条件を使用して Azure ロールの割り当て管理を他のユーザーに委任する
管理者は、他のユーザーに委任させたい Azure リソースへのアクセス権を付与する依頼をいくつか受ける場合があります。 ユーザーに所有者またはユーザー アクセス管理者のロールを割り当てることができますが、これらは高い特権を持つロールです。 この記事では、組織内の他のユーザーにロールの割り当て管理を委任し、それらのロールの割り当ての制限を追加する、より安全な方法について説明します。 たとえば、割り当てできるロールを制約したり、ロールが割り当てできるプリンシパルを制約したりできます。
次の図は、条件を有する代理人が、Marketing または Sales グループに限ってバックアップ共同作成者またはバックアップ閲覧者のロールのみを割り当てできる方法を示しています。
前提条件
Azure ロールを割り当てるには、次のものが必要です。
Microsoft.Authorization/roleAssignments/write
アクセス許可 (ロール ベースのアクセス制御管理istrator、ユーザー アクセス 管理istrator など)
手順 1: 代理人が必要とするアクセス許可を特定する
代理人が必要とするアクセス許可を特定できるようにするには、次の質問に回答します。
- 代理人はどのロールを割り当ててもよいか?
- 代理人はどの種類のプリンシパルにロールを割り当ててもよいか?
- 代理人はどのプリンシパルにロールを割り当ててもよいか?
- 代理人は任意のロールの割り当てを削除してもよいか?
代理人が必要とするアクセス許可を把握したら、次の手順を使用して、代理人のロールの割り当てに条件を追加します。 条件の例については、「条件を使用して Azure ロールの割り当て管理を委任する例」を参照してください。
手順 2: 新しいロールの割り当てを開始する
Azure portal にサインインします。
次の手順に従って、[ロールの割り当てを追加] ページを開きます。
[ロール] タブで、[Privileged administrator role]\(特権管理者ロール\) タブを選択します。
ロール ベースのアクセス制御 管理istrator ロールを選択します。
[条件] タブが表示されます。
ユーザー アクセス 管理istrator など、アクションを
Microsoft.Authorization/roleAssignments/delete
含むMicrosoft.Authorization/roleAssignments/write
任意のロールを選択できますが、ロール ベースのアクセス制御管理アクセス許可が少なくなります。[メンバー] タブで、代理人を見つけて選択します。
手順 3: 条件を追加する
条件を追加する方法は 2 つあります。 条件テンプレートを使用することも、高度な条件エディターを使用することもできます。
[条件] タブの [ユーザーが実行できる操作] で、[選択したロールのみを選択したプリンシパルに割り当てることをユーザーに許可する (権限が少ない)] オプションを選択します。
[ロールとプリンシパルの選択] を選択 します。
[ロールの割り当て条件を追加する] ページが表示され、条件テンプレートの一覧が示されます。
条件テンプレートを選択し、[構成] を選択します。
条件テンプレート このテンプレートを選択する目的 Constrain roles (ロールを制約する) 選択したロールの割り当てのみをユーザーに許可する Constrain roles and principal types (ロールとプリンシパルの種類を制約する) 選択したロールの割り当てのみをユーザーに許可する
選択したプリンシパルの種類 (ユーザー、グループ、またはサービス プリンシパル) にのみこれらのロールを割り当てることをユーザーに許可するConstrain roles and principals (ロールとプリンシパルを制約する) 選択したロールの割り当てのみをユーザーに許可する
選択したプリンシパルにのみこれらのロールを割り当てることをユーザーに許可する構成ペインで、必要な構成を追加します。
[保存] を選択して、ロールの割り当てに条件を追加します。
手順 4: 条件付きのロールを代理人に割り当てる
[Review + assign](確認と割り当て) タブで、ロールの割り当ての設定を確認します。
[Review + assign](確認と割り当て) を選択してロールを割り当てます。
しばらくすると、代理人には、ロールの割り当て条件が付いたロール ベースのアクセス制御管理者ロールが割り当てられます。
手順 5: 代理人が条件付きでロールを割り当てる
これで、代理人は、ロールを割り当てる手順に従うことができます。
代理人が Azure portal でロールを割り当てようとすると、ロールの一覧がフィルター処理され、割り当て可能なロールだけが表示されます。
プリンシパルに関する条件がある場合は、割り当てに使用できるプリンシパルの一覧もフィルター処理されます。
代理人が API を使用して条件外のロールを割り当てようとすると、ロールの割り当てはエラーで失敗します。 詳細については、「症状 - ロールを割り当てることができない」を参照してください。