条件を使用して Azure ロールの割り当て管理を他のユーザーに委任する

[アーティクル]
02/06/2024

管理者は、他のユーザーに委任させたい Azure リソースへのアクセス権を付与する依頼をいくつか受ける場合があります。ユーザーに所有者またはユーザーアクセス管理者のロールを割り当てることができますが、これらは高い特権を持つロールです。この記事では、組織内の他のユーザーにロールの割り当て管理を委任し、それらのロールの割り当ての制限を追加する、より安全な方法について説明します。たとえば、割り当てできるロールを制約したり、ロールが割り当てできるプリンシパルを制約したりできます。

次の図は、条件を有する代理人が、Marketing または Sales グループに限ってバックアップ共同作成者またはバックアップ閲覧者のロールのみを割り当てできる方法を示しています。

前提条件

Azure ロールを割り当てるには、次のものが必要です。

Microsoft.Authorization/roleAssignments/writeアクセス許可 (ロールベースのアクセス制御管理istrator、ユーザーアクセス管理istrator など)

手順 1: 代理人が必要とするアクセス許可を特定する

代理人が必要とするアクセス許可を特定できるようにするには、次の質問に回答します。

代理人はどのロールを割り当ててもよいか?
代理人はどの種類のプリンシパルにロールを割り当ててもよいか?
代理人はどのプリンシパルにロールを割り当ててもよいか?
代理人は任意のロールの割り当てを削除してもよいか?

代理人が必要とするアクセス許可を把握したら、次の手順を使用して、代理人のロールの割り当てに条件を追加します。条件の例については、「条件を使用して Azure ロールの割り当て管理を委任する例」を参照してください。

手順 2: 新しいロールの割り当てを開始する

Azure portal にサインインします。
次の手順に従って、[ロールの割り当てを追加] ページを開きます。
[ロール] タブで、[Privileged administrator role]\(特権管理者ロール\) タブを選択します。
ロールベースのアクセス制御管理istrator ロールを選択します。

[条件] タブが表示されます。

ユーザーアクセス管理istrator など、アクションをMicrosoft.Authorization/roleAssignments/delete含むMicrosoft.Authorization/roleAssignments/write任意のロールを選択できますが、ロールベースのアクセス制御管理アクセス許可が少なくなります。
[メンバー] タブで、代理人を見つけて選択します。

手順 3: 条件を追加する

条件を追加する方法は 2 つあります。条件テンプレートを使用することも、高度な条件エディターを使用することもできます。

[テンプレート]
条件エディター

[条件] タブの [ユーザーが実行できる操作] で、[選択したロールのみを選択したプリンシパルに割り当てることをユーザーに許可する (権限が少ない)] オプションを選択します。
[ロールとプリンシパルの選択] を選択 します。

[ロールの割り当て条件を追加する] ページが表示され、条件テンプレートの一覧が示されます。

条件テンプレートを選択し、[構成] を選択します。

条件テンプレート	このテンプレートを選択する目的
Constrain roles (ロールを制約する)	選択したロールの割り当てのみをユーザーに許可する
Constrain roles and principal types (ロールとプリンシパルの種類を制約する)	選択したロールの割り当てのみをユーザーに許可する選択したプリンシパルの種類 (ユーザー、グループ、またはサービスプリンシパル) にのみこれらのロールを割り当てることをユーザーに許可する
Constrain roles and principals (ロールとプリンシパルを制約する)	選択したロールの割り当てのみをユーザーに許可する選択したプリンシパルにのみこれらのロールを割り当てることをユーザーに許可する

構成ペインで、必要な構成を追加します。
[保存] を選択して、ロールの割り当てに条件を追加します。

条件テンプレートがご自分のシナリオには有効でない場合、またはより詳細な制御が必要な場合は、条件エディターを使用できます。

条件エディターを開く

[条件] タブの [ユーザーが実行できる操作] で、[選択したロールのみを選択したプリンシパルに割り当てることをユーザーに許可する (権限が少ない)] オプションを選択します。
[ロールとプリンシパルの選択] を選択 します。

[ロールの割り当て条件を追加する] ページが表示され、条件テンプレートの一覧が示されます。
[Open advanced condition editor]\(高度な条件エディターを開く\) を選択します。

[ロールの割り当て条件を追加する] ページが表示されます。
[エディターの種類] オプションでは、既定の [ビジュアル] を選択したままにします。

アクションを追加する

[アクションの追加] セクションで [アクションの追加] を選択します。

[アクションの選択] ペインが表示されます。このペインには、条件の対象となるロールの割り当てに基づいてフィルター処理されたアクションの一覧が表示されます。
条件が true の場合に許可する [Create or update role assignments]\(ロールの割り当てを作成または更新\) アクションを選択します。

ヒント

[Create or update role assignments]\(ロールの割り当てを作成または更新\) と [ロールの割り当てを削除] の両方のアクションを選択した場合は、条件式を追加できません。これらの両方のアクションを対象にする場合は、2 つの条件を追加する必要があります。詳細については、「例: ロールを制約する」を参照してください。

式のビルド

Build expression]\(式の作成\) セクションで、[式の追加] を選択します。

ここでは、代理人が追加できるロールの割り当てを制約する式を作成します。
[Attribute source]\(属性ソース\) の一覧で、 [要求] を選択します。
[属性] リストで、式の左辺に使用する、次のいずれかの属性を選択します。
- [ロールの定義 ID] は、代理人が割り当てできるロールを制約するために使用されます。
- [プリンシパル ID] は、代理人がロールを割り当てできる特定のプリンシパルを制約するために使用されます。
- [プリンシパルの種類] は、代理人がロールを割り当てできるプリンシパルの種類 (ユーザー、グループ、またはサービスプリンシパル) を制約するために使用されます。

[演算子] リストでは、演算子を選択します。

属性と作成する式に応じて、通常、以下の演算子を選択します。これにより、式の右辺に 1 つ以上の値を選択できます。

属性	一般的な演算子
ロール定義 ID	ForAnyOfAnyValues:GuidEquals
プリンシパル ID	ForAnyOfAnyValues:GuidEquals
プリンシパルの種類	ForAnyOfAnyValues:StringEqualsIgnoreCase

[値] ボックスでは、式の右辺に使用する 1 つ以上の値を入力します。
必要に応じて、式を追加します。

ヒント

条件を使用してロールの割り当て管理を委任するために複数の式を追加する場合は、通常、既定の Or 演算子ではなく、式間で And 演算子を使用します。
[保存] を選択して、ロールの割り当てに条件を追加します。

手順 4: 条件付きのロールを代理人に割り当てる

[Review + assign](確認と割り当て) タブで、ロールの割り当ての設定を確認します。
[Review + assign](確認と割り当て) を選択してロールを割り当てます。

しばらくすると、代理人には、ロールの割り当て条件が付いたロールベースのアクセス制御管理者ロールが割り当てられます。

手順 5: 代理人が条件付きでロールを割り当てる

これで、代理人は、ロールを割り当てる手順に従うことができます。

代理人が Azure portal でロールを割り当てようとすると、ロールの一覧がフィルター処理され、割り当て可能なロールだけが表示されます。

プリンシパルに関する条件がある場合は、割り当てに使用できるプリンシパルの一覧もフィルター処理されます。

代理人が API を使用して条件外のロールを割り当てようとすると、ロールの割り当てはエラーで失敗します。詳細については、「症状 - ロールを割り当てることができない」を参照してください。