Microsoft Entra ロールを構成して管理する

  • 7 分

Microsoft Entra ID は、Microsoft のクラウドベースの ID およびアクセス管理サービスであり、以下に含まれるリソースへの従業員のサインインとアクセスを支援します。

  • Microsoft 365、Azure portal、その他何千という SaaS アプリケーションなど、外部リソース。
  • 企業ネットワークとイントラネット上のアプリや、自分の組織で開発したクラウド アプリなどの内部リソース。

Microsoft Entra ID のユーザー

Microsoft Entra ID の対象者:

  • IT 管理者 - IT 管理者は Microsoft Entra ID を使用して、ビジネス要件に基づいてアプリやアプリ リソースへのアクセスを制御できます。 たとえば、Microsoft Entra ID を使用して、重要な組織リソースへのアクセス時に多要素認証を要求することができます。 また、Microsoft Entra ID を使用して、既存の Windows Server AD とクラウド アプリ (Microsoft 365 など) の間のユーザー プロビジョニングを自動化することもできます。 最後に、Microsoft Entra ID は、ユーザー ID と資格情報を自動的に保護し、アクセス ガバナンス要件を満たすうえで強力なツールとなります。
  • アプリ開発者 - アプリ開発者はアプリにシングル サインオン (SSO) を追加するための標準ベースのアプローチとして Microsoft Entra ID を使用して、アプリがユーザーの既存の資格情報を使用できるようにすることができます。 また、Microsoft Entra ID は、既存の組織データを使用してカスタマイズされたアプリ エクスペリエンスを構築するのに役立つ API も提供します。
  • Microsoft 365、Office 365、Azure、または Dynamics CRM Online サブスクライバー - サブスクライバーは、既に Microsoft Entra ID を使用しています。 Microsoft 365、Office 365、Azure、および Dynamics CRM Online の各テナントは、自動的に Microsoft Entra テナントになります。 統合されたクラウド アプリへのアクセスの管理をすぐに始めることができます。

Microsoft Entra ID で、ユーザーの 1 人に Microsoft Entra リソースを管理するためのアクセス許可が必要になったら、ユーザーが必要とするアクセス許可を提供するロールにユーザーを割り当てる必要があります。

Azure を初めて使用する場合、Azure のさまざまなロールを理解することは少し難しいかもしれません。 次のセクションでは、以下のロールについて説明し、Azure ロールと Microsoft Entra ロールに関する追加情報を提供します。

  • 従来のサブスクリプション管理者ロール
  • Azure ロール
  • Microsoft Entra ロール

Microsoft Entra ロール

Microsoft Entra ロールは、ディレクトリ内の Microsoft Entra リソースを管理するために使用されます。 ユーザーの作成や編集などのアクションが最も一般的です。 ただし、管理ロールを他のユーザーに割り当てたり、ユーザー パスワードをリセットしたり、ユーザー ライセンスを管理したり、ドメインを管理したりすることが必要な場合が一般的です。 次の表では、より重要な Microsoft Entra ロールのいくつかについて説明します。

Microsoft Entra ロール アクセス許可 メモ
グローバル管理者 Microsoft Entra ID のすべての管理機能、および Microsoft Entra ID に対してフェデレーションを行うサービスへのアクセスを管理する Microsoft Entra テナントにサインアップする人物が、最初の全体管理者になります。
他のユーザーに管理者ロールを割り当てる
すべてのユーザーと他のすべての管理者のパスワードをリセットする
ユーザー管理者 ユーザーとグループのすべての側面を作成および管理する
サポート チケットの管理
サービス正常性の監視
ユーザー、ヘルプデスク管理者、およびその他のユーザー管理者のパスワードを変更する
課金管理者 購入する
サブスクリプションの管理
サポート チケットの管理
サービスの正常性を監視する

Azure portal では、[ロールと管理者] 画面で Microsoft Entra ロールの一覧を確認できます。

Screenshot of the Microsoft Entra roles on the Roles and administrators window in Microsoft Entra ID manage menu of the Azure portal.

Azure ロールと Microsoft Entra ロールの違い

大まかに言えば、Azure ロールは Azure リソースを管理するアクセス許可を制御し、Microsoft Entra ロールは Microsoft Entra リソースを管理するアクセス許可を制御します。 次の表は、相違点の一部を比較しています。

Azure ロール Microsoft Entra ロール
Azure のリソースへのアクセスの管理 Microsoft Entra リソースへのアクセスを管理する
カスタム ロールをサポートする カスタム ロールをサポートする
スコープを複数のレベル (管理グループ、サブスクリプション、リソース グループ、リソース) で指定できる スコープはテナント レベルであるか、管理単位に適用できます
ロール情報には、Azure portal、Azure CLI、Azure PowerShell、Azure Resource Manager テンプレート、REST API でアクセスできる ロール情報には、Azure 管理ポータル、Microsoft 365 管理センター、Microsoft Graph、PowerShell でアクセスできる

Azure ロールと Microsoft Entra ロールは重複していますか?

既定では、Azure ロールと Microsoft Entra ロールは、Azure と Microsoft Entra ID にまたがりません。 ただし、グローバル管理者が Azure portal で [Azure リソースのアクセス管理] スイッチを選択して自分のアクセスを昇格させた場合、グローバル管理者は特定のテナントのすべてのサブスクリプションに対するユーザー アクセス管理者ロール (Azure ロール) を許可されます。 ユーザー アクセス管理者ロールを使用すると、ユーザーは他のユーザーに Azure リソースに対するアクセス権を付与できます。 このスイッチは、サブスクリプションへのアクセス権を回復する場合に便利です。

いくつかの Microsoft Entra ロール (全体管理者やユーザー管理者ロールなど) は、Microsoft Entra ID と Microsoft 365 にまたがっています。 たとえば、全体管理者ロールのメンバーであれば、Microsoft Entra ID および Microsoft 365 における全体管理者の権限を持つことになります。たとえば、Microsoft Exchange や Microsoft SharePoint に変更を加える権限などです。 ただし、既定では、グローバル管理者は Azure リソースにアクセスできません。

Diagram of relationship of Azure roles to Microsoft Entra roles. Azure roles accessed in Azure tenant. Microsoft Entra roles also accessed from Microsoft Entra ID and Microsoft 365.

ロールを割り当てる

Microsoft Entra ID 内でロールを割り当てる方法は複数あります。 自分のニーズに合ったものを選ぶ必要があります。 方法によってユーザー インターフェイスが若干異なる場合がありますが、構成オプションは同様のものです。 ロールを割り当てる方法には次のようなものがあります。

  • ユーザーまたはグループにロールを割り当てる

    • [Microsoft Entra ID] - [ロールと管理] - [ロールの選択] - [+ 割り当ての追加]

  • ユーザーまたはグループをロールに割り当てる

    • [Microsoft Entra ID] - [ユーザー] (または [グループ]) を開く - [ユーザー] (または [グループ]) を選択する - [割り当てられたロール] - [+ 割り当ての追加]

  • サブスクリプション、リソース グループ、管理グループなどの広いスコープにロールを割り当てる

    • 各設定画面の [アクセス制御 (IAM)] で行います

  • PowerShell または Microsoft Graph API を使用してロールを割り当てる

  • Privileged Identity Management (PIM) を使用してロールを割り当てる

構成のニーズに応じて最適な方法を使用できますが、組み込みの制限がないので注意が必要です。 管理者アクセス権を必要としないユーザーを含むグループに管理者ロールを誤って割り当ててしまう場合があります。 過剰なアクセス許可は、操作の影響をよく理解していないユーザーによって、ソリューションが変更されたり、場合によっては潜在的な攻撃リスクが発生したりする可能性があります。 適切な ID ガバナンスが重要です。

例 - PIM を使用してロールを割り当てる

ユーザーに Microsoft Entra ロールを割り当てる一般的な方法は、ユーザーの [割り当てられたロール] ページです。 Privileged Identity Management (PIM) を使用して、ユーザーの資格を構成し、ジャストインタイムでロールに設定することもできます。

Note

Microsoft Entra ID Premium P2 ライセンス プランを所有しており、既に PIM を使用している場合、すべてのロール管理タスクは Privileged Identity Management エクスペリエンスで実行されます。 この機能では現在、一度に 1 つだけのロールに割り当てることができます。 現在のところ、複数のロールを選択し、一度にユーザーに割り当てることはできません。

Screenshot of Privileged Identity Manager for users assigned Global Admin and have a Premium P2 license.

Microsoft Entra ID でカスタム ロールを作成して割り当てる

このセクションでは、Microsoft Entra ID で新しいカスタム ロールを作成する方法について説明します。 カスタム ロールの基本については、カスタム ロールの概要を参照してください。 ロールを割り当てることができるのは、ディレクトリ レベルのスコープまたはアプリ登録リソースのスコープだけです。

カスタム ロールは、Microsoft Entra ID 概要ページの[ロールと管理者] タブで作成できます。

  1. [Microsoft Entra ID] - [ロールと管理者] - [新しいカスタム ロール] を選択します。

    Screenshot of Create or edit custom roles from the Roles and administrators page.

  2. [基本] タブでロールの名前と説明を指定し、[次へ] を選びます。

    Screenshot of the basics tab. You provide a name and description for a custom role on the Basics tab.

  3. [アクセス許可] タブで、アプリ登録の基本的なプロパティと資格情報のプロパティを管理するために必要な権限を選択します。

  4. 最初に、検索バーに「credentials」と入力し、microsoft.directory/applications/credentials/update アクセス許可を選択します。

    Screenshot of the Select the permissions for a custom role on the Permissions tab.

  5. 次に、検索バーに「basic」と入力し、microsoft.directory/applications/basic/update アクセス許可を選んで、[次へ] を選びます。

  6. [確認と作成] タブでアクセス許可を確認し、 [作成] を選択します。

カスタム ロールが、割り当て可能なロールの一覧に表示されます。