Azure の従来のサブスクリプション管理者Azure classic subscription administrators

Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure リソースへのアクセスを管理することをお勧めします。Microsoft recommends that you manage access to Azure resources using Azure role-based access control (Azure RBAC). ただし、クラシック デプロイ モデルをまだ使用している場合は、次の従来のサブスクリプション管理者ロールを使用する必要があります:サービス管理者および共同管理者。However, if you are still using the classic deployment model, you'll need to use a classic subscription administrator role: Service Administrator and Co-Administrator. 詳しくは、Azure Resource Manager とクラシック デプロイに関する記事をご覧ください。For more information, see Azure Resource Manager vs. classic deployment.

この記事では、共同管理者ロールとサービス管理者ロールを追加または変更する方法、およびアカウント管理者を表示する方法について説明します。This article describes how to add or change the Co-Administrator and Service Administrator roles, and how to view the Account Administrator.

共同管理者を追加するAdd a Co-Administrator

ヒント

共同管理者を追加する必要があるのは、Azure サービス管理 PowerShell モジュールを使用して Azure クラシック デプロイを管理する必要がある場合だけです。You only need to add a Co-Administrator if the user needs to manage Azure classic deployments by using Azure Service Management PowerShell Module. クラシック リソースの管理に Azure portal だけを使用する場合は、ユーザーに従来の管理者を追加する必要はありません。If the user only uses the Azure portal to manage the classic resources, you won’t need to add the classic administrator for the user.

  1. Azure portal にサービス管理者または共同管理者としてサインインします。Sign in to the Azure portal as a Service Administrator or Co-Administrator.

  2. [サブスクリプション] を開き、サブスクリプションを選択します。Open Subscriptions and select a subscription.

    共同管理者は、サブスクリプション スコープでのみ割り当てることができます。Co-Administrators can only be assigned at the subscription scope.

  3. [アクセス制御 (IAM)] をクリックします。Click Access control (IAM).

  4. [従来の管理者] タブをクリックします。Click the Classic administrators tab.

    [従来の管理者] が開かれているスクリーンショット

  5. [追加] > [共同管理者の追加] をクリックして、[共同管理者の追加] ウィンドウを開きます。Click Add > Add co-administrator to open the Add co-administrators pane.

    [共同管理者の追加] オプションが無効になっている場合は、アクセス許可がありません。If the Add co-administrator option is disabled, you do not have permissions.

  6. 追加するユーザーを選択して、 [追加] をクリックします。Select the user that you want to add and click Add.

    共同管理者追加のスクリーンショット

ゲスト ユーザーを共同管理者として追加するAdd a guest user as a Co-Administrator

ゲスト ユーザーを共同管理者として追加するには、前の [共同管理者を追加する] セクションと同じ手順に従います。To add a guest user as a Co-Administrator, follow the same steps as in the previous Add a Co-Administrator section. ゲスト ユーザーは次の条件を満たす必要があります。The guest user must meet the following criteria:

  • ゲスト ユーザーは、ディレクトリ内に存在している必要があります。The guest user must have a presence in your directory. これは、ユーザーがディレクトリに招待され、招待を受け入れたことを意味します。This means that the user was invited to your directory and accepted the invite.

ゲスト ユーザーを自分のディレクトリに追加する方法の詳細については、「Azure portal で Azure Active Directory B2B コラボレーション ユーザーを追加する」を参照してください。For more information, about how to add a guest user to your directory, see Add Azure Active Directory B2B collaboration users in the Azure portal.

ゲスト ユーザーの違いDifferences for guest users

共同管理者ロールが割り当てられたゲスト ユーザーは、同じく共同管理者ロールが割り当てられたメンバー ユーザーとは異なります。Guest users that have been assigned the Co-Administrator role might see some differences as compared to member users with the Co-Administrator role. 以下のシナリオについて考えてみます。Consider the following scenario:

  • Azure AD アカウント (職場または学校アカウント) を持つユーザー A は、Azure サブスクリプションのサービス管理者です。User A with an Azure AD account (work or school account) is a Service Administrator for an Azure subscription.
  • ユーザー B は Microsoft アカウントを持っています。User B has a Microsoft account.
  • ユーザー A がユーザー B に共同管理者ロールを割り当てます。User A assigns the Co-Administrator role to user B.
  • ユーザー B はほぼすべての操作を実行できますが、Azure AD にアプリケーションを登録したり、Azure AD ディレクトリでユーザーを検索したりすることはできません。User B can do almost everything, but is unable to register applications or look up users in the Azure AD directory.

想定とは異なり、ユーザー B はすべてを管理できるわけではありません。You would expect that user B could manage everything. この違いの理由は、Microsoft アカウントはメンバー ユーザーとしてではなく、ゲスト ユーザーとしてサブスクリプションに追加されるためです。The reason for this difference is that the Microsoft account is added to the subscription as a guest user instead of a member user. Azure AD でゲスト ユーザーに割り当てられる既定のアクセス許可は、メンバー ユーザーとは異なります。Guest users have different default permissions in Azure AD as compared to member users. たとえば、メンバー ユーザーは Azure AD の他のユーザーを読み取ることができますが、ゲスト ユーザーには他のユーザーの読み取りは許可されていません。For example, member users can read other users in Azure AD and guest users cannot. メンバー ユーザーは新しいサービス プリンシパルを Azure AD に登録できますが、ゲスト ユーザーにはサービス プリンシパルの登録は許可されていません。Member users can register new service principals in Azure AD and guest users cannot.

ゲスト ユーザーがこれらのタスクを実行できるようにする必要がある場合、考えられるソリューションは、ゲスト ユーザーに必要な特定の Azure AD ロールを割り当てることです。If a guest user needs to be able to perform these tasks, a possible solution is to assign the specific Azure AD roles the guest user needs. たとえば前のシナリオで他のユーザーの読み取りを許可するにはディレクトリ リーダーのロールを割り当て、サービス プリンシパルを作成できるようにするにはアプリケーション開発者のロールを割り当てます。For example, in the previous scenario, you could assign the Directory Readers role to read other users and assign the Application Developer role to be able to create service principals. メンバー ユーザーとゲスト ユーザーおよびそれぞれのアクセス許可の詳細については、「Azure Active Directory の既定のユーザー アクセス許可とは」をご覧ください。For more information about member and guest users and their permissions, see What are the default user permissions in Azure Active Directory?. ゲスト ユーザーにアクセス権を付与する方法の詳細については、「Azure portal を使用して外部ゲスト ユーザーの Azure ロール割り当てを追加または削除する」を参照してください。For more information about granting access for guest users, see Add or remove Azure role assignments for external guest users using the Azure portal.

Azure 組み込みロールAzure AD ロールとは異なることに注意してください。Note that the Azure built-in roles are different than the Azure AD roles. 組み込みロールは Azure AD に対するアクセス許可を一切付与しません。The built-in roles don't grant any access to Azure AD. 詳細については、「各種ロールについて」をご覧ください。For more information, see Understand the different roles.

メンバー ユーザーとゲスト ユーザーの比較情報については、「Azure Active Directory の既定のユーザー アクセス許可とは」を参照してください。For information that compares member users and guest users, see What are the default user permissions in Azure Active Directory?.

共同管理者を削除するRemove a Co-Administrator

  1. Azure portal にサービス管理者または共同管理者としてサインインします。Sign in to the Azure portal as a Service Administrator or Co-Administrator.

  2. [サブスクリプション] を開き、サブスクリプションを選択します。Open Subscriptions and select a subscription.

  3. [アクセス制御 (IAM)] をクリックします。Click Access control (IAM).

  4. [従来の管理者] タブをクリックします。Click the Classic administrators tab.

  5. 削除する共同管理者の横にチェック マークを追加します。Add a checkmark next to the Co-Administrator you want to remove.

  6. [削除] をクリックします。Click Remove.

  7. 表示されるメッセージ ボックスで、 [はい] をクリックします。In the message box that appears, click Yes.

    共同管理者削除のスクリーンショット

サービス管理者を変更するChange the Service Administrator

サブスクリプションのサービス管理者を変更できるのは、アカウント管理者のみです。Only the Account Administrator can change the Service Administrator for a subscription. 既定の設定では、Azure サブスクリプションにサインアップした時点では、サービス管理者とアカウント管理者は同じです。By default, when you sign up for an Azure subscription, the Service Administrator is the same as the Account Administrator. アカウント管理者ロールのユーザーには、Azure portal へのアクセス権が与えられません。The user with the Account Administrator role has no access to the Azure portal. サービス管理者ロールのユーザーには、Azure portal へのフル アクセス権が与えられます。The user with the Service Administrator role has full access to the Azure portal. アカウント管理者とサービス管理者が同じユーザーの場合、サービス管理者を別のユーザーに変更すると、アカウント管理者は Azure portal にアクセスできなくなります。If the Account Administrator and Service Administrator are the same user and you change the Service Administrator to a different user, then the Account Administrator loses access to Azure portal. ただし、アカウント管理者はいつでもアカウント センターを使用して、サービス管理者を自身に戻すことができます。However, the Account Administrator can always use Account Center to change the Service Administrator back to themselves.

Account Center でサービス管理者を変更するには、次の手順に従います。Follow these steps to change the Service Administrator in Account Center.

アカウント センターAccount Center

  1. サービス管理者を変更するための制限事項を確認して、使用するシナリオがサポートされていることを確認してください。Make sure your scenario is supported by checking the limitations for changing the Service Administrator.

  2. アカウント管理者として Azure センターにサインインします。Sign in to Account Center as the Account Administrator.

  3. サブスクリプションをクリックします。Click a subscription.

  4. 右側にある [サブスクリプション詳細の編集] をクリックします。On the right side, click Edit subscription details.

    アカウント センターの [サブスクリプションの編集] ボタンを示すスクリーン ショット

  5. [サービス管理者] ボックスに、新しいサービス管理者の電子メール アドレスを入力します。In the SERVICE ADMINISTRATOR box, enter the email address of the new Service Administrator.

    サービス管理者の電子メールを変更する、ボックスを示すスクリーン ショット

  6. チェックマークをクリックして、変更を保存します。Click the checkmark to save the change.

サービス管理者の変更に関する制限事項Limitations for changing the Service Administrator

Azure サブスクリプションごとに 1 人のサービス管理者のみを設定できます。There can only be one Service Administrator per Azure subscription. サービス管理者の変更の動作は、アカウント管理者が Microsoft アカウントか、Azure AD アカウント (職場または学校アカウント) かによって異なります。Changing the Service Administrator will behave differently depending on whether the Account Administrator is a Microsoft account or whether it is an Azure AD account (work or school account).

アカウント管理者のアカウントAccount Administrator account サービス管理者を別の Microsoft アカウントに変更できるか?Can change the Service Administrator to a different Microsoft account? サービス管理者を同じディレクトリの Azure AD アカウントに変更できるか?Can change the Service Administrator to an Azure AD account in the same directory? サービス管理者を異なるディレクトリの Azure AD アカウントに変更できるか?Can change the Service Administrator to an Azure AD account in a different directory?
Microsoft アカウントMicrosoft account はいYes いいえNo いいえNo
Azure AD アカウントAzure AD account はいYes はいYes いいえNo

アカウント管理者が Azure AD アカウントの場合は、サービス管理者を同じディレクトリ内の Azure AD アカウントに変更することはできますが、別のディレクトリには変更できません。If the Account Administrator is an Azure AD account, you can change the Service Administrator to an Azure AD account in the same directory, but not in a different directory. たとえば、abby@contoso.com は、サービス管理者を bob@contoso.com に変更できますが、john@notcontoso.com に変更することは、john@notcontoso.com が contoso.com ディレクトリに存在しない場合はできません。For example, abby@contoso.com can change the Service Administrator to bob@contoso.com, but cannot change the Service Administrator to john@notcontoso.com unless john@notcontoso.com has a presence in the contoso.com directory.

Microsoft アカウントと Azure AD アカウントの詳細については、「Azure Active Directory とは」を参照してください。For more information about Microsoft accounts and Azure AD accounts, see What is Azure Active Directory?.

アカウント管理者を表示するView the Account Administrator

アカウント管理者とは、Azure サブスクリプションに最初にサインアップしたユーザーで、サブスクリプションの請求先の所有者としての責任を負います。The Account Administrator is the user that initially signed up for the Azure subscription, and is responsible as the billing owner of the subscription. サブスクリプションのアカウント管理者を変更する方法の詳細については、「Azure サブスクリプションの所有権を別のアカウントに譲渡する」を参照してください。To change the Account Administrator of a subscription, see Transfer ownership of an Azure subscription to another account.

アカウント管理者を表示するには、以下の手順のようにします。Follow these steps to view the Account Administrator.

  1. Azure portal にサインインします。Sign in to the Azure portal.

  2. [サブスクリプション] を開き、サブスクリプションを選択します。Open Subscriptions and select a subscription.

  3. [プロパティ] をクリックします。Click Properties.

    サブスクリプションのアカウント管理者が、 [アカウント管理者] ボックスに表示されます。The Account Administrator of the subscription is displayed in the Account Admin box.

    アカウント管理者を示すスクリーンショット

次のステップNext steps