Azure portal を使用して Azure でのロールの割り当てを一覧表示する
Azure ロールベースのアクセス制御 (Azure RBAC) は、Azure のリソースに対するアクセスを管理するために使用する承認システムです。 ユーザー、グループ、サービスプリンシパル、またはマネージド ID がアクセスできるリソースを特定するには、ロールの割り当てを一覧表示します。 このアーティクルでは、Azure portal を使用してロールの割り当てを一覧表示する方法について説明します。
Note
組織で、Azure Lighthouse を使用するサービス プロバイダーに管理機能を外部委託している場合、そのサービス プロバイダーによって承認されているロールの割り当てはここに表示されません。 同様に、サービス プロバイダー テナント内のユーザーには、割り当てられているロールに関係なく、顧客のテナント内のユーザーに対するロールの割り当ては表示されません。
ユーザーまたはグループのロールの割り当てを一覧表示する
サブスクリプションのユーザーまたはグループに割り当てられているロールを簡単に確認する方法は、[Azure ロールの割り当て] ペインを使用することです。
Azure portal で、Azure portal メニューから [すべてのサービス] を選択します。
[ Microsoft Entra ID ] を選択し、[ユーザー ] または[ グループ ]を選択します。
ロールの割り当てを一覧表示するユーザーまたはグループをクリックします。
[Azure でのロールの割り当て] をクリックします。
管理グループ、サブスクリプション、リソース グループ、リソースなどのさまざまなスコープで、選択したユーザーまたはグループに割り当てられているロールの一覧が表示されます。 この一覧では、自分が読み取りアクセス許可を認められているすべてのロールの割り当てが表示されます。
サブスクリプションを変更するには、[サブスクリプション] の一覧をクリックします。
サブスクリプションの所有者を一覧表示する
サブスクリプションの所有者ロールが割り当てられているユーザーは、サブスクリプション内のすべてを管理できます。 サブスクリプションの所有者を一覧表示するには、次の手順に従います。
Azure portal で、[すべてのサービス]、[サブスクリプション] の順にクリックします。
所有者を一覧表示するサブスクリプションをクリックします。
[アクセス制御 (IAM)] をクリックします。
[ロールの割り当て] タブをクリックして、このサブスクリプションのすべてのロールの割り当てを表示します。
[所有者] セクションまでスクロールして、このサブスクリプションの所有者ロールが割り当てられているすべてのユーザーを表示します。
特権管理者ロールの割り当てを一覧表示または管理する
[ロールの 割り当て ] タブでは、現在のスコープでの特権管理者ロールの割り当ての数を一覧表示して表示できます。 詳細については、「特権管理者ロール」を参照してください。
Azure portal で、[すべてのサービス] をクリックしてからスコープを選びます。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、またはリソースを選択できます。
特定のリソースをクリックします。
[アクセス制御 (IAM)] をクリックします。
[ロールの割り当て] タブをクリックし、[特権] タブをクリックして、このスコープの特権管理者ロールの割り当てを一覧表示します。
このスコープでの特権管理者ロールの割り当ての数を確認するには、特権カードを参照してください。
特権管理者ロールの割り当てを管理するには、特権カードを参照し、[割り当ての表示] をクリックします。
[特権ロールの割り当ての管理] ページで、特権ロールの割り当てを 制限する条件を追加したり、ロールの割り当てを削除したりできます。 詳細については、「条件を使用して Azure ロールの割り当て管理を他のユーザーに委任する」を参照してください。
あるスコープのロールの割り当てを一覧表示する
Azure portal で、[すべてのサービス] をクリックしてからスコープを選びます。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、またはリソースを選択できます。
特定のリソースをクリックします。
[アクセス制御 (IAM)] をクリックします。
[ロールの割り当て] タブをクリックして、このスコープのすべてのロールの割り当てを表示します。
[ロールの割り当て] タブでは、このスコープにアクセス権があるユーザーを確認できます。 スコープが [このリソース] のロールもあれば、別のスコープからスコープを [(継承)] しているロールもあることに注目してください。 アクセス権は、このリソースに明確に割り当てられるか、または親スコープへの割り当てから継承されます。
あるスコープのユーザーのロールの割り当てを一覧表示する
ユーザー、グループ、サービス プリンシパル、またはマネージド ID のアクセス権を一覧表示するには、ロールの割り当てを一覧表示します。 特定のスコープで単独のユーザー、グループ、サービス プリンシパル、またはマネージド ID のロールの割り当てを一覧表示するには、次の手順のようにします。
Azure portal で、[すべてのサービス] をクリックしてからスコープを選びます。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、またはリソースを選択できます。
特定のリソースをクリックします。
[アクセス制御 (IAM)] をクリックします。
[アクセスの確認] タブで、[アクセスの確認] ボタンをクリックします。
[アクセスの確認] ペインで、[ユーザー、グループ、またはサービス プリンシパル] または [マネージド ID] をクリックします。
検索ボックスに、表示名、メール アドレス、またはオブジェクト識別子のディレクトリを検索するための文字列を入力します。
セキュリティ プリンシパルをクリックして [割り当て] ウィンドウを開きます。
このペインでは、このスコープで選択されたセキュリティ プリンシパルと、このスコープに継承されたセキュリティ プリンシパルのアクセス権を確認できます。 子スコープでの割り当ては表示されません。 次の割り当てが表示されます。
- Azure RBAC で追加されたロールの割り当て。
- Azure Blueprints または Azure マネージド アプリを使用して追加された拒否の割り当て。
- 従来のデプロイ向けの、従来のサービス管理者または共同管理者の割り当て。
マネージド ID のロールの割り当ての一覧表示
前に説明したように、[アクセス制御 (IAM)] ブレードを使用すると、特定のスコープでシステムによって割り当てられたマネージド ID とユーザーが割り当てたマネージド ID に対するロールの割り当てを一覧表示できます。 ここでは、マネージド ID に対するロールの割り当てのみを一覧表示する方法について説明します。
システム割り当てマネージド ID
Azure portal で、システム割り当てマネージド ID を開きます。
左側のメニューで、[ID] をクリックします。
[アクセス許可] で、[Azure でのロールの割り当て] をクリックします。
管理グループ、サブスクリプション、リソース グループ、リソースなどのさまざまなスコープで、選択したシステム割り当てマネージド ID に割り当てられているロールの一覧が表示されます。 この一覧では、自分が読み取りアクセス許可を認められているすべてのロールの割り当てが表示されます。
サブスクリプションを変更するには、[サブスクリプション] の一覧をクリックします。
ユーザー割り当てマネージド ID
Azure portal で、ユーザー割り当てマネージド ID を開きます。
[Azure でのロールの割り当て] をクリックします。
管理グループ、サブスクリプション、リソース グループ、リソースなどのさまざまなスコープで、選択したユーザー割り当てマネージド ID に割り当てられているロールの一覧が表示されます。 この一覧では、自分が読み取りアクセス許可を認められているすべてのロールの割り当てが表示されます。
サブスクリプションを変更するには、[サブスクリプション] の一覧をクリックします。
ロールの割り当ての数の一覧
各サブスクリプションには、最大 4,000 個のロールの割り当てを保持できます。 この制限には、サブスクリプション、リソース グループ、およびリソースのスコープでのロールの割り当てが含まれます。 [ロールの割り当て] タブには、この制限の追跡に役立つ、現在のサブスクリプションに対するロールの割り当て数を示すグラフが表示されます。
最大数に近づいているときにロールの割り当てを追加しようとすると、[ロールの割り当ての追加] ウィンドウに警告が表示されます。 ロールの割り当ての数を減らす方法については、「Azure RBAC の制限のトラブルシューティング」を参照してください。
ロールの割り当てのダウンロード
スコープ内のロールの割り当ては、CSV 形式または JSON 形式でダウンロードできます。 これは、スプレッドシート内のリストを検査したり、サブスクリプションの移行時にインベントリを取得したりする必要がある場合に役立ちます。
ロールの割り当てをダウンロードするときは、次の条件に注意する必要があります。
- ディレクトリ リーダー ロールなどのディレクトリを読み取るためのアクセス許可がない場合、DisplayName 列、SignInName 列、ObjectType 列は空白になります。
- セキュリティ プリンシパルが削除されているロールの割り当てが含まれていないこと。
- 従来の管理者に付与されたアクセス権が含まれていないこと。
スコープ内のロールの割り当てをダウンロードするには、次の手順に従います。
Azure portal で、[すべてのサービス] をクリックし、ロールの割り当てをダウンロードするスコープを選択します。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、またはリソースを選択できます。
特定のリソースをクリックします。
[アクセス制御 (IAM)] をクリックします。
[ロールの割り当てのダウンロード] をクリックして、[ロールの割り当てのダウンロード] ペインを開きます。
チェック ボックスを使用して、ダウンロードされるファイルに含めるロールの割り当てを選択します。
- 継承済み - 現在のスコープの継承されたロールの割り当てを含めます。
- 現在のスコープ - 現在のスコープのロールの割り当てを含めます。
- 子 - 現在のスコープの下位レベルのロールの割り当てを含めます。 管理グループのスコープでは、このチェック ボックスはオフになっています。
ファイル形式を選択します。これには、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) を指定できます。
ファイル名を指定します。
[開始] をクリックしてダウンロードを開始します。
各ファイル形式の出力の例を次に示します。