Microsoft Entra ロールとロールベースのアクセス制御 (RBAC) について説明する
Microsoft Entra ロールは、Microsoft Entra リソースを管理するためのアクセス許可を制御します。 たとえば、ユーザー アカウントの作成を許可したり、課金情報を表示したりできます。 Microsoft Entra ID は組み込みとカスタムのロールをサポートしています。
ロールを使用したアクセスの管理は、ロールベースのアクセス制御 (RBAC) と呼ばれます。 Microsoft Entra の組み込みとカスタムのロールは、Microsoft Entra ロールが Microsoft Entra リソースへのアクセスを制御する RBAC の形式です。 これは、Microsoft Entra RBAC と呼ばれます。
組み込みのロール
Microsoft Entra ID には、アクセス許可セットが固定されたロールである組み込みロールが多数含まれています。 一般的な組み込みロールには、次のとおりです。
- "グローバル管理者": このロールのユーザーは、Microsoft Entra 内のすべての管理機能に対するアクセス権を持ちます。 Microsoft Entra テナントにサインアップするユーザーは、自動的にグローバル管理者になります。
- ユーザー管理者: このロールが割り当てられたユーザーは、ユーザーとグループを作成し、その全側面を管理できます。 また、サポート チケットを管理し、サービス正常性を監視することもできます。
- 課金管理者: このロールが割り当てられたユーザーは、サブスクリプションとサポート チケットを購入して管理し、サービスの正常性の監視できます。
組み込みロールはすべて、特定のタスク向けに設計されたアクセス許可が事前に構成されたバンドルです。 組み込みロールに含まれる固定のアクセス許可セットは変更できません。
カスタム ロール
Microsoft Entra には多くの組み込み管理者ロールがありますが、アクセス権を付与するときにカスタム ロールを使用すると柔軟性が高くなります。 カスタム ロールの定義は、プリセット リストから選択するアクセス許可のコレクションです。 選択するアクセス許可のリストは、組み込みロールで使用されるのと同じアクセス許可です。 違いは、カスタム ロールに含めるアクセス許可を選択できることです。
カスタム Microsoft Entra ロールを使用したアクセス許可の付与は、2 つの手順があるプロセスです。 最初のステップでは、カスタム ロール定義を作成します。これは、プリセット リストから追加するアクセス許可のコレクションで構成されます。 カスタム ロール定義を作成したら、2 つ目のステップで、ロールの割り当てを作成して、そのロールをユーザーまたはグループに割り当てます。
ロールの割り当てにより、指定したスコープでロール定義に含まれるアクセス許可がユーザーに付与されます。 スコープでは、ロール メンバーがアクセスできる Microsoft Entra リソースのセットを定義します。 カスタム ロールは、組織全体のスコープで割り当てることができます。つまり、ロール メンバーにはすべてのリソースに対してロールのアクセス許可が付与されます。 カスタム ロールは、オブジェクトのスコープで割り当てることもできます。 オブジェクト スコープの例は単一のアプリケーションです。 同じロールを、あるユーザーに対しては組織内のすべてのアプリケーションについて割り当て、別のユーザーに対しては Contoso Expense Reports アプリだけのスコープで割り当てる、といったことができます。
カスタム ロールには、Microsoft Entra ID P1 または P2 ライセンスが必要です。
ユーザーが必要なアクセスだけを許可する
ユーザーが作業を行うための最小限の特権をユーザーに付与することは、ベスト プラクティスであり、セキュリティが強化されます。 つまり、ほとんどのユーザーがユーザーを管理する場合は、グローバル管理者ではなく、ユーザー管理者ロールを割り当てる必要があります。 最小限の特権を割り当てることで、侵害されたアカウントで発生する可能性がある損害を制限できます。
Microsoft Entra ロールのカテゴリ
Microsoft Entra ID は、Microsoft 365 や Azure などの Microsoft Online ビジネス プランをサブスクライブしている場合に利用できるサービスです。
利用可能な Microsoft 365 サービスは、Microsoft Entra ID、Exchange、SharePoint、Microsoft Defender、Teams、Intune など多くあります。
Microsoft Entra サービスに Microsoft Entra リソースへのアクセスを制御する Microsoft Entra ロールがあるのと同様、Exchange や Intune などの一部の Microsoft 365 サービスは、時間をかけて独自のロールベースのアクセス制御システム (RBAC) を発展させてきました。 Teams や SharePoint などの他のサービスには、別個のロールベースのアクセス制御システムがなく、管理アクセスに Microsoft Entra ロールを使用します。
Microsoft 365 サービス全体にわたる ID 管理が便利になるように、Microsoft Entra ID にはサービス固有の組み込みロールがいくつか追加されており、それぞれによって Microsoft 365 サービスへの管理アクセス権が付与されます。 つまり、Microsoft Entra の組み込みロールは、使用できる場所が異なります。 カテゴリは大きく 3 つに分かれています。
Microsoft Entra 固有のロール:これらのロールでは、Microsoft Entra 内のリソースのみを管理するためのアクセス許可が付与されます。 たとえば、ユーザー管理者、アプリケーション管理者、グループ管理者では、そのどれにおいても Microsoft Entra ID 内にあるリソースを管理するためのアクセス許可が付与されます。
サービス固有のロール:Microsoft Entra ID には、主要な Microsoft 365 サービス用に、サービス内の機能を管理するためのアクセス許可を付与する組み込みのサービス固有のロールが含まれています。 たとえば、それぞれのサービスを使用して機能を管理できる Exchange 管理者、Intune 管理者、SharePoint 管理者、Teams 管理者の各ロールの組み込みロールが Microsoft Entra ID に含まれています。
サービス間のロール:Microsoft Entra ID 内に、複数のサービスにわたるロールがいくつかあります。 たとえば、Microsoft Entra ID には、Microsoft 365 内の複数のセキュリティ サービスにわたるアクセス権を付与する、セキュリティ管理者などのセキュリティ関連のロールがあります。 同様に、コンプライアンス管理者ロールは、コンプライアンス関連の設定を Microsoft 365 コンプライアンス センターや Exchange などで管理するアクセス権を付与します。
Microsoft Entra RBAC と Azure RBAC との違い
上記のとおり、Microsoft Entra の組み込みとカスタムのロールは、Microsoft Entra リソースへのアクセスを制御する RBAC の形式です。 これは、Microsoft Entra RBAC と呼ばれます。 Microsoft Entra ロールが Microsoft Entra リソースへのアクセスを制御できるのと同様に、Azure ロールも Azure リソースへのアクセスを制御できます。 これは Azure RBAC と呼ばれます。 RBAC の概念は Microsoft Entra RBAC と Azure RBAC の両方に適用されますが、それらの制御内容は異なります。
- Microsoft Entra RBAC - Microsoft Entra ロールは、ユーザー、グループ、アプリケーションなどの Microsoft Entra リソースへのアクセスを制御します。
- Azure RBAC - Azure ロールでは、Azure Resource Management を使用して、仮想マシンやストレージなどの Azure リソースへのアクセスを制御します。
ロールの定義とロールの割り当てが格納されるさまざまなデータ ストアがあります。 同様に、アクセス確認が行われるさまざまなポリシー決定ポイントがあります。