従来のサブスクリプション管理者ロール、Azure ロール、および Azure AD ロール
Azure を初めて使用する場合、Azure のさまざまなロールを理解することは少し難しいかもしれません。 この記事では、以下のロールと、それぞれをどのような場合に使用するかについて説明します。
- 従来のサブスクリプション管理者ロール
- Azure ロール
- Azure Active Directory (Azure AD) ロール
各ロールの関係
Azure のロールをよりよく理解するには、歴史の一部を知ることが役立ちます。 Azure が最初にリリースされたとき、リソースへのアクセスは次の 3 つの管理者ロールで管理されました:アカウント管理者、サービス管理者、共同管理者。 その後、Azure ロールベースのアクセス制御 (Azure RBAC) が追加されます。 Azure RBAC は、Azure リソースに対するきめ細かいアクセス管理を提供する、より新しい承認システムです。 Azure RBAC には多数の組み込みロールがあり、異なるスコープで割り当てることができます。また、独自のカスタム ロールを作成することができます。 ユーザー、グループ、ドメインなどの、Azure AD のリソースを管理するためには、いくつかの Azure AD ロールがあります。
次の図は、従来のサブスクリプション管理者ロール、Azure ロール、および Azure AD ロールがどのように関連しているかを大まかに示しています。
従来のサブスクリプション管理者ロール
アカウント管理者、サービス管理者、および共同管理者は、Azure の従来の 3 種類のサブスクリプション管理者ロールです。 従来のサブスクリプション管理者には、Azure サブスクリプションへのフル アクセス権があります。 Azure portal、Azure Resource Manager API、およびクラシック デプロイ モデル API を使用して、リソースを管理することができます。 Azure へのサインアップに使用されたアカウントは、自動的にアカウント管理者とサービス管理者の両方として設定されます。 その後、共同管理者を追加できます。 サービス管理者および共同管理者は、サブスクリプション スコープで所有者ロール (Azure ロール) が割り当てられているユーザーと同等のアクセス権を持ちます。 次の表では、これら 3 つの従来のサブスクリプション管理ロールの違いについて説明します。
従来のサブスクリプション管理者 | 制限 | アクセス許可 | ノート |
---|---|---|---|
アカウント管理者 | 1 Azure アカウントに 1 人 |
|
概念的には、サブスクリプションの課金の所有者です。 |
サービス管理者 | 1 Azure サブスクリプションに 1 人 |
|
既定で、新しいサブスクリプションのアカウント管理者はサービス管理者でもあります。 サービス管理者は、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。 サービス管理者には、Azure portal へのフル アクセス権が与えられます。 |
共同管理者 | サブスクリプションあたり 200 人 |
|
共同管理者は、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。 |
Azure portal では、 [従来の管理者] タブを使用して、共同管理者を管理したり、サービス管理者を表示したりできます。
Azure portal では、お使いのサブスクリプションのプロパティ ブレードで、サービス管理者を表示または変更したり、アカウント管理者を表示したりすることができます。
詳しくは、「Azure の従来のサブスクリプション管理者」をご覧ください。
Azure アカウントと Azure サブスクリプション
Azure アカウントは、請求関係を表します。 Azure アカウントは、ユーザー ID、1 つ以上の Azure サブスクリプション、および関連する Azure リソースのセットです。 アカウントを作成する人は、そのアカウントで作成されるすべてのサブスクリプションのアカウント管理者です。 その人は、サブスクリプションの既定のサービス管理者でもあります。
Azure サブスクリプションは、Azure リソースへのアクセスを整理するために役立ちます。 さらに、リソースの使用状況の報告、課金、および支払い方法の制御にも役立ちます。 サブスクリプションごとに異なる課金および支払いを設定することができるため、オフィス別、部門別、プロジェクト別などで、異なるサブスクリプションや異なるプランを利用することができます。 すべてのサービスがサブスクリプションに所属し、プログラムによる操作ではサブスクリプション ID が必要になることがあります。
すべてのサブスクリプションは Azure AD ディレクトリと関連付けられています。 サブスクリプションが関連付けられているディレクトリを検索するには、Azure portal で [サブスクリプション] を開き、ディレクトリを表示するサブスクリプションを選択します。
アカウントとサブスクリプションは、Azure portal で管理されます。
Azure ロール
Azure RBAC は、コンピューティングやストレージなどの Azure リソースに対するきめ細かなアクセス管理を提供する、Azure Resource Manager 上に構築された承認システムです。 Azure RBAC には、70 を超える組み込みロールが含まれています。 基本的な Azure ロールは 4 つです。 最初の 3 つは、すべてのリソースの種類に適用されます。
Azure ロール | アクセス許可 | ノート |
---|---|---|
所有者 |
|
サービス管理者と共同管理者は、サブスクリプション スコープで所有者ロールを割り当てられます すべてのリソースの種類に適用されます。 |
Contributor |
|
すべてのリソースの種類に適用されます。 |
Reader |
|
すべてのリソースの種類に適用されます。 |
User Access Administrator |
|
残りの組み込みロールは、特定の Azure リソースの管理を許可します。 たとえば、仮想マシン共同作成者ロールが割り当てられたユーザーには、仮想マシンの作成と管理が許可されます。 すべての組み込みロールの一覧については、Azure の組み込みロールに関するページを参照してください。
Azure RBAC は Azure portal と Azure Resource Manager API の組み合わせのみでサポートされています。 Azure ロールが割り当てられているユーザー、グループ、アプリケーションは、Azure クラシック デプロイ モデル API を使用できません。
Azure portal では、Azure RBAC を使用したロールの割り当てが [アクセス制御 (IAM)] ブレードに表示されます。 このブレードは、管理グループ、サブスクリプション、リソース グループ、各種リソースなど、ポータル全体で表示されます。
[ロール] タブをクリックすると、組み込みロールとカスタム ロールの一覧が表示されます。
詳細については、Azure portal を使用して Azure ロールを割り当てる方法に関するページを参照してください。
Azure AD ロール
Azure AD ロールは、ディレクトリ内の Azure AD リソースの管理に使用されます。たとえば、ユーザーの作成や編集、他のユーザーへの管理ロールの割り当て、ユーザー パスワードのリセット、ユーザー ライセンスの管理、ドメインの管理などです。 次の表では、より重要な Azure AD ロールのいくつかについて説明します。
Azure AD ロール | アクセス許可 | ノート |
---|---|---|
全体管理者 |
|
Azure Active Directory テナントにサインアップしたユーザーが全体管理者になります。 |
ユーザー管理者 |
|
|
課金管理者 |
|
Azure portal では、Azure AD ロールの一覧が [ロールと管理者] ブレードに表示されます。 すべての Azure AD ロールの一覧については、「Azure Active Directory での管理者ロールのアクセス許可」を参照してください。
Azure ロールと Azure AD ロールの違い
大まかに言えば、Azure ロールは Azure リソースを管理するアクセス許可を制御し、Azure AD ロールは Azure Active Directory リソースを管理するアクセス許可を制御します。 次の表は、相違点の一部を比較しています。
Azure ロール | Azure AD ロール |
---|---|
Azure のリソースへのアクセスの管理 | Azure Active Directory リソースへのアクセスを管理する |
カスタム ロールをサポートする | カスタム ロールをサポートする |
スコープを複数のレベル (管理グループ、サブスクリプション、リソース グループ、リソース) で指定できる | スコープをテナントレベル (組織全体)、管理単位、または個々のオブジェクトごと (たとえば、特定のアプリケーションなど) で指定できる |
ロール情報には、Azure portal、Azure CLI、Azure PowerShell、Azure Resource Manager テンプレート、REST API でアクセスできる | ロール情報には、Azure 管理ポータル、Microsoft 365 管理センター、Microsoft Graph、AzureAD PowerShell でアクセスできる |
Azure ロールと Azure AD ロールは重なり合うか
既定では、Azure ロールと Azure AD ロールは、Azure と Azure AD にまたがっていません。 ただし、全体管理者が Azure portal で [Azure リソースのアクセス管理] スイッチを選択して自分のアクセスを昇格させた場合、全体管理者は特定のテナントのすべてのサブスクリプションに対するユーザー アクセス管理者ロール (Azure ロール) を許可されます。 ユーザー アクセス管理者ロールを使用すると、ユーザーは他のユーザーに Azure リソースに対するアクセス権を付与できます。 このスイッチは、サブスクリプションへのアクセス権を回復する場合に便利です。 詳細については、「Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる」を参照してください。
いくつかの Azure AD ロール (全体管理者ロールやユーザー管理者ロールなど) は、Azure AD と Microsoft 365 にまたがっています。 たとえば、全体管理者ロールのメンバーであれば、Azure AD および Microsoft 365 における全体管理者機能を持つことになります。たとえば、Microsoft Exchange や Microsoft SharePoint を変更する機能などです。 ただし、既定では、全体管理者は Azure リソースにアクセスできません。