Azure portal を使用して外部ユーザーに Azure ロールを割り当てる

Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、環境内の特定のリソースへのアクセスが必要なものの、インフラストラクチャ全体や課金に関連するスコープへのアクセスが必ずしも必要ではない外部のコラボレーター、ベンダー、フリーランサーと連携している大企業や中小企業向けの、優れたセキュリティ管理を実現できます。 Microsoft Entra B2B の機能を使用して外部ユーザーと共同作業を行うことができます。また、Azure RBAC を使用して、自分の環境で外部ユーザーに必要なアクセス許可のみを付与することができます。

前提条件

Azure ロールを割り当てたりロール割り当てを削除したりするには、以下が必要です。

• Microsoft.Authorization/roleAssignments/write および Microsoft.Authorization/roleAssignments/delete のアクセス許可 (ユーザー アクセス管理者や所有者など)

いつ外部ユーザーを招待しますか?

ここでは、ユーザーを組織に招待し、アクセス許可を付与するシナリオ例をいくつか示します。

• プロジェクトの Azure リソースにアクセスするために、電子メール アカウントしか持っていない外部の自営仕入先を許可します。
• 外部パートナーが特定のリソースまたはサブスクリプション全体を管理することを許可します。
• 組織外のサポート エンジニア (Microsoft サポートなど) に、問題をトラブルシューティングしてもらうために Azure リソースに一時的にアクセスすることを許可します。

メンバー ユーザーとゲスト ユーザーのアクセス許可の違い

メンバーの種類 (メンバー ユーザー) を持つディレクトリのユーザーは、B2B コラボレーション ゲスト (ゲスト ユーザー) として別のディレクトリから招待されたユーザーとは既定で異なるアクセス許可を持ちます。 たとえば、メンバー ユーザーはほとんどすべてのディレクトリ情報を読み取ることができますが、ゲスト ユーザーにはディレクトリのアクセス許可が制限されています。 メンバー ユーザーとゲスト ユーザーの詳細については、「Microsoft Entra ID の既定のユーザー アクセス許可とは」を参照してください。

外部ユーザーをディレクトリに招待する

Microsoft Entra ID で外部ユーザーをディレクトリに招待するには、次の手順に従います。

1. Azure portal にサインインします。

2. 組織の外部コラボレーション設定が、外部ユーザーを招待できるように構成されていることを確認します。 詳細については、外部コラボレーション設定の構成を参照してください。

3. [Microsoft Entra ID]>[ユーザー] の順に選択します。

4. [新しいユーザー]>[外部ユーザーの招待] を選択します。

   

5. 手順に従って外部ユーザーを招待します。 詳細については、Azure portal での Microsoft Entra B2B コラボレーション ユーザーの追加に関するページを参照してください。

外部ユーザーをディレクトリに招待すると、共有アプリへの直接リンクを外部ユーザーに送信するか、外部ユーザーが招待メール内の招待の承諾リンクを選択できます。

外部ユーザーがディレクトリにアクセスできるようになるには、招待プロセスを完了する必要があります。

招待プロセスの詳細については、「Microsoft Entra B2B コラボレーションの招待の引き換え」を参照してください。

外部ユーザーにロールを割り当てる

Azure RBAC でアクセス権を付与するには、ロールを割り当てます。 外部ユーザーにロールを割り当てるには、メンバー ユーザー、グループ、サービス プリンシパル、またはマネージド ID の場合と同じ手順を実行します。 次の手順に従って、異なるスコープの外部ユーザーにロールを割り当てます。

1. Azure portal にサインインします。

2. 上部にある [検索] ボックスで、アクセス権を付与するスコープを検索します。 たとえば、 [管理グループ] 、 [サブスクリプション] 、 [リソース グループ] 、または特定のリソースを検索します。

3. そのスコープの特定のリソースを選択します。

4. [アクセス制御 (IAM)] を選択します。

   リソース グループの [アクセス制御 (IAM)] ページの例を次に示します。

   

5. [ロールの割り当て] タブを選択して、このスコープのロールの割り当てを表示します。

6. [追加]>[ロール割り当ての追加] の順に選択します。

   ロールを割り当てるアクセス許可を持ってない場合は、[ロールの割り当 ての追加 ] オプションが無効になります。

   

   [ロールの割り当ての追加] ページが開きます。

7. [ロール] タブで、[仮想マシン共同作成者] などのロールを選択します。

   

8. [メンバー] タブで、[User, group, or service principal]\(ユーザー、グループ、またはサービス プリンシパル\) を選択します。

   

9. [メンバーの選択] を選択します。

10. 外部ユーザーを見つけて選択します。 一覧にユーザーが表示されない場合には、[選択] ボックスに表示名またはメール アドレスを入力してディレクトリを検索します。

    [選択] ボックスに表示名またはメール アドレスを入力してディレクトリを検索できます。

    

11. [選択] を選び、メンバーの一覧に外部ユーザーを追加します。

12. [確認と割り当て] タブで、 [確認と割り当て] を選択します。

    しばらくすると、選択されたスコープで、外部ユーザーにロールが割り当てられます。

    

ディレクトリにまだ存在しない外部ユーザーにロールを割り当てる

外部ユーザーにロールを割り当てるには、メンバー ユーザー、グループ、サービス プリンシパル、またはマネージド ID の場合と同じ手順を実行します。

外部ユーザーがディレクトリにまだ存在しない場合は、[メンバーの選択] ペインからユーザーを直接招待できます。

1. Azure portal にサインインします。

2. 上部にある [検索] ボックスで、アクセス権を付与するスコープを検索します。 たとえば、 [管理グループ] 、 [サブスクリプション] 、 [リソース グループ] 、または特定のリソースを検索します。

3. そのスコープの特定のリソースを選択します。

4. [アクセス制御 (IAM)] を選択します。

5. [追加]>[ロール割り当ての追加] の順に選択します。

   ロールを割り当てるアクセス許可を持ってない場合は、[ロールの割り当 ての追加 ] オプションが無効になります。

   

   [ロールの割り当ての追加] ページが開きます。

6. [ロール] タブで、[仮想マシン共同作成者] などのロールを選択します。

7. [メンバー] タブで、[User, group, or service principal]\(ユーザー、グループ、またはサービス プリンシパル\) を選択します。

   

8. [メンバーの選択] を選択します。

9. [選択] ボックスに、招待する相手のメール アドレスを入力し、その人物を選択します。

   

10. [選択] を選び、メンバーの一覧に外部ユーザーを追加します。

11. [レビューと割り当て] タブの [レビューと割り当て] を選び、外部ユーザーをディレクトリに追加し、ロールを割り当てて招待状を送信します。

    しばらくすると、ロールの割り当ての通知と、招待に関する情報が表示されます。

    

12. 外部ユーザーを手動で招待するには、通知の招待リンクを右クリックしてコピーします。 招待リンクを選択すると、招待プロセスが開始されるため、選択しないでください。

    招待リンクの形式は次のとおりです。

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

13. 外部ユーザーに招待リンクを送信して招待プロセスを完了します。

    招待プロセスの詳細については、「Microsoft Entra B2B コラボレーションの招待の引き換え」を参照してください。

ディレクトリから外部ユーザーを削除する

ディレクトリから外部ユーザーを削除する前に、まずその外部ユーザーのロールの割り当てを削除する必要があります。 ディレクトリから外部ユーザーを削除するには、次の手順に従います。

1. 外部ユーザーにロールが割り当てられている管理グループ、サブスクリプション、リソース グループ、リソースなどのスコープで [アクセス制御 (IAM)] を開きます。

2. [ロールの割り当て] タブを選び、すべてのロールの割り当てを表示します。

3. ロールの割り当ての一覧で、ロールの割り当てを削除する外部ユーザーの隣にチェックマークを追加します。

   

4. [削除] を選択します。

   

5. ロールの割り当ての削除メッセージが表示されたら、[はい] を選びます。

6. [従来の管理者] タブを選択します。

7. 外部ユーザーに共同管理者が割り当てられている場合、外部ユーザーの横にチェック マークを追加し、[削除] を選びます。

8. 左側のナビゲーション バーで、[Microsoft Entra ID]>[ユーザー] を選びます。

9. 削除する外部ユーザーを選びます。

10. 削除を選択します。

    

11. 表示される削除メッセージで、[はい] を選択します。

トラブルシューティング

外部ユーザーがディレクトリを参照できない

外部ユーザーは、ディレクトリ アクセス許可を制限されています。 たとえば、外部ユーザーはディレクトリを参照したり、グループやアプリケーションを検索したりすることはできません。 詳細については、「Microsoft Entra ID の既定のユーザー アクセス許可とは」を参照してください。

外部ユーザーがディレクトリで追加の特権を必要とする場合は、その外部ユーザーに Microsoft Entra ロールを割り当てることができます。 外部ユーザーにディレクトリへのフル読み取りアクセスを付与する必要がある場合は、Microsoft Entra ID のディレクトリ閲覧者ロールにその外部ユーザーを追加できます。 詳細については、Azure portal での Microsoft Entra B2B コラボレーション ユーザーの追加に関するページを参照してください。

外部ユーザーが、ユーザー、グループ、またはサービス プリンシパルを参照してロールを割り当てることができない

外部ユーザーは、ディレクトリ アクセス許可を制限されています。 外部ユーザーがあるスコープの所有者であっても、他のユーザーにアクセスを許可するロールを割り当てようとすると、ユーザー、グループ、またはサービス プリンシパルの一覧を参照できません。

外部ユーザーは、ディレクトリ内のユーザーの正確なサインイン名を知っていれば、アクセス権を付与することができます。 外部ユーザーにディレクトリへのフル読み取りアクセスを付与する必要がある場合は、Microsoft Entra ID のディレクトリ閲覧者ロールにその外部ユーザーを追加できます。 詳細については、Azure portal での Microsoft Entra B2B コラボレーション ユーザーの追加に関するページを参照してください。

外部ユーザーがアプリケーションを登録したり、サービス プリンシパルを作成したりできない

外部ユーザーは、ディレクトリ アクセス許可を制限されています。 外部ユーザーがアプリケーションを登録したり、サービス プリンシパルを作成できるようにする必要がある場合は、その外部ユーザーを Microsoft Entra ID のアプリケーション開発者ロールに追加できます。 詳細については、Azure portal での Microsoft Entra B2B コラボレーション ユーザーの追加に関するページを参照してください。

外部ユーザーに新しいディレクトリが表示されない

外部ユーザーにディレクトリへのアクセスが許可されているにもかかわらず、[ディレクトリ] ページに切り替えようとしたときに Azure portal に新しいディレクトリが一覧表示されない場合は、その外部ユーザーが招待プロセスを完了していることを確認してください。 招待プロセスの詳細については、「Microsoft Entra B2B コラボレーションの招待の引き換え」を参照してください。

外部ユーザーにリソースが表示されない

外部ユーザーにディレクトリへのアクセスが許可されているにもかかわらず、アクセスを許可されているリソースが Azure portal に表示されない場合は、その外部ユーザーが正しいディレクトリを選択していることを確認してください。 外部ユーザーは複数のディレクトリにアクセスできる場合があります。 ディレクトリを切り替えるには、左上にある [設定]>[ディレクトリ] を選び、適切なディレクトリを選びます。

次のステップ

• Azure portal で Microsoft Entra B2B コラボレーション ユーザーを追加する
• Microsoft Entra B2B コラボレーション ユーザーのプロパティ
• B2B コラボレーションの招待メールの要素 - Microsoft Entra ID