従来のサブスクリプション管理者ロール、Azure ロール、および Azure AD ロールClassic subscription administrator roles, Azure roles, and Azure AD roles

Azure を初めて使用する場合、Azure のさまざまなロールを理解することは少し難しいかもしれません。If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. この記事では、以下のロールと、それぞれをどのような場合に使用するかについて説明します。This article helps explain the following roles and when you would use each:

  • 従来のサブスクリプション管理者ロールClassic subscription administrator roles
  • Azure ロールAzure roles
  • Azure Active Directory (Azure AD) ロールAzure Active Directory (Azure AD) roles

Azure のロールをよりよく理解するには、歴史の一部を知ることが役立ちます。To better understand roles in Azure, it helps to know some of the history. Azure が最初にリリースされたとき、リソースへのアクセスは次の 3 つの管理者ロールで管理されました:アカウント管理者、サービス管理者、共同管理者。When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. その後、Azure ロールベースのアクセス制御 (Azure RBAC) が追加されます。Later, Azure role-based access control (Azure RBAC) was added. Azure RBAC は、Azure リソースに対するきめ細かいアクセス管理を提供する、より新しい承認システムです。Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. Azure RBAC には多数の組み込みロールがあり、異なるスコープで割り当てることができます。また、独自のカスタム ロールを作成することができます。Azure RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. ユーザー、グループ、ドメインなどの、Azure AD のリソースを管理するためには、いくつかの Azure AD ロールがあります。To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD roles.

次の図は、従来のサブスクリプション管理者ロール、Azure ロール、および Azure AD ロールがどのように関連しているかを大まかに示しています。The following diagram is a high-level view of how the classic subscription administrator roles, Azure roles, and Azure AD roles are related.

Azure の各種のロール

従来のサブスクリプション管理者ロールClassic subscription administrator roles

アカウント管理者、サービス管理者、および共同管理者は、Azure の従来の 3 種類のサブスクリプション管理者ロールです。Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. 従来のサブスクリプション管理者には、Azure サブスクリプションへのフル アクセス権があります。Classic subscription administrators have full access to the Azure subscription. Azure portal、Azure Resource Manager API、およびクラシック デプロイ モデル API を使用して、リソースを管理することができます。They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. Azure へのサインアップに使用されたアカウントは、自動的にアカウント管理者とサービス管理者の両方として設定されます。The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. その後、共同管理者を追加できます。Then, additional Co-Administrators can be added. サービス管理者および共同管理者は、サブスクリプション スコープで所有者ロール (Azure ロール) が割り当てられているユーザーと同等のアクセス権を持ちます。The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure role) at the subscription scope. 次の表では、これら 3 つの従来のサブスクリプション管理ロールの違いについて説明します。The following table describes the differences between these three classic subscription administrative roles.

従来のサブスクリプション管理者Classic subscription administrator 制限Limit アクセス許可Permissions NotesNotes
アカウント管理者Account Administrator 1 Azure アカウントに 1 人1 per Azure account
  • Azure アカウント センターにアクセスするAccess the Azure Account Center
  • アカウントのすべてのサブスクリプションを管理するManage all subscriptions in an account
  • 新しいサブスクリプションを作成するCreate new subscriptions
  • サブスクリプションを取り消すCancel subscriptions
  • サブスクリプションの課金を変更するChange the billing for a subscription
  • サービス管理者を変更するChange the Service Administrator
概念的には、サブスクリプションの課金の所有者です。Conceptually, the billing owner of the subscription.
アカウント管理者には、Azure portal へのアクセス権が与えられません。The Account Administrator has no access to the Azure portal.
サービス管理者Service Administrator 1 Azure サブスクリプションに 1 人1 per Azure subscription
  • Azure portal でサービスを管理するManage services in the Azure portal
  • サブスクリプションを取り消すCancel the subscription
  • 共同管理者ロールにユーザーを割り当てるAssign users to the Co-Administrator role
既定で、新しいサブスクリプションのアカウント管理者はサービス管理者でもあります。By default, for a new subscription, the Account Administrator is also the Service Administrator.
サービス管理者は、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
サービス管理者には、Azure portal へのフル アクセス権が与えられます。The Service Administrator has full access to the Azure portal.
共同管理者Co-Administrator サブスクリプションあたり 200 人200 per subscription
  • サービス管理者と同じアクセス権を持っているものの、サブスクリプションと Azure ディレクトリとの関連付けを変更することはできないSame access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • 共同管理者ロールにユーザーを割り当てる。ただし、サービス管理者を変更することはできないAssign users to the Co-Administrator role, but cannot change the Service Administrator
共同管理者は、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

Azure portal では、 [従来の管理者] タブを使用して、共同管理者を管理したり、サービス管理者を表示したりできます。In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Azure portal での Azure の従来のサブスクリプション管理者

Azure portal では、お使いのサブスクリプションのプロパティ ブレードで、サービス管理者を表示または変更したり、アカウント管理者を表示したりすることができます。In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Azure portal でのアカウント管理者とサービス管理者

詳しくは、「Azure の従来のサブスクリプション管理者」をご覧ください。For more information, see Azure classic subscription administrators.

Azure アカウントと Azure サブスクリプションAzure account and Azure subscriptions

Azure アカウントは、請求関係を表します。An Azure account represents a billing relationship. Azure アカウントは、ユーザー ID、1 つ以上の Azure サブスクリプション、および関連する Azure リソースのセットです。An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. アカウントを作成する人は、そのアカウントで作成されるすべてのサブスクリプションのアカウント管理者です。The person who creates the account is the Account Administrator for all subscriptions created in that account. その人は、サブスクリプションの既定のサービス管理者でもあります。That person is also the default Service Administrator for the subscription.

Azure サブスクリプションは、Azure リソースへのアクセスを整理するために役立ちます。Azure subscriptions help you organize access to Azure resources. さらに、リソースの使用状況の報告、課金、および支払い方法の制御にも役立ちます。They also help you control how resource usage is reported, billed, and paid for. サブスクリプションごとに異なる課金および支払いを設定することができるため、オフィス別、部門別、プロジェクト別などで、異なるサブスクリプションや異なるプランを利用することができます。Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. すべてのサービスがサブスクリプションに所属し、プログラムによる操作ではサブスクリプション ID が必要になることがあります。Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

すべてのサブスクリプションは Azure AD ディレクトリと関連付けられています。Each subscription is associated with an Azure AD directory. サブスクリプションが関連付けられているディレクトリを検索するには、Azure portal で [サブスクリプション] を開き、ディレクトリを表示するサブスクリプションを選択します。To find the directory the subscription is associated with, open Subscriptions in the Azure portal and then select a subscription to see the directory.

アカウントとサブスクリプションは、Azure アカウント センターで管理されます。Accounts and subscriptions are managed in the Azure Account Center.

Azure ロールAzure roles

Azure RBAC は、コンピューティングやストレージなどの Azure リソースに対するきめ細かなアクセス管理を提供する、Azure Resource Manager 上に構築された承認システムです。Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Azure RBAC には、70 を超える組み込みロールが含まれています。Azure RBAC includes over 70 built-in roles. 基本的な Azure ロールは 4 つです。There are four fundamental Azure roles. 最初の 3 つは、すべてのリソースの種類に適用されます。The first three apply to all resource types:

Azure ロールAzure role アクセス許可Permissions NotesNotes
所有者Owner
  • すべてのリソースへのフル アクセスFull access to all resources
  • アクセスを他のユーザーに委任するDelegate access to others
サービス管理者と共同管理者は、サブスクリプション スコープで所有者ロールを割り当てられますThe Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
すべてのリソースの種類に適用されます。Applies to all resource types.
ContributorContributor
  • すべての種類の Azure リソースを作成および管理するCreate and manage all of types of Azure resources
  • Azure Active Directory で新しいテナントを作成するCreate a new tenant in Azure Active Directory
  • 他のユーザーにアクセスを許可することはできないCannot grant access to others
すべてのリソースの種類に適用されます。Applies to all resource types.
ReaderReader
  • Azure リソースを表示するView Azure resources
すべてのリソースの種類に適用されます。Applies to all resource types.
User Access AdministratorUser Access Administrator
  • Azure リソースに対するユーザー アクセスを管理するManage user access to Azure resources

残りの組み込みロールは、特定の Azure リソースの管理を許可します。The rest of the built-in roles allow management of specific Azure resources. たとえば、仮想マシン共同作成者ロールが割り当てられたユーザーには、仮想マシンの作成と管理が許可されます。For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. すべての組み込みロールの一覧については、Azure の組み込みロールに関するページを参照してください。For a list of all the built-in roles, see Azure built-in roles.

Azure RBAC は Azure portal と Azure Resource Manager API の組み合わせのみでサポートされています。Only the Azure portal and the Azure Resource Manager APIs support Azure RBAC. Azure ロールが割り当てられているユーザー、グループ、アプリケーションは、Azure クラシック デプロイ モデル API を使用できません。Users, groups, and applications that are assigned Azure roles cannot use the Azure classic deployment model APIs.

Azure portal では、Azure RBAC を使用したロールの割り当てが [アクセス制御 (IAM)] ブレードに表示されます。In the Azure portal, role assignments using Azure RBAC appear on the Access control (IAM) blade. このブレードは、管理グループ、サブスクリプション、リソース グループ、各種リソースなど、ポータル全体で表示されます。This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Azure portal のアクセス制御 (IAM) ブレード

[ロール] タブをクリックすると、組み込みロールとカスタム ロールの一覧が表示されます。When you click the Roles tab, you will see the list of built-in and custom roles.

Azure portal での組み込みロール

詳細については、Azure portal を使用して Azure ロールの割り当てを追加または削除する方法に関するページを参照してください。For more information, see Add or remove Azure role assignments using the Azure portal.

Azure AD ロールAzure AD roles

Azure AD ロールは、ディレクトリ内の Azure AD リソースの管理に使用されます。たとえば、ユーザーの作成や編集、他のユーザーへの管理ロールの割り当て、ユーザー パスワードのリセット、ユーザー ライセンスの管理、ドメインの管理などです。Azure AD roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. 次の表では、より重要な Azure AD ロールのいくつかについて説明します。The following table describes a few of the more important Azure AD roles.

Azure AD ロールAzure AD role アクセス許可Permissions NotesNotes
全体管理者Global Administrator
  • Azure Active Directory のすべての管理機能や、Azure Active Directory に統合されたサービスへのアクセスを管理するManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • 他のユーザーに管理者ロールを割り当てるAssign administrator roles to others
  • すべてのユーザーと他のすべての管理者のパスワードをリセットするReset the password for any user and all other administrators
Azure Active Directory テナントにサインアップしたユーザーが全体管理者になります。The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
ユーザー管理者User Administrator
  • ユーザーとグループのすべての側面を作成および管理するCreate and manage all aspects of users and groups
  • サポート チケットの管理Manage support tickets
  • サービス正常性の監視Monitor service health
  • ユーザー、ヘルプデスク管理者、およびその他のユーザー管理者のパスワードを変更するChange passwords for users, Helpdesk administrators, and other User Administrators
課金管理者Billing Administrator
  • 購入するMake purchases
  • サブスクリプションの管理Manage subscriptions
  • サポート チケットの管理Manage support tickets
  • サービスの正常性を監視するMonitors service health

Azure portal では、Azure AD ロールの一覧が [ロールと管理者] ブレードに表示されます。In the Azure portal, you can see the list of Azure AD roles on the Roles and administrators blade. すべての Azure AD ロールの一覧については、「Azure Active Directory での管理者ロールのアクセス許可」を参照してください。For a list of all the Azure AD roles, see Administrator role permissions in Azure Active Directory.

Azure portal での Azure AD ロール

Azure ロールと Azure AD ロールの違いDifferences between Azure roles and Azure AD roles

大まかに言えば、Azure ロールは Azure リソースを管理するアクセス許可を制御し、Azure AD ロールは Azure Active Directory リソースを管理するアクセス許可を制御します。At a high level, Azure roles control permissions to manage Azure resources, while Azure AD roles control permissions to manage Azure Active Directory resources. 次の表は、相違点の一部を比較しています。The following table compares some of the differences.

Azure ロールAzure roles Azure AD ロールAzure AD roles
Azure のリソースへのアクセスの管理Manage access to Azure resources Azure Active Directory リソースへのアクセスを管理するManage access to Azure Active Directory resources
カスタム ロールをサポートするSupports custom roles カスタム ロールをサポートするSupports custom roles
スコープを複数のレベル (管理グループ、サブスクリプション、リソース グループ、リソース) で指定できるScope can be specified at multiple levels (management group, subscription, resource group, resource) スコープはテナント レベルでScope is at the tenant level
ロール情報には、Azure portal、Azure CLI、Azure PowerShell、Azure Resource Manager テンプレート、REST API でアクセスできるRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API ロール情報には、Azure 管理ポータル、Microsoft 365 管理センター、Microsoft Graph、AzureAD PowerShell でアクセスできるRole information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

Azure ロールと Azure AD ロールは重なり合うかDo Azure roles and Azure AD roles overlap?

既定では、Azure ロールと Azure AD ロールは、Azure と Azure AD にまたがっていません。By default, Azure roles and Azure AD roles do not span Azure and Azure AD. ただし、全体管理者が Azure portal で [Azure リソースのアクセス管理] スイッチを選択して自分のアクセスを昇格させた場合、全体管理者は特定のテナントのすべてのサブスクリプションに対するユーザー アクセス管理者ロール (Azure ロール) を許可されます。However, if a Global Administrator elevates their access by choosing the Access management for Azure resources switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an Azure role) on all subscriptions for a particular tenant. ユーザー アクセス管理者ロールを使用すると、ユーザーは他のユーザーに Azure リソースに対するアクセス権を付与できます。The User Access Administrator role enables the user to grant other users access to Azure resources. このスイッチは、サブスクリプションへのアクセス権を回復する場合に便利です。This switch can be helpful to regain access to a subscription. 詳細については、「Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる」を参照してください。For more information, see Elevate access to manage all Azure subscriptions and management groups.

いくつかの Azure AD ロール (全体管理者ロールやユーザー管理者ロールなど) は、Azure AD と Microsoft Office 365 にまたがっています。Several Azure AD roles span Azure AD and Microsoft Office 365, such as the Global Administrator and User Administrator roles. たとえば、全体管理者ロールのメンバーであれば、Azure AD および Office 365 で全体管理者機能を持っています。たとえば、Microsoft Exchange や Microsoft SharePoint を変更する機能などです。For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Office 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. ただし、既定では、全体管理者は Azure リソースにアクセスできません。However, by default, the Global Administrator doesn't have access to Azure resources.

Azure RBAC ロールと Azure AD ロール

次のステップNext steps