従来のサブスクリプション管理者ロール、Azure RBAC ロール、および Azure AD 管理者ロールClassic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles

Azure を初めて使用する場合、Azure のさまざまなロールを理解することは少し難しいかもしれません。If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. この記事では、以下のロールと、それぞれをどのような場合に使用するかについて説明します。This article helps explain the following roles and when you would use each:

  • 従来のサブスクリプション管理者ロールClassic subscription administrator roles
  • Azure ロールベース アクセス制御 (RBAC) ロールAzure role-based access control (RBAC) roles
  • Azure Active Directory (Azure AD) 管理者ロールAzure Active Directory (Azure AD) administrator roles

Azure のロールをよりよく理解するには、歴史の一部を知ることが役立ちます。To better understand roles in Azure, it helps to know some of the history. Azure が最初にリリースされたとき、リソースへのアクセスは次の 3 つの管理者ロールで管理されました:アカウント管理者、サービス管理者、共同管理者。When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. その後、Azure リソース用に、ロールベース アクセス制御 (RBAC) が追加されました。Later, role-based access control (RBAC) for Azure resources was added. Azure RBAC は、Azure リソースに対するきめ細かいアクセス管理を提供する、より新しい承認システムです。Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. RBAC には多数の組み込みロールがあり、異なるスコープで割り当てることができます。また、独自のカスタム ロールを作成することができます。RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. ユーザー、グループ、ドメインなどの、Azure AD のリソースを管理するためには、いくつかの Azure AD 管理者ロールがあります。To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD administrator roles.

次の図は、従来のサブスクリプション管理者ロール、Azure RBAC ロール、および Azure AD 管理者ロールがどのように関連しているかを大まかに示しています。The following diagram is a high-level view of how the classic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles are related.

Azure の各種のロール

従来のサブスクリプション管理者ロールClassic subscription administrator roles

アカウント管理者、サービス管理者、および共同管理者は、Azure の従来の 3 種類のサブスクリプション管理者ロールです。Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. 従来のサブスクリプション管理者には、Azure サブスクリプションへのフル アクセス権があります。Classic subscription administrators have full access to the Azure subscription. Azure portal、Azure Resource Manager API、およびクラシック デプロイ モデル API を使用して、リソースを管理することができます。They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. Azure へのサインアップに使用されたアカウントは、自動的にアカウント管理者とサービス管理者の両方として設定されます。The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. その後、共同管理者を追加できます。Then, additional Co-Administrators can be added. サービス管理者および共同管理者は、サブスクリプション スコープで所有者ロール (Azure RBAC ロール) が割り当てられているユーザーと同等のアクセス権を持ちます。The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure RBAC role) at the subscription scope. 次の表では、これら 3 つの従来のサブスクリプション管理ロールの違いについて説明します。The following table describes the differences between these three classic subscription administrative roles.

従来のサブスクリプション管理者Classic subscription administrator 制限Limit アクセス許可Permissions メモNotes
アカウント管理者Account Administrator 1 Azure アカウントに 1 人1 per Azure account
  • Azure アカウント センターにアクセスするAccess the Azure Account Center
  • アカウントのすべてのサブスクリプションを管理するManage all subscriptions in an account
  • 新しいサブスクリプションを作成するCreate new subscriptions
  • サブスクリプションを取り消すCancel subscriptions
  • サブスクリプションの課金を変更するChange the billing for a subscription
  • サービス管理者を変更するChange the Service Administrator
概念的には、サブスクリプションの課金の所有者です。Conceptually, the billing owner of the subscription.
アカウント管理者には、Azure portal へのアクセス権が与えられません。The Account Administrator has no access to the Azure portal.
サービス管理者Service Administrator 1 Azure サブスクリプションに 1 人1 per Azure subscription
  • Azure portal でサービスを管理するManage services in the Azure portal
  • 共同管理者ロールにユーザーを割り当てるAssign users to the Co-Administrator role
既定で、新しいサブスクリプションのアカウント管理者はサービス管理者でもあります。By default, for a new subscription, the Account Administrator is also the Service Administrator.
サービス管理者は、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
サービス管理者には、Azure portal へのフル アクセス権が与えられます。The Service Administrator has full access to the Azure portal.
共同管理者Co-Administrator サブスクリプションあたり 200 人200 per subscription
  • サービス管理者と同じアクセス権を持っているものの、サブスクリプションと Azure ディレクトリとの関連付けを変更することはできないSame access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • 共同管理者ロールにユーザーを割り当てる。ただし、サービス管理者を変更することはできないAssign users to the Co-Administrator role, but cannot change the Service Administrator
共同管理者は、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

Azure portal では、[従来の管理者] タブを使用して、共同管理者を管理したり、サービス管理者を表示したりできます。In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Azure portal での Azure の従来のサブスクリプション管理者

Azure portal では、お使いのサブスクリプションのプロパティ ブレードで、サービス管理者を表示または変更したり、アカウント管理者を表示したりすることができます。In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Azure portal でのアカウント管理者とサービス管理者

詳しくは、「Azure の従来のサブスクリプション管理者」をご覧ください。For more information, see Azure classic subscription administrators.

Azure アカウントと Azure サブスクリプションAzure account and Azure subscriptions

Azure アカウントは、請求関係を表します。An Azure account represents a billing relationship. Azure アカウントは、ユーザー ID、1 つ以上の Azure サブスクリプション、および関連する Azure リソースのセットです。An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. アカウントを作成する人は、そのアカウントで作成されるすべてのサブスクリプションのアカウント管理者です。The person who creates the account is the Account Administrator for all subscriptions created in that account. その人は、サブスクリプションの既定のサービス管理者でもあります。That person is also the default Service Administrator for the subscription.

Azure サブスクリプションは、Azure リソースへのアクセスを整理するために役立ちます。Azure subscriptions help you organize access to Azure resources. さらに、リソースの使用状況の報告、課金、および支払い方法の制御にも役立ちます。They also help you control how resource usage is reported, billed, and paid for. サブスクリプションごとに異なる課金および支払いを設定することができるため、オフィス別、部門別、プロジェクト別などで、異なるサブスクリプションや異なるプランを利用することができます。Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. すべてのサービスがサブスクリプションに所属し、プログラムによる操作ではサブスクリプション ID が必要になることがあります。Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

アカウントとサブスクリプションは、Azure アカウント センターで管理されます。Accounts and subscriptions are managed in the Azure Account Center.

Azure RBAC ロールAzure RBAC roles

Azure RBAC は、コンピューティングやストレージなどの Azure リソースに対するきめ細かなアクセス管理を提供する、Azure Resource Manager 上に構築された承認システムです。Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Azure RBAC には、70 を超える組み込みロールが含まれています。Azure RBAC includes over 70 built-in roles. 4 つの基本的な RBAC ロールがあります。There are four fundamental RBAC roles. 最初の 3 つは、すべてのリソースの種類に適用されます。The first three apply to all resource types:

Azure RBAC ロールAzure RBAC role アクセス許可Permissions メモNotes
OwnerOwner
  • すべてのリソースへのフル アクセスFull access to all resources
  • アクセスを他のユーザーに委任するDelegate access to others
サービス管理者と共同管理者は、サブスクリプション スコープで所有者ロールを割り当てられますThe Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
すべてのリソースの種類に適用されます。Applies to all resource types.
ContributorContributor
  • すべての種類の Azure リソースを作成および管理するCreate and manage all of types of Azure resources
  • 他のユーザーにアクセスを許可することはできないCannot grant access to others
すべてのリソースの種類に適用されます。Applies to all resource types.
ReaderReader
  • Azure リソースを表示するView Azure resources
すべてのリソースの種類に適用されます。Applies to all resource types.
User Access AdministratorUser Access Administrator
  • Azure リソースに対するユーザー アクセスを管理するManage user access to Azure resources

残りの組み込みロールは、特定の Azure リソースの管理を許可します。The rest of the built-in roles allow management of specific Azure resources. たとえば、仮想マシン共同作成者ロールが割り当てられたユーザーには、仮想マシンの作成と管理が許可されます。For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. すべての組み込みロールの一覧については、「Azure リソースの組み込みロール」をご覧ください。For a list of all the built-in roles, see Built-in roles for Azure resources.

RBAC は、Azure portal と Azure Resource Manager API のみでサポートされています。Only the Azure portal and the Azure Resource Manager APIs support RBAC. RBAC ロールが割り当てられているユーザー、グループ、およびアプリケーションは、Azure クラシック デプロイ モデル API を使用できません。Users, groups, and applications that are assigned RBAC roles cannot use the Azure classic deployment model APIs.

Azure portal では、RBAC を使用したロールの割り当ては [アクセス制御 (IAM)] ブレードに表示されます。In the Azure portal, role assignments using RBAC appear on the Access control (IAM) blade. このブレードは、管理グループ、サブスクリプション、リソース グループ、各種リソースなど、ポータル全体で表示されます。This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Azure portal のアクセス制御 (IAM) ブレード

[ロール] タブをクリックすると、組み込みロールとカスタム ロールの一覧が表示されます。When you click the Roles tab, you will see the list of built-in and custom roles.

Azure portal での組み込みロール

詳しくは、「RBAC と Azure portal を使用して Azure リソースへのアクセスを管理する」をご覧ください。For more information, see Manage access to Azure resources using RBAC and the Azure portal.

Azure AD 管理者ロールAzure AD administrator roles

Azure AD 管理者ロールは、ディレクトリ内の Azure AD リソースの管理に使用されます。たとえば、ユーザーの作成や編集、他のユーザーへの管理ロールの割り当て、ユーザー パスワードのリセット、ユーザー ライセンスの管理、ドメインの管理などです。Azure AD administrator roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. 次の表では、より重要な Azure AD 管理者ロールのいくつかについて説明します。The following table describes a few of the more important Azure AD administrator roles.

Azure AD 管理者ロールAzure AD administrator role アクセス許可Permissions メモNotes
全体管理者Global Administrator
  • Azure Active Directory のすべての管理機能や、Azure Active Directory に統合されたサービスへのアクセスを管理するManage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • 他のユーザーに管理者ロールを割り当てるAssign administrator roles to others
  • すべてのユーザーと他のすべての管理者のパスワードをリセットするReset the password for any user and all other administrators
Azure Active Directory テナントにサインアップしたユーザーが全体管理者になります。The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
ユーザー管理者User Administrator
  • ユーザーとグループのすべての側面を作成および管理するCreate and manage all aspects of users and groups
  • サポート チケットの管理Manage support tickets
  • サービス正常性の監視Monitor service health
  • ユーザー、ヘルプデスク管理者、およびその他のユーザー管理者のパスワードを変更するChange passwords for users, Helpdesk administrators, and other User Administrators
課金管理者Billing Administrator
  • 購入するMake purchases
  • [サブスクリプションの管理]Manage subscriptions
  • サポート チケットの管理Manage support tickets
  • サービスの正常性を監視するMonitors service health

Azure portal では、Azure AD 管理者ロールの一覧が [ロールと管理者] ブレードに表示されます。In the Azure portal, you can see the list of Azure AD administrator roles on the Roles and administrators blade. すべての Azure AD 管理者ロールの一覧については、「Azure Active Directory での管理者ロールのアクセス許可」をご覧ください。For a list of all the Azure AD administrator roles, see Administrator role permissions in Azure Active Directory.

Azure portal での Azure AD 管理者ロール

Azure RBAC ロールと Azure AD 管理者ロールの違いDifferences between Azure RBAC roles and Azure AD administrator roles

高レベルでは、Azure RBAC ロールは Azure リソースを管理するアクセス許可を制御し、Azure AD 管理者ロールは Azure Active Directory リソースを管理するアクセス許可を制御します。At a high level, Azure RBAC roles control permissions to manage Azure resources, while Azure AD administrator roles control permissions to manage Azure Active Directory resources. 次の表は、相違点の一部を比較しています。The following table compares some of the differences.

Azure RBAC ロールAzure RBAC roles Azure AD 管理者ロールAzure AD administrator roles
Azure のリソースへのアクセスの管理Manage access to Azure resources Azure Active Directory リソースへのアクセスを管理するManage access to Azure Active Directory resources
カスタム ロールをサポートするSupports custom roles 独自のロールを作成できないCannot create your own roles
スコープを複数のレベル (管理グループ、サブスクリプション、リソース グループ、リソース) で指定できるScope can be specified at multiple levels (management group, subscription, resource group, resource) スコープはテナント レベルでScope is at the tenant level
ロール情報には、Azure portal、Azure CLI、Azure PowerShell、Azure Resource Manager テンプレート、REST API でアクセスできるRole information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API ロール情報には、Azure 管理ポータル、Microsoft 365 管理センター、Microsoft Graph、AzureAD PowerShell でアクセスできるRole information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

Azure RBAC ロールと Azure AD 管理者ロールは重なり合うかDo Azure RBAC roles and Azure AD administrator roles overlap?

既定では、Azure RBAC ロールと Azure AD 管理者ロールは、Azure と Azure AD にまたがっていません。By default, Azure RBAC roles and Azure AD administrator roles do not span Azure and Azure AD. ただし、全体管理者が Azure portal で [全体管理者は、Azure サブスクリプションと管理グループを管理できます] スイッチを選択して自分のアクセスを昇格させた場合、全体管理者は特定のテナントのすべてのサブスクリプションに対するユーザー アクセス管理者ロール (RBAC ロール) を許可されます。However, if a Global Administrator elevates their access by choosing the Global admin can manage Azure Subscriptions and Management Groups switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an RBAC role) on all subscriptions for a particular tenant. ユーザー アクセス管理者ロールを使用すると、ユーザーは他のユーザーに Azure リソースに対するアクセス権を付与できます。The User Access Administrator role enables the user to grant other users access to Azure resources. このスイッチは、サブスクリプションへのアクセス権を回復する場合に便利です。This switch can be helpful to regain access to a subscription. 詳細については、Azure AD 管理者としてのアクセス権の昇格に関するページを参照してください。For more information, see Elevate access as an Azure AD administrator.

いくつかの Azure AD 管理者ロール (全体管理者ロールやユーザー管理者ロールなど) は、Azure AD と Microsoft Office 365 にまたがっています。Several Azure AD administrator roles span Azure AD and Microsoft Office 365, such as the Global Administrator and User Administrator roles. たとえば、全体管理者ロールのメンバーであれば、Azure AD および Office 365 で全体管理者機能を持っています。たとえば、Microsoft Exchange や Microsoft SharePoint を変更する機能などです。For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Office 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. ただし、既定では、全体管理者は Azure リソースにアクセスできません。However, by default, the Global Administrator doesn't have access to Azure resources.

Azure RBAC ロールと Azure AD 管理者ロール

次の手順Next steps