Azure サブスクリプションのポリシーを管理する

  • [アーティクル]

この記事は、Azure サブスクリプションのポリシーをサブスクリプションの操作のために構成し、ディレクトリからの Azure サブスクリプションの移動とディレクトリへの Azure サブスクリプションの移動を制御する際に役立ちます。

前提条件

使用できるサブスクリプション ポリシー設定

ディレクトリからの Azure サブスクリプションの移動とディレクトリへの Azure サブスクリプションの移動は、以下のポリシー設定を使用して制御します。

Microsoft Entra ID ディレクトリから離れるサブスクリプション

このポリシーでは、現在のディレクトリからのサブスクリプションの移動をユーザーに許可または禁止します。 サブスクリプションの所有者は、自分が所属する別のディレクトリに Azure サブスクリプションのディレクトリを変更できます。 このことがガバナンス上の問題を招く原因となるため、グローバル管理者は、ディレクトリの変更をディレクトリ ユーザーに許可または禁止することができます。

Microsoft Entra ID ディレクトリを入力するサブスクリプション

このポリシーでは、現在のディレクトリのアクセス権を持つ他のディレクトリ ユーザーに、現在のディレクトリへのサブスクリプションの移動を許可または禁止します。 サブスクリプションの所有者は、自分が所属する別のディレクトリに Azure サブスクリプションのディレクトリを変更できます。 このことがガバナンス上の問題を招く原因となるため、グローバル管理者は、ディレクトリの変更をディレクトリ ユーザーに許可または禁止することができます。

除外対象ユーザー

グローバル管理者は、ガバナンス上の理由により、すべてのサブスクリプション ディレクトリを対象に、現在のディレクトリへの移動または現在のディレクトリからの移動を禁止することができます。 ただし、特定のユーザーについては、どちらの操作も許可したい場合もあるでしょう。 どちらの場合でも、除外対象となる一連のユーザーを構成することで、それらのユーザーは、自分以外の全員に適用されたポリシー設定をバイパスできるようになります。

サブスクリプションのポリシーを設定する

  1. Azure portal にサインインします。
  2. [サブスクリプション] に移動します。 コマンド バーに [ポリシーの管理] が表示されます。
    Screenshot showing Manage Polices in Subscriptions.
  3. [ポリシーの管理] を選択して、ディレクトリに関して現在設定されているサブスクリプションのポリシーについての詳細を表示します。 昇格されたアクセス許可を持つグローバル管理者は、除外対象ユーザーの追加と削除を含め、各種の設定に変更を加えることができます。
    Screenshot showing specific policy settings and exempted users.
  4. 一番下にある [Save changes](変更の保存) を選択して変更内容を保存します。 変更内容はすぐに反映されます。

サブスクリプション ポリシーを読み取る

グローバル管理者以外でも、サブスクリプション ポリシー領域に移動して、ディレクトリのポリシー設定を表示することはできます。 編集は一切できません。 プライバシー上の理由から、除外対象ユーザーの一覧は表示できません。 ディレクトリの設定で許可されていれば、これらのユーザーは自分のグローバル管理者を表示してポリシー変更リクエストを送信できます。

Screenshot showing the Manage policies in Subscriptions as a reader.

次のステップ