource group deployments.
Microsoft.Insights/alertRules/*Microsoft.Insights/alertRules/* アラート ルールの作成と管理。Create and manage alert rules.
Microsoft.Support/*Microsoft.Support/* サポート チケットの作成と管理。Create and manage support tickets.

Log Analytics 共同作成者Log Analytics Contributor

Log Analytics 共同作成者は、すべての監視データを読み取り、監視設定を編集できます。A Log Analytics Contributor can read all monitoring data and edit monitoring settings. 監視設定の編集には、VM 拡張機能の VM への追加、Azure Storage からログの収集を設定できるようにするためのストレージ アカウント キーの読み取り、Automation アカウントの作成と構成、機能の追加、すべての Azure リソースでの Azure Diagnostics の構成が含まれます。Editing monitoring settings includes adding the VM extension to VMs; reading storage account keys to be able to configure collection of logs from Azure Storage; creating and configuring Automation accounts; adding features; and configuring Azure diagnostics on all Azure resources. 次の表は、このロールに付与されるアクセス許可を示しています。The following table shows the permissions granted for the role:

アクションActions 説明Description
*/read*/read 機密データを除くあらゆる種類のリソースの読み取りRead resources of all types, except secrets.
Microsoft.Automation/automationAccounts/*Microsoft.Automation/automationAccounts/* Automation アカウントの管理。Manage Automation accounts.
Microsoft.ClassicCompute/virtualMachines/extensions/*Microsoft.ClassicCompute/virtualMachines/extensions/* 仮想マシン拡張機能の作成と管理。Create and manage virtual machine extensions.
Microsoft.ClassicStorage/storageAccounts/listKeys/actionMicrosoft.ClassicStorage/storageAccounts/listKeys/action 従来のストレージ アカウントの一覧表示。List classic storage account keys.
Microsoft.Compute/virtualMachines/extensions/*Microsoft.Compute/virtualMachines/extensions/* 従来の仮想マシン拡張機能の作成と管理。Create and manage classic virtual machine extensions.
Microsoft.Insights/alertRules/*Microsoft.Insights/alertRules/* アラート ルールの読み取り/書き込み/削除を実行します。Read/write/delete alert rules.
Microsoft.Insights/diagnosticSettings/*Microsoft.Insights/diagnosticSettings/* 診断設定の読み取り/書き込み/削除を実行します。Read/write/delete diagnostic settings.
Microsoft.OperationalInsights/*Microsoft.OperationalInsights/* Azure Monitor ログの管理。Manage Azure Monitor logs.
Microsoft.OperationsManagement/*Microsoft.OperationsManagement/* ワークスペースでの Azure Automation 機能の管理。Manage Azure Automation features in workspaces.
Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* リソース グループ デプロイの作成と管理。Create and manage resource group deployments.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*Microsoft.Resources/subscriptions/resourcegroups/deployments/* リソース グループ デプロイの作成と管理。Create and manage resource group deployments.
Microsoft.Storage/storageAccounts/listKeys/actionMicrosoft.Storage/storageAccounts/listKeys/action ストレージ アカウント キーの一覧表示。List storage account keys.
Microsoft.Support/*Microsoft.Support/* サポート チケットの作成と管理。Create and manage support tickets.

Log Analytics 閲覧者Log Analytics Reader

Log Analytics 閲覧者は、すべての監視データの表示と検索、およびすべての Azure リソース上の Azure Diagnostics 構成の表示など、監視設定の表示を行うことができます。A Log Analytics Reader can view and search all monitoring data as well as and view monitoring settings, including viewing the configuration of Azure diagnostics on all Azure resources. 次の表は、このロールに付与または否認されるアクセス許可を示しています。The following table shows the permissions granted or denied for the role:

アクションActions 説明Description
*/read*/read 機密データを除くあらゆる種類のリソースの読み取りRead resources of all types, except secrets.
Microsoft.OperationalInsights/workspaces/analytics/query/actionMicrosoft.OperationalInsights/workspaces/analytics/query/action Azure Monitor ログのクエリの管理。Manage queries in Azure Monitor logs.
Microsoft.OperationalInsights/workspaces/search/actionMicrosoft.OperationalInsights/workspaces/search/action Azure Monitor ログのデータの検索。Search Azure Monitor log data.
Microsoft.Support/*Microsoft.Support/* サポート チケットの作成と管理。Create and manage support tickets.
否認されるアクションNot Actions
Microsoft.OperationalInsights/workspaces/sharedKeys/readMicrosoft.OperationalInsights/workspaces/sharedKeys/read 共有アクセス キーを読み取ることはできません。Not able to read the shared access keys.

Monitoring ContributorMonitoring Contributor

"共同作成者の監視" は、すべての監視データを読み取り、監視設定を更新できます。A Monitoring Contributor can read all monitoring data and update monitoring settings. 次の表は、このロールに付与されるアクセス許可を示しています。The following table shows the permissions granted for the role:

アクションActions 説明Description
*/read*/read 機密データを除くあらゆる種類のリソースの読み取りRead resources of all types, except secrets.
Microsoft.AlertsManagement/alerts/*Microsoft.AlertsManagement/alerts/* アラートの管理。Manage Alerts.
Microsoft.AlertsManagement/alertsSummary/*Microsoft.AlertsManagement/alertsSummary/* アラート ダッシュボードの管理。Manage the Alert dashboard.
Microsoft.Insights/AlertRules/*Microsoft.Insights/AlertRules/* アラート ルールの管理。Manage alert rules.
Microsoft.Insights/components/*Microsoft.Insights/components/* Application Insights コンポーネントの管理。Manage Application Insights components.
Microsoft.Insights/DiagnosticSettings/*Microsoft.Insights/DiagnosticSettings/* 診断設定の管理。Manage diagnostic settings.
Microsoft.Insights/eventtypes/*Microsoft.Insights/eventtypes/* サブスクリプションのアクティビティ ログのイベント (管理イベント) を一覧表示します。List Activity Log events (management events) in a subscription. このアクセス許可は、アクティビティ ログへのプログラムによるアクセスとポータル アクセスの両方に適用されます。This permission is applicable to both programmatic and portal access to the Activity Log.
Microsoft.Insights/LogDefinitions/*Microsoft.Insights/LogDefinitions/* このアクセス許可は、ポータルを使用してアクティビティ ログにアクセスする必要があるユーザーに必要です。This permission is necessary for users who need access to Activity Logs via the portal. アクティビティ ログのログのカテゴリを一覧表示します。List log categories in Activity Log.
Microsoft.Insights/MetricDefinitions/*Microsoft.Insights/MetricDefinitions/* メトリック定義 (リソースの使用可能なメトリックの種類の一覧) を読み取ります。Read metric definitions (list of available metric types for a resource).
Microsoft.Insights/Metrics/*Microsoft.Insights/Metrics/* リソースのメトリックを読み取ります。Read metrics for a resource.
Microsoft.Insights/Register/ActionMicrosoft.Insights/Register/Action Microsoft Insights プロバイダーを登録します。Register the Microsoft.Insights provider.
Microsoft.Insights/webtests/*Microsoft.Insights/webtests/* Application Insights の Web テストの管理。Manage Application Insights web tests.
Microsoft.OperationalInsights/workspaces/intelligencepacks/*Microsoft.OperationalInsights/workspaces/intelligencepacks/* Azure Monitor ログのソリューション パックの管理。Manage Azure Monitor logs solution packs.
Microsoft.OperationalInsights/workspaces/savedSearches/*Microsoft.OperationalInsights/workspaces/savedSearches/* Azure Monitor ログの保存した検索条件の管理。Manage Azure Monitor logs saved searches.
Microsoft.OperationalInsights/workspaces/search/actionMicrosoft.OperationalInsights/workspaces/search/action Log Analytics ワークスペースを検索します。Search Log Analytics workspaces.
Microsoft.OperationalInsights/workspaces/sharedKeys/actionMicrosoft.OperationalInsights/workspaces/sharedKeys/action Log Analytics ワークスペースのキーを一覧表示します。List keys for a Log Analytics workspace.
Microsoft.OperationalInsights/workspaces/storageinsightconfigs/*Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* Azure Monitor ログのストレージ分析情報構成の管理。Manage Azure Monitor logs storage insight configurations.
Microsoft.Support/*Microsoft.Support/* サポート チケットの作成と管理。Create and manage support tickets.
Microsoft.WorkloadMonitor/workloads/*Microsoft.WorkloadMonitor/workloads/* ワークロードの管理。Manage Workloads.

Monitoring ReaderMonitoring Reader

"閲覧者の監視" は、すべての監視データを読み取ることができます。A Monitoring Reader can read all monitoring data. 次の表は、このロールに付与されるアクセス許可を示しています。The following table shows the permissions granted for the role:

アクションActions 説明Description
*/read*/read 機密データを除くあらゆる種類のリソースの読み取りRead resources of all types, except secrets.
Microsoft.OperationalInsights/workspaces/search/actionMicrosoft.OperationalInsights/workspaces/search/action Log Analytics ワークスペースを検索します。Search Log Analytics workspaces.
Microsoft.Support/*Microsoft.Support/* サポート チケットの作成と管理Create and manage support tickets

User Access AdministratorUser Access Administrator

ユーザー アクセス管理者は、Azure リソースへのユーザー アクセスを管理できます。A User Access Administrator can manage user access to Azure resources. 次の表は、このロールに付与されるアクセス許可を示しています。The following table shows the permissions granted for the role:

アクションActions 説明Description
*/read*/read すべてのリソースの読み取りRead all resources
Microsoft.Authorization/*Microsoft.Authorization/* 承認の管理Manage authorization
Microsoft.Support/*Microsoft.Support/* サポート チケットの作成と管理Create and manage support tickets

機能のセットアップのアクセス許可Feature setup permissions

以降のセクションでは、Update Management および変更履歴とインベントリの機能を有効にするうえで最低限必要なアクセス許可について説明します。The following sections describe the minimum required permissions needed for enabling the Update Management and Change Tracking and Inventory features.

VM から Update Management および変更履歴とインベントリを有効にするためのアクセス許可Permissions for enabling Update Management and Change Tracking and Inventory from a VM

操作Action 権限Permission 最小スコープMinimum scope
新しいデプロイを記述するWrite new deployment Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* サブスクリプションSubscription
新しいリソース グループを記述するWrite new resource group Microsoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Resources/subscriptions/resourceGroups/write サブスクリプションSubscription
新しい既定のワークスペースを作成するCreate new default Workspace Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Resource groupResource group
新しいアカウントを作成するCreate new Account Microsoft.Automation/automationAccounts/writeMicrosoft.Automation/automationAccounts/write Resource groupResource group
ワークスペースとアカウントをリンクするLink workspace and account Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write
Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read
ワークスペースWorkspace
Automation アカウントAutomation account
MMA 拡張機能を作成するCreate MMA extension Microsoft.Compute/virtualMachines/writeMicrosoft.Compute/virtualMachines/write 仮想マシンVirtual Machine
保存した検索条件を作成するCreate saved search Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write ワークスペースWorkspace
スコープ構成を作成するCreate scope config Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write ワークスペースWorkspace
オンボード状態の確認 - ワークスペースを読み取るOnboarding state check - Read workspace Microsoft.OperationalInsights/workspaces/readMicrosoft.OperationalInsights/workspaces/read ワークスペースWorkspace
オンボード状態の確認 - アカウントのリンクされたワークスペースのプロパティを読み取るOnboarding state check - Read linked workspace property of account Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read Automation アカウントAutomation account
オンボード状態の確認 - ソリューションを読み取るOnboarding state check - Read solution Microsoft.OperationalInsights/workspaces/intelligencepacks/readMicrosoft.OperationalInsights/workspaces/intelligencepacks/read 解決策Solution
オンボード状態の確認 - VM を読み取るOnboarding state check - Read VM Microsoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachines/read 仮想マシンVirtual Machine
オンボード状態の確認 - アカウントを読み取るOnboarding state check - Read account Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read Automation アカウントAutomation account
VM のオンボード ワークスペース確認1Onboarding workspace check for VM1 Microsoft.OperationalInsights/workspaces/readMicrosoft.OperationalInsights/workspaces/read サブスクリプションSubscription
Log Analytics プロバイダーの登録Register the Log Analytics provider Microsoft.Insights/register/actionMicrosoft.Insights/register/action サブスクリプションSubscription

1 VM ポータルのエクスペリエンスで機能を有効にするには、このアクセス許可が必要です。1 This permission is needed to enable features through the VM portal experience.

Automation アカウントから Update Management および変更履歴とインベントリを有効にするためのアクセス許可Permissions for enabling Update Management and Change Tracking and Inventory from an Automation account

操作Action 権限Permission 最小スコープMinimum Scope
新しいデプロイを作成するCreate new deployment Microsoft.Resources/deployments/*Microsoft.Resources/deployments/* サブスクリプションSubscription
新しいリソース グループの作成Create new resource group Microsoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Resources/subscriptions/resourceGroups/write サブスクリプションSubscription
AutomationOnboarding ブレード - 新しいワークスペースを作成するAutomationOnboarding blade - Create new workspace Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write Resource groupResource group
AutomationOnboarding ブレード - リンクされたワークスペースを読み取るAutomationOnboarding blade - read linked workspace Microsoft.Automation/automationAccounts/readMicrosoft.Automation/automationAccounts/read Automation アカウントAutomation account
AutomationOnboarding ブレード - ソリューションを読み取るAutomationOnboarding blade - read solution Microsoft.OperationalInsights/workspaces/intelligencepacks/readMicrosoft.OperationalInsights/workspaces/intelligencepacks/read 解決策Solution
AutomationOnboarding ブレード - ワークスペースを読み取るAutomationOnboarding blade - read workspace Microsoft.OperationalInsights/workspaces/intelligencepacks/readMicrosoft.OperationalInsights/workspaces/intelligencepacks/read ワークスペースWorkspace
ワークスペースとアカウントのリンクを作成するCreate link for workspace and Account Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write ワークスペースWorkspace
Shoebox のアカウントを記述するWrite account for shoebox Microsoft.Automation/automationAccounts/writeMicrosoft.Automation/automationAccounts/write AccountAccount
保存した検索条件を作成および編集するCreate/edit saved search Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write ワークスペースWorkspace
スコープ構成を作成および編集するCreate/edit scope config Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write ワークスペースWorkspace
Log Analytics プロバイダーの登録Register the Log Analytics provider Microsoft.Insights/register/actionMicrosoft.Insights/register/action サブスクリプションSubscription
手順 2 - 複数の VM を有効にするStep 2 - Enable Multiple VMs
VMOnboarding ブレード - MMA 拡張機能を作成するVMOnboarding blade - Create MMA extension Microsoft.Compute/virtualMachines/writeMicrosoft.Compute/virtualMachines/write 仮想マシンVirtual Machine
保存した検索条件を作成および編集するCreate / edit saved search Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write ワークスペースWorkspace
スコープ構成を作成および編集するCreate / edit scope config Microsoft.OperationalInsights/workspaces/writeMicrosoft.OperationalInsights/workspaces/write ワークスペースWorkspace

更新管理のアクセス許可Update management permissions

更新管理は、複数のサービスにまたがってサービスを提供します。Update management reaches across multiple services to provide its service. 更新管理デプロイを管理するために必要なアクセス許可を次の表に示します。The following table shows the permissions needed to manage update management deployments:

リソースResource ロールRole スコープScope
Automation アカウントAutomation account Log Analytics 共同作成者Log Analytics Contributor Automation アカウントAutomation account
Automation アカウントAutomation account Virtual Machine ContributorVirtual Machine Contributor アカウントのリソース グループResource Group for the account
Log Analytics ワークスペースLog Analytics workspace Log Analytics 共同作成者Log Analytics Contributor Log Analytics ワークスペースLog Analytics workspace
Log Analytics ワークスペースLog Analytics workspace Log Analytics 閲覧者Log Analytics Reader サブスクリプションSubscription
解決策Solution Log Analytics 共同作成者Log Analytics Contributor 解決策Solution
仮想マシンVirtual Machine Virtual Machine ContributorVirtual Machine Contributor 仮想マシンVirtual Machine

Automation アカウントの Azure RBAC を構成するConfigure Azure RBAC for your Automation account

次のセクションでは、Azure portalPowerShell を使用してご利用の Automation アカウントの Azure RBAC を構成する方法について説明します。The following section shows you how to configure Azure RBAC on your Automation account through the Azure portal and PowerShell.

Azure Portal を使用した Azure RBAC の構成Configure Azure RBAC using the Azure portal

  1. Azure Portal にログインし、[Automation アカウント] ページから、ご利用の Automation アカウントを開きます。Log in to the Azure portal and open your Automation account from the Automation Accounts page.

  2. アクセス制御 (IAM) をクリックし、[アクセス制御 (IAM)] ページを開きます。Click on Access control (IAM) to open the Access control (IAM) page. このページを使用すると、ご利用の Automation アカウントを管理するための新しいユーザー、グループ、アプリケーションを追加できるほか、その Automation アカウント用に構成できる既存のロールを確認できます。You can use this page to add new users, groups, and applications to manage your Automation account and view existing roles that are configurable for the Automation account.

  3. [ロールの割り当て] タブをクリックします。Click the Role assignments tab.

    Access button

新しいユーザーの追加とロールの割り当てAdd a new user and assign a role

  1. [アクセス制御 (IAM)] ページで、 [+ ロールの割り当ての追加] をクリックします。From the Access control (IAM) page, click + Add role assignment. この操作により、[ロールの割り当ての追加] ページが開きます。そこでは、ユーザー、グループ、またはアプリケーションを追加し、対応するロールを割り当てることができます。This action opens the Add role assignment page where you can add a user, group, or application, and assign a corresponding role.

  2. 利用可能なロールの一覧からロールを選択します。Select a role from the list of available roles. Automation アカウントでサポートされている任意の組み込みロールを選択してもかまいません。また、自分で定義したカスタム ロールを選択することもできます。You can choose any of the available built-in roles that an Automation account supports or any custom role you may have defined.

  3. アクセス許可を付与するユーザーの名前を [選択] フィールドに入力します。Type the name of the user that you want to give permissions to in the Select field. 一覧からユーザーを選択し、 [保存] をクリックします。Choose the user from the list and click Save.

    Add users

    ここで、そのユーザーが [ユーザー] ページに追加され、選択したロールが割り当てられていることを確認する必要があります。Now you should see the user added to the Users page, with the selected role assigned.

    List users

    [ロール] ページから、ユーザーにロールを割り当てることもできます。You can also assign a role to the user from the Roles page.

  4. [アクセス制御 (IAM)] ページから [ロール] をクリックして [ロール] ページを開きます。Click Roles from the Access control (IAM) page to open the Roles page. ロールの名前と、そのロールに割り当てられているユーザー数およびグループ数を確認できます。You can view the name of the role and the number of users and groups assigned to that role.

    [ユーザー] ページからのロールの割り当て

    注意

    ロールベースのアクセス制御は、Automation アカウント スコープでのみ設定でき、Automation アカウントより下のリソースで設定することはできません。You can only set role-based access control at the Automation account scope and not at any resource below the Automation account.

ユーザーの削除Remove a user

Automation アカウントの管理に関与しないユーザーや既に退社したユーザーについては、アクセス権を削除することができます。You can remove the access permission for a user who is not managing the Automation account, or who no longer works for the organization. ユーザーを削除する手順を次に示します。Following are the steps to remove a user:

  1. [アクセス制御 (IAM)] ページで、削除するユーザーを選択し、 [削除] をクリックします。From the Access control (IAM) page, select the user to remove and click Remove.

  2. 割り当ての詳細ウィンドウで、 [削除] ボタンをクリックします。Click the Remove button in the assignment details pane.

  3. [はい] をクリックして削除を確定します。Click Yes to confirm removal.

    Remove users

PowerShell を使用した Azure RBAC の構成Configure Azure RBAC using PowerShell

Automation アカウントに対するロールベースのアクセスは、次の Azure PowerShell コマンドレットを使用して構成することもできます。You can also configure role-based access to an Automation account using the following Azure PowerShell cmdlets:

Get-AzRoleDefinition を使用すると、Azure Active Directory で利用できるすべての Azure ロールの一覧が表示されます。Get-AzRoleDefinition lists all Azure roles that are available in Azure Active Directory. このコマンドレットを Name パラメーターと共に使用すると、特定のロールで実行できるすべての操作を一覧表示できます。You can use this cmdlet with the Name parameter to list all the actions that a specific role can perform.

Get-AzRoleDefinition -Name 'Automation Operator'

出力の例を次に示します。The following is the example output:

Name             : Automation Operator
Id               : d3881f73-407a-4167-8283-e981cbba0404
IsCustom         : False
Description      : Automation Operators are able to start, stop, suspend, and resume jobs
Actions          : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
                   Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions       : {}
AssignableScopes : {/}

Get-AzRoleAssignment を使用すると、特定のスコープにおける Azure ロールの割り当ての一覧が表示されます。Get-AzRoleAssignment lists Azure role assignments at the specified scope. このコマンドレットにパラメーターを指定しなかった場合、対象サブスクリプションで行われたすべてのロールの割り当てが返されます。Without any parameters, this cmdlet returns all the role assignments made under the subscription. 指定したユーザーと、そのユーザーが属するグループへのアクセス権の割り当てを一覧表示するには、ExpandPrincipalGroups パラメーターを使用します。Use the ExpandPrincipalGroups parameter to list access assignments for the specified user, as well as the groups that the user belongs to.

例: Automation アカウント内のすべてのユーザーとそのロールを一覧表示するには、次のコマンドレットを使用します。Example: Use the following cmdlet to list all the users and their roles within an Automation account.

Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

出力の例を次に示します。The following is the example output:

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/cc594d39-ac10-46c4-9505-f182a355c41f
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : 15f26a47-812d-489a-8197-3d4853558347
ObjectType         : User

特定のスコープのユーザー、グループ、アプリケーションにアクセス権を割り当てるには、New-AzRoleAssignment を使用します。Use New-AzRoleAssignment to assign access to users, groups, and applications to a particular scope.

例: Automation アカウント スコープのユーザーに対して "Automation オペレーター" ロールを割り当てるには、次のコマンドを使用します。Example: Use the following command to assign the "Automation Operator" role for a user in the Automation account scope.

New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

出力の例を次に示します。The following is the example output:

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/25377770-561e-4496-8b4f-7cba1d6fa346
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : f5ecbe87-1181-43d2-88d5-a8f5e9d8014e
ObjectType         : User

Remove-AzRoleAssignment: 特定のスコープの指定したユーザー、グループ、またはアプリケーションのアクセス権を削除します。Use Remove-AzRoleAssignment to remove access of a specified user, group, or application from a particular scope.

例: Automation アカウント スコープの Automation オペレーター ロールからユーザーを削除するには、次のコマンドを使用します。Example: Use the following command to remove the user from the Automation Operator role in the Automation account scope.

Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

前の例では、sign-in ID of a user you wish to removeSubscriptionIDResource Group NameAutomation account name をアカウントの詳細に置き換えます。In the preceding example, replace sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Name, and Automation account name with your account details. ユーザー ロールの割り当ての削除を続行する前に確認を求められた場合は、 [はい] を選択します。Choose yes when prompted to confirm before continuing to remove user role assignments.

Automation オペレーター ロールのユーザー エクスペリエンス - Automation アカウントUser experience for Automation Operator role - Automation account

Automation アカウント スコープ ビューで Automation オペレーター ロールに割り当てられているユーザーが、自分が割り当てられている Automation アカウントを表示した場合、そのユーザーに表示されるのはその Automation アカウントで作成された Runbook、Runbook ジョブ、およびスケジュールの一覧のみです。When a user assigned to the Automation Operator role on the Automation account scope views the Automation account to which he/she is assigned, the user can only view the list of runbooks, runbook jobs, and schedules created in the Automation account. このユーザーは、それらの項目の定義を表示することはできません。This user cannot view the definitions of these items. このユーザーは、Runbook ジョブの開始、停止、一時停止、再開、スケジュール設定を行うことができます。The user can start, stop, suspend, resume, or schedule the runbook job. ただし、構成、ハイブリッド worker グループ、DSC ノードなど、Automation の他のリソースにアクセスすることはできません。However, the user does not have access to other Automation resources, such as configurations, hybrid worker groups, or DSC nodes.

リソースへのアクセス権がない

Runbook のための Azure RBAC の構成Configure Azure RBAC for runbooks

Azure Automation では、Azure ロールを特定の Runbook に割り当てることができます。Azure Automation allows you to assign Azure roles to specific runbooks. これには、次のスクリプトを実行して、ユーザーを特定の Runbook に追加します。To do this, run the following script to add a user to a specific runbook. このスクリプトを実行できるのは、Automation アカウント管理者またはテナント管理者です。An Automation Account Administrator or a Tenant Administrator can run this script.

$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory

# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName

# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"

# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId

# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId

スクリプトが実行されたら、ユーザーに Azure portal にログインしてもらい、さらに [すべてのリソース] を選択してもらいます。Once the script has run, have the user log in to the Azure portal and select All Resources. 一覧内で、ユーザーは自分が Automation Runbook オペレーターとして追加された Runbook を確認することができます。In the list, the user can see the runbook for which he/she has been added as an Automation Runbook Operator.

ポータルの Runbook Azure RBAC

Automation オペレーター ロールのユーザー エクスペリエンス - RunbookUser experience for Automation operator role - Runbook

Runbook スコープで Automation オペレーター ロールに割り当てられたユーザーが、割り当てられた Runbook を表示する場合、そのユーザーが行えるのは Runbook を開始して Runbook ジョブを表示することだけです。When a user assigned to the Automation Operator role on the Runbook scope views an assigned runbook, the user can only start the runbook and view the runbook jobs.

開始のみにアクセス

次のステップNext steps