Microsoft Azure の各種アカウント権限について
2018/3/15 現在
みなさんこんにちは、Microsoft Azureサポートチームです。Microsoft Azure を運用管理していく中で、いろいろな管理者が登場します。今回は、「どのような管理者がいるのか」「各管理者はどのようなことができるのか」を紹介します。
お客様とお話をする中でもたびたび登場する言葉ですので、理解の一助になれば幸いです。
※スクリーンショットは2013 年 9 月 30 日時点のものです。
管理者の種類と全体像
Microsoft Azureでは、以下の異なる役割を持った管理者がいます。
- アカウント管理者
- サービス管理者
- 共同管理者
- ロールベースのアクセス制御 (RBAC)
各管理者の関係は次の図のようになります。
Memo
- アカウント管理者は複数のサービス管理者の管理し、サービス管理者は複数の共同管理者を管理します。アカウント管理者は直接共同管理者を管理することはできません。
- 各管理者の実体は、Microsoft アカウント / 組織アカウントです。これらアカウントの詳細はこちらをご参照ください。
アカウント管理者とは
アカウント管理者とは、サブスクリプションの購入から、購入後のオンライン請求書や契約管理など、マイクロソフトとお客様との間の、金銭や契約に関わる作業を行う管理者のことです。次のような作業をするために、アカウントポータルへのアクセス権および管理権限が与えられています。
- Azure サブスクリプションやサポートオプションの購入
- サブスクリプションごとのサービス管理者の指定
- オンライン請求書の発行やサブスクリプション情報などのメール通知の受信
- オンライン請求書ならびに使用量レポートのダウンロード
- 支払方法の変更
アカウントポータルの画面
<注意点>
- この管理者は金銭や契約に関わる作業を行う管理者であるため、Windows Azure の各種サービスを利用する管理ポータルへのアクセス権および管理権限はありません。 管理ポータルを利用するには、対象アカウントを後述するサービス管理者や共同管理者に指定する必要があります。
- アカウント管理者には、請求書の発行やサブスクリプション情報・定期メンテナンスの情報など重要なメール通知が行われます。ご確認いただきますようお願いします。
- アカウント管理者の変更は、セキュリティ上の観点から、お客様ご自身で実施することはできません。別途、Microsoft Azure サポートまでお問い合わせください。
サービス管理者とは
サービス管理者とは、Microsoft Azure の各種サービスを利用するための管理者です。各サブスクリプションに 1 つサービス管理者が紐づいています。Microsoft Azureのサービスを利用する、管理ポータルへのアクセスおよび管理権限が与えられています。
一方で、アカウントポータルへのアクセス権および管理権限は与えられていませんのでご注意ください。
サービス管理者はアカウント管理者によって変更することができます。変更の手順についてはこちらをご確認ください。
共同管理者とは
共同管理者とは、サービス管理者と同様に、Microsoft Azure の各種サービスを利用するための管理者です。サブスクリプションごとに最大 200 名まで登録することができます。共同管理者は、サービス管理者もしくは共同管理者によって追加・削除ができます。変更の手順についてはこちらをご確認ください。
ロールベースのアクセス制御 (RBAC) とは
ユーザー、グループ、サービスごとに割り当てられる、Microsoft Azure のアクセス許可を詳細に管理するための機能です。
Microsoft Azure ポータル上で用意されている既定の組み込みロールと、お客様ご自身でカスタマイズしたロールを割り当てることが可能です。また、各サブスクリプション内では、最大 2,000 のロールの割り当てを許可できます。
詳細については、以下のドキュメントをご参照ください。
Azure Portal でのロールベースの Access Control の基礎を確認する Azure ロールベースのアクセス制御の組み込みロール Azure Portal のユーザーとグループのアクセス権の割り当てを表示 ロールベースのアクセス制御を使用して Azure サブスクリプション リソースへのアクセスを管理する
変更履歴
- 2018 年 3 月 15 日 共同管理者の追加方法など変更に伴い更新
--
Microsoft Azure サポートチーム