Azure の従来のサブスクリプション管理者

Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure リソースへのアクセスを管理することをお勧めします。 ただし、クラシック デプロイ モデルをまだ使用している場合は、次の従来のサブスクリプション管理者ロールを使用する必要があります:サービス管理者および共同管理者。 詳しくは、Azure Resource Manager とクラシック デプロイに関する記事をご覧ください。

この記事では、共同管理者ロールとサービス管理者ロールを追加または変更する方法、およびアカウント管理者を表示する方法について説明します。

共同管理者を追加する

ヒント

共同管理者を追加する必要があるのは、Azure サービス管理 PowerShell モジュールを使用して Azure クラシック デプロイを管理する必要がある場合だけです。 クラシック リソースの管理に Azure portal だけを使用する場合は、ユーザーに従来の管理者を追加する必要はありません。

  1. Azure portal にサービス管理者または共同管理者としてサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

    共同管理者は、サブスクリプション スコープでのみ割り当てることができます。

  3. [アクセス制御 (IAM)] をクリックします。

  4. [従来の管理者] タブをクリックします。

    [従来の管理者] が開かれているスクリーンショット

  5. [追加] > [共同管理者の追加] をクリックして、[共同管理者の追加] ウィンドウを開きます。

    [共同管理者の追加] オプションが無効になっている場合は、アクセス許可がありません。

  6. 追加するユーザーを選択して、 [追加] をクリックします。

    共同管理者追加のスクリーンショット

ゲスト ユーザーを共同管理者として追加する

ゲスト ユーザーを共同管理者として追加するには、前の [共同管理者を追加する] セクションと同じ手順に従います。 ゲスト ユーザーは次の条件を満たす必要があります。

  • ゲスト ユーザーは、ディレクトリ内に存在している必要があります。 これは、ユーザーがディレクトリに招待され、招待を受け入れたことを意味します。

ゲスト ユーザーを自分のディレクトリに追加する方法の詳細については、「Azure portal で Azure Active Directory B2B コラボレーション ユーザーを追加する」を参照してください。

ゲスト ユーザーの違い

共同管理者ロールが割り当てられたゲスト ユーザーは、同じく共同管理者ロールが割り当てられたメンバー ユーザーとは異なります。 以下のシナリオについて考えてみます。

  • Azure AD アカウント (職場または学校アカウント) を持つユーザー A は、Azure サブスクリプションのサービス管理者です。
  • ユーザー B は Microsoft アカウントを持っています。
  • ユーザー A がユーザー B に共同管理者ロールを割り当てます。
  • ユーザー B はほぼすべての操作を実行できますが、Azure AD にアプリケーションを登録したり、Azure AD ディレクトリでユーザーを検索したりすることはできません。

想定とは異なり、ユーザー B はすべてを管理できるわけではありません。 この違いの理由は、Microsoft アカウントはメンバー ユーザーとしてではなく、ゲスト ユーザーとしてサブスクリプションに追加されるためです。 Azure AD でゲスト ユーザーに割り当てられる既定のアクセス許可は、メンバー ユーザーとは異なります。 たとえば、メンバー ユーザーは Azure AD の他のユーザーを読み取ることができますが、ゲスト ユーザーには他のユーザーの読み取りは許可されていません。 メンバー ユーザーは新しいサービス プリンシパルを Azure AD に登録できますが、ゲスト ユーザーにはサービス プリンシパルの登録は許可されていません。

ゲスト ユーザーがこれらのタスクを実行できるようにする必要がある場合、考えられるソリューションは、ゲスト ユーザーに必要な特定の Azure AD ロールを割り当てることです。 たとえば前のシナリオで他のユーザーの読み取りを許可するにはディレクトリ リーダーのロールを割り当て、サービス プリンシパルを作成できるようにするにはアプリケーション開発者のロールを割り当てます。 メンバー ユーザーとゲスト ユーザーおよびそれぞれのアクセス許可の詳細については、「Azure Active Directory の既定のユーザー アクセス許可とは」をご覧ください。 ゲスト ユーザーにアクセス権を付与する方法の詳細については、「Azure portal を使用して Azure ロールを外部のゲスト ユーザーに割り当てる」を参照してください。

Azure 組み込みロールAzure AD ロールとは異なることに注意してください。 組み込みロールは Azure AD に対するアクセス許可を一切付与しません。 詳細については、「各種ロールについて」をご覧ください。

メンバー ユーザーとゲスト ユーザーの比較情報については、「Azure Active Directory の既定のユーザー アクセス許可とは」を参照してください。

共同管理者を削除する

  1. Azure portal にサービス管理者または共同管理者としてサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

  3. [アクセス制御 (IAM)] をクリックします。

  4. [従来の管理者] タブをクリックします。

  5. 削除する共同管理者の横にチェック マークを付けます。

  6. [削除] をクリックします。

  7. 表示されるメッセージ ボックスで、 [はい] をクリックします。

    共同管理者削除のスクリーンショット

サービス管理者を変更する

サブスクリプションのサービス管理者を変更できるのは、アカウント管理者のみです。 既定の設定では、Azure サブスクリプションにサインアップした時点では、サービス管理者とアカウント管理者は同じです。

アカウント管理者ロールのユーザーは、Azure portal にアクセスして課金を管理できますが、サブスクリプションを取り消すことはできません。 サービス管理者ロールのユーザーは、Azure portal へのフル アクセスが与えられ、サブスクリプションを取り消すことができます。 アカウント管理者は、自身をサービス管理者にすることができます。

Azure portal でサービス管理者を変更するには、次の手順に従います。

  1. サービス管理者を変更するための制限事項を確認して、使用するシナリオがサポートされていることを確認してください。

  2. Azure Portal にアカウント管理者としてサインインします。

  3. Cost Management + Billing を開き、サブスクリプションを選択します。

  4. 次に、左側のナビゲーションで、 [プロパティ] をクリックします。

  5. [サービス管理者の変更] をクリックします。

    Azure portal でサブスクリプションの [プロパティ] を示すスクリーンショット

  6. [サービス管理者の編集] ページで、新しいサービス管理者のメール アドレスを入力します。

    [サービス管理者の編集] ページを示すスクリーンショット

  7. [OK] をクリックして変更を保存します。

サービス管理者の変更に関する制限事項

Azure サブスクリプションごとに 1 人のサービス管理者のみを設定できます。 サービス管理者の変更の動作は、アカウント管理者が Microsoft アカウントか、Azure AD アカウント (職場または学校アカウント) かによって異なります。

アカウント管理者のアカウント サービス管理者を別の Microsoft アカウントに変更できるか? サービス管理者を同じディレクトリの Azure AD アカウントに変更できるか? サービス管理者を異なるディレクトリの Azure AD アカウントに変更できるか?
Microsoft アカウント はい いいえ いいえ
Azure AD アカウント はい はい いいえ

アカウント管理者が Azure AD アカウントの場合は、サービス管理者を同じディレクトリ内の Azure AD アカウントに変更することはできますが、別のディレクトリには変更できません。 たとえば、abby@contoso.com は、サービス管理者を bob@contoso.com に変更できますが、john@notcontoso.com に変更することは、john@notcontoso.com が contoso.com ディレクトリに存在しない場合はできません。

Microsoft アカウントと Azure AD アカウントの詳細については、「Azure Active Directory とは」を参照してください。

サービス管理者を削除する

サービス管理者を削除する場合があります。たとえば、彼らが会社を退職したときです。 サービス管理者を削除する場合、サブスクリプションの孤立化を回避するには、サブスクリプションのスコープで所有者ロールが割り当てられているユーザーがいる必要があります。 サブスクリプションの所有者は、サービス管理者と同じアクセス権を持っています。

  1. サブスクリプションの所有者または共同管理者として Azure portal にサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

  3. [アクセス制御 (IAM)] をクリックします。

  4. [従来の管理者] タブをクリックします。

  5. サービス管理者の横にチェック マークを付けます。

  6. [削除] をクリックします。

  7. 表示されるメッセージ ボックスで、 [はい] をクリックします。

    サービス管理者の削除のスクリーンショット。

アカウント管理者を表示する

アカウント管理者とは、Azure サブスクリプションに最初にサインアップしたユーザーで、サブスクリプションの請求先の所有者としての責任を負います。 サブスクリプションのアカウント管理者を変更する方法の詳細については、「Azure サブスクリプションの所有権を別のアカウントに譲渡する」を参照してください。

アカウント管理者を表示するには、以下の手順のようにします。

  1. Azure portal にサインインします。

  2. Cost Management + Billing を開き、サブスクリプションを選択します。

  3. 次に、左側のナビゲーションで、 [プロパティ] をクリックします。

    サブスクリプションのアカウント管理者が、 [アカウント管理者] ボックスに表示されます。

    アカウント管理者を示すスクリーンショット

次のステップ