従来のサブスクリプション管理者ロール、Azure ロール、および Azure AD ロール

  • [アーティクル]

Azure を初めて使用する場合、Azure のさまざまなロールを理解することは少し難しいかもしれません。 この記事では、以下のロールと、それぞれをどのような場合に使用するかについて説明します。

  • 従来のサブスクリプション管理者ロール
  • Azure ロール
  • Azure Active Directory (Azure AD) ロール

Azure のロールをよりよく理解するには、歴史の一部を知ることが役立ちます。 Azure が最初にリリースされたとき、リソースへのアクセスは次の 3 つの管理者ロールで管理されました:アカウント管理者、サービス管理者、共同管理者。 その後、Azure ロールベースのアクセス制御 (Azure RBAC) が追加されます。 Azure RBAC は、Azure リソースに対するきめ細かいアクセス管理を提供する、より新しい承認システムです。 Azure RBAC には多数の組み込みロールがあり、異なるスコープで割り当てることができます。また、独自のカスタム ロールを作成することができます。 ユーザー、グループ、ドメインなどの、Azure AD のリソースを管理するためには、いくつかの Azure AD ロールがあります。

次の図は、従来のサブスクリプション管理者ロール、Azure ロール、および Azure AD ロールがどのように関連しているかを大まかに示しています。

The different roles in Azure

従来のサブスクリプション管理者ロール

アカウント管理者、サービス管理者、および共同管理者は、Azure の従来の 3 種類のサブスクリプション管理者ロールです。 従来のサブスクリプション管理者には、Azure サブスクリプションへのフル アクセス権があります。 Azure portal、Azure Resource Manager API、およびクラシック デプロイ モデル API を使用して、リソースを管理することができます。 Azure へのサインアップに使用されたアカウントは、自動的にアカウント管理者とサービス管理者の両方として設定されます。 その後、共同管理者を追加できます。 サービス管理者および共同管理者は、サブスクリプション スコープで所有者ロール (Azure ロール) が割り当てられているユーザーと同等のアクセス権を持ちます。 次の表では、これら 3 つの従来のサブスクリプション管理ロールの違いについて説明します。

従来のサブスクリプション管理者 制限 アクセス許可 ノート
アカウント管理者 1 Azure アカウントに 1 人
  • Azure portal にアクセスして、課金を管理できる
  • アカウント内のすべてのサブスクリプションの課金を管理する
  • 新しいサブスクリプションを作成する
  • サブスクリプションを取り消す
  • サブスクリプションの課金を変更する
  • サービス管理者を変更する
  • サービス管理者またはサブスクリプション所有者のロールを持っていない限り、サブスクリプションを取り消すことはできない
 概念的には、サブスクリプションの課金の所有者です。
サービス管理者 1 Azure サブスクリプションに 1 人
  • Azure portal でサービスを管理する
  • サブスクリプションを取り消す
  • 共同管理者ロールにユーザーを割り当てる
 既定で、新しいサブスクリプションのアカウント管理者はサービス管理者でもあります。
サービス管理者は、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。
サービス管理者には、Azure portal へのフル アクセス権が与えられます。
共同管理者 サブスクリプションあたり 200 人
  • サービス管理者と同じアクセス権を持っているが、サブスクリプションと Azure AD ディレクトリとの関連付けを変更することはできない
  • 共同管理者ロールにユーザーを割り当てる。ただし、サービス管理者を変更することはできない
 共同管理者は、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。

Azure portal では、 [従来の管理者] タブを使用して、共同管理者を管理したり、サービス管理者を表示したりできます。

Azure classic subscription administrators in the Azure portal

Azure portal では、お使いのサブスクリプションのプロパティ ブレードで、サービス管理者を表示または変更したり、アカウント管理者を表示したりすることができます。

Account Administrator and Service Administrator in the Azure portal

詳しくは、「Azure の従来のサブスクリプション管理者」をご覧ください。

Azure アカウントと Azure サブスクリプション

Azure アカウントは、請求関係を表します。 Azure アカウントは、ユーザー ID、1 つ以上の Azure サブスクリプション、および関連する Azure リソースのセットです。 アカウントを作成する人は、そのアカウントで作成されるすべてのサブスクリプションのアカウント管理者です。 その人は、サブスクリプションの既定のサービス管理者でもあります。

Azure サブスクリプションは、Azure リソースへのアクセスを整理するために役立ちます。 さらに、リソースの使用状況の報告、課金、および支払い方法の制御にも役立ちます。 サブスクリプションごとに異なる課金および支払いを設定することができるため、オフィス別、部門別、プロジェクト別などで、異なるサブスクリプションや異なるプランを利用することができます。 すべてのサービスがサブスクリプションに所属し、プログラムによる操作ではサブスクリプション ID が必要になることがあります。

すべてのサブスクリプションは Azure AD ディレクトリと関連付けられています。 サブスクリプションが関連付けられているディレクトリを検索するには、Azure portal で [サブスクリプション] を開き、ディレクトリを表示するサブスクリプションを選択します。

アカウントとサブスクリプションは、Azure portal で管理されます。

Azure ロール

Azure RBAC は、コンピューティングやストレージなどの Azure リソースに対するきめ細かなアクセス管理を提供する、Azure Resource Manager 上に構築された承認システムです。 Azure RBAC には、70 を超える組み込みロールが含まれています。 基本的な Azure ロールは 4 つです。 最初の 3 つは、すべてのリソースの種類に適用されます。

Azure ロール アクセス許可 ノート
所有者
  • すべてのリソースへのフル アクセス
  • アクセスを他のユーザーに委任する
 サービス管理者と共同管理者は、サブスクリプション スコープで所有者ロールを割り当てられます
すべてのリソースの種類に適用されます。
Contributor
  • すべての種類の Azure リソースを作成および管理する
  • Azure Active Directory で新しいテナントを作成する
  • 他のユーザーにアクセスを許可することはできない
 すべてのリソースの種類に適用されます。
Reader
  • Azure リソースを表示する
 すべてのリソースの種類に適用されます。
User Access Administrator
  • Azure リソースに対するユーザー アクセスを管理する

残りの組み込みロールは、特定の Azure リソースの管理を許可します。 たとえば、仮想マシン共同作成者ロールが割り当てられたユーザーには、仮想マシンの作成と管理が許可されます。 すべての組み込みロールの一覧については、Azure の組み込みロールに関するページを参照してください。

Azure RBAC は Azure portal と Azure Resource Manager API の組み合わせのみでサポートされています。 Azure ロールが割り当てられているユーザー、グループ、アプリケーションは、Azure クラシック デプロイ モデル API を使用できません。

Azure portal では、Azure RBAC を使用したロールの割り当てが [アクセス制御 (IAM)] ブレードに表示されます。 このブレードは、管理グループ、サブスクリプション、リソース グループ、各種リソースなど、ポータル全体で表示されます。

Access control (IAM) blade in the Azure portal

[ロール] タブをクリックすると、組み込みロールとカスタム ロールの一覧が表示されます。

Built-in roles in the Azure portal

詳細については、Azure portal を使用して Azure ロールを割り当てる方法に関するページを参照してください。

Azure AD ロール

Azure AD ロールは、ディレクトリ内の Azure AD リソースの管理に使用されます。たとえば、ユーザーの作成や編集、他のユーザーへの管理ロールの割り当て、ユーザー パスワードのリセット、ユーザー ライセンスの管理、ドメインの管理などです。 次の表では、より重要な Azure AD ロールのいくつかについて説明します。

Azure AD ロール アクセス許可 ノート
全体管理者
  • Azure Active Directory のすべての管理機能や、Azure Active Directory に統合されたサービスへのアクセスを管理する
  • 他のユーザーに管理者ロールを割り当てる
  • すべてのユーザーと他のすべての管理者のパスワードをリセットする
 Azure Active Directory テナントにサインアップしたユーザーが全体管理者になります。
ユーザー管理者
  • ユーザーとグループのすべての側面を作成および管理する
  • サポート チケットの管理
  • サービス正常性の監視
  • ユーザー、ヘルプデスク管理者、およびその他のユーザー管理者のパスワードを変更する
課金管理者
  • 購入する
  • サブスクリプションの管理
  • サポート チケットの管理
  • サービスの正常性を監視する

Azure portal では、Azure AD ロールの一覧が [ロールと管理者] ブレードに表示されます。 すべての Azure AD ロールの一覧については、「Azure Active Directory での管理者ロールのアクセス許可」を参照してください。

Azure AD roles in the Azure portal

Azure ロールと Azure AD ロールの違い

大まかに言えば、Azure ロールは Azure リソースを管理するアクセス許可を制御し、Azure AD ロールは Azure Active Directory リソースを管理するアクセス許可を制御します。 次の表は、相違点の一部を比較しています。

Azure ロール Azure AD ロール
Azure のリソースへのアクセスの管理 Azure Active Directory リソースへのアクセスを管理する
カスタム ロールをサポートする カスタム ロールをサポートする
スコープを複数のレベル (管理グループ、サブスクリプション、リソース グループ、リソース) で指定できる スコープをテナントレベル (組織全体)、管理単位、または個々のオブジェクトごと (たとえば、特定のアプリケーションなど) で指定できる
ロール情報には、Azure portal、Azure CLI、Azure PowerShell、Azure Resource Manager テンプレート、REST API でアクセスできる ロール情報には、Azure 管理ポータル、Microsoft 365 管理センター、Microsoft Graph、AzureAD PowerShell でアクセスできる

Azure ロールと Azure AD ロールは重なり合うか

既定では、Azure ロールと Azure AD ロールは、Azure と Azure AD にまたがっていません。 ただし、全体管理者が Azure portal で [Azure リソースのアクセス管理] スイッチを選択して自分のアクセスを昇格させた場合、全体管理者は特定のテナントのすべてのサブスクリプションに対するユーザー アクセス管理者ロール (Azure ロール) を許可されます。 ユーザー アクセス管理者ロールを使用すると、ユーザーは他のユーザーに Azure リソースに対するアクセス権を付与できます。 このスイッチは、サブスクリプションへのアクセス権を回復する場合に便利です。 詳細については、「Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる」を参照してください。

いくつかの Azure AD ロール (全体管理者ロールやユーザー管理者ロールなど) は、Azure AD と Microsoft 365 にまたがっています。 たとえば、全体管理者ロールのメンバーであれば、Azure AD および Microsoft 365 における全体管理者機能を持つことになります。たとえば、Microsoft Exchange や Microsoft SharePoint を変更する機能などです。 ただし、既定では、全体管理者は Azure リソースにアクセスできません。

Azure RBAC versus Azure AD roles

次のステップ