Azure の従来のサブスクリプション管理者

  • [アーティクル]

重要

クラシック リソースとクラシック管理者は、2024 年 8 月 31 日に廃止されます。 不要な共同管理者を削除し、Azure RBAC を使用してきめ細かいアクセス制御を行います。

Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure リソースへのアクセスを管理することをお勧めします。 ただし、クラシック デプロイ モデルをまだ使用している場合は、次の従来のサブスクリプション管理者ロールを使用する必要があります:サービス管理者および共同管理者。 詳しくは、Azure Resource Manager とクラシック デプロイに関する記事をご覧ください。

この記事では、共同管理者ロールとサービス管理者ロールを追加または変更する方法、およびアカウント管理者を表示する方法について説明します。

共同管理者を追加する

ヒント

共同管理者を追加する必要があるのは、Azure サービス管理 PowerShell モジュールを使用して Azure クラシック デプロイを管理する必要がある場合だけです。 クラシック リソースの管理に Azure portal だけを使用する場合は、ユーザーに従来の管理者を追加する必要はありません。

  1. Azure portal にサービス管理者または共同管理者としてサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

    共同管理者は、サブスクリプション スコープでのみ割り当てることができます。

  3. [アクセス制御 (IAM)] をクリックします。

  4. [従来の管理者] タブをクリックします。

    Screenshot that opens Classic administrators

  5. [追加]>[共同管理者の追加] をクリックして、[共同管理者の追加] ウィンドウを開きます。

    [共同管理者の追加] オプションが無効になっている場合は、アクセス許可がありません。

  6. 追加するユーザーを選択して、[追加] をクリックします。

    Screenshot that adds co-administrator

ゲスト ユーザーを共同管理者として追加する

ゲスト ユーザーを共同管理者として追加するには、前の [共同管理者を追加する] セクションと同じ手順に従います。 ゲスト ユーザーは次の条件を満たす必要があります。

  • ゲスト ユーザーは、ディレクトリ内に存在している必要があります。 これは、ユーザーがディレクトリに招待され、招待を受け入れたことを意味します。

ゲスト ユーザーを自分のディレクトリに追加する方法の詳細については、「Azure portal で Microsoft Entra B2B コラボレーション ユーザーを追加する」を参照してください。

自分のディレクトリからゲスト ユーザーを削除する前に、まずそのゲスト ユーザーのすべてのロールの割り当てを削除する必要があります。 詳細については、「ディレクトリからゲスト ユーザーを削除する」を参照してください。

ゲスト ユーザーの違い

共同管理者ロールが割り当てられたゲスト ユーザーは、同じく共同管理者ロールが割り当てられたメンバー ユーザーとは異なります。 以下のシナリオについて考えてみます。

  • Microsoft Entra アカウント (職場または学校アカウント) を持つユーザー A は、Azure サブスクリプションのサービス管理者です。
  • ユーザー B は Microsoft アカウントを持っています。
  • ユーザー A がユーザー B に共同管理者ロールを割り当てます。
  • ユーザー B はほぼすべての操作を実行できますが、Azure AD にアプリケーションを登録したり、Microsoft Entra ディレクトリでユーザーを検索したりすることはできません。

想定とは異なり、ユーザー B はすべてを管理できるわけではありません。 この違いの理由は、Microsoft アカウントはメンバー ユーザーとしてではなく、ゲスト ユーザーとしてサブスクリプションに追加されるためです。 Microsoft Entra ID でゲスト ユーザーに割り当てられる既定のアクセス許可は、メンバー ユーザーとは異なります。 たとえば、メンバー ユーザーは Microsoft Entra ID の他のユーザーを読み取ることができますが、ゲスト ユーザーには他のユーザーの読み取りは許可されていません。 メンバー ユーザーは新しいサービス プリンシパルを Microsoft Entra ID に登録できますが、ゲスト ユーザーにはサービス プリンシパルの登録は許可されていません。

ゲスト ユーザーがこれらのタスクを実行できるようにする必要がある場合、考えられるソリューションは、ゲスト ユーザーに必要な特定のMicrosoft Entra ロールを割り当てることです。 たとえば前のシナリオで他のユーザーの読み取りを許可するにはディレクトリ リーダーのロールを割り当て、サービス プリンシパルを作成できるようにするにはアプリケーション開発者のロールを割り当てます。 メンバー ユーザーとゲスト ユーザーおよびそれぞれのアクセス許可の詳細については、「Microsoft Entra ID の既定のユーザー アクセス許可とは」をご覧ください。 ゲスト ユーザーにアクセス権を付与する方法の詳細については、「Azure portal を使用して Azure ロールを外部のゲスト ユーザーに割り当てる」を参照してください。

Azure 組み込みロールMicrosoft Entra ロールとは異なることに注意してください。 組み込みロールは Microsoft Entra ID に対するアクセス許可を一切付与しません。 詳細については、「各種ロールについて」をご覧ください。

メンバー ユーザーとゲスト ユーザーの比較情報については、「Microsoft Entra ID の既定のユーザー アクセス許可とは」を参照してください。

共同管理者を削除する

  1. Azure portal にサービス管理者または共同管理者としてサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

  3. [アクセス制御 (IAM)] をクリックします。

  4. [従来の管理者] タブをクリックします。

  5. 削除する共同管理者の横にチェック マークを付けます。

  6. 削除 をクリックします。

  7. 表示されるメッセージ ボックスで、[はい] をクリックします。

    Screenshot that removes co-administrator

サービス管理者を変更する

サブスクリプションのサービス管理者を変更できるのは、アカウント管理者のみです。 既定の設定では、Azure サブスクリプションにサインアップした時点では、サービス管理者とアカウント管理者は同じです。

アカウント管理者ロールのユーザーは、Azure portal にアクセスして課金を管理できますが、サブスクリプションを取り消すことはできません。 サービス管理者ロールのユーザーは、Azure portal へのフル アクセスが与えられ、サブスクリプションを取り消すことができます。 アカウント管理者は、自身をサービス管理者にすることができます。

Azure portal でサービス管理者を変更するには、次の手順に従います。

  1. サービス管理者を変更するための制限事項を確認して、使用するシナリオがサポートされていることを確認してください。

  2. Azure Portal にアカウント管理者としてサインインします。

  3. Cost Management + Billing を開き、サブスクリプションを選択します。

  4. 次に、左側のナビゲーションで、[プロパティ] をクリックします。

  5. [サービス管理者の変更] をクリックします。

    Screenshot showing the subscription properties in the Azure portal

  6. [サービス管理者の編集] ページで、新しいサービス管理者のメール アドレスを入力します。

    Screenshot showing the Edit service admin page

  7. [OK] をクリックして変更を保存します。

サービス管理者の変更に関する制限事項

Azure サブスクリプションごとに 1 人のサービス管理者のみを設定できます。 サービス管理者の変更の動作は、アカウント管理者が Microsoft アカウントか、Microsoft Entra アカウント (職場または学校アカウント) かによって異なります。

アカウント管理者のアカウント サービス管理者を別の Microsoft アカウントに変更できるか? サービス管理者を同じディレクトリの Microsoft Entra アカウントに変更できるか? サービス管理者を異なるディレクトリの Microsoft Entra アカウントに変更できるか?
Microsoft アカウント はい 番号 いいえ
Microsoft Entra アカウント はい 有効 いいえ

アカウント管理者が Microsoft Entra アカウントの場合は、サービス管理者を同じディレクトリ内の Microsoft Entra アカウントに変更することはできますが、別のディレクトリには変更できません。 たとえば、abby@contoso.com は、サービス管理者を bob@contoso.com に変更できますが、john@notcontoso.com に変更することは、john@notcontoso.com が contoso.com ディレクトリに存在しない場合はできません。

Microsoft アカウントと Microsoft Entra アカウントの詳細については、「Microsoft Entra ID とは」を参照してください。

サービス管理者を削除する

サービス管理者を削除する場合があります。たとえば、彼らが会社を退職したときです。 サービス管理者を削除する場合、サブスクリプションの孤立化を回避するには、サブスクリプションのスコープで所有者ロールが割り当てられているユーザーがいる必要があります。 サブスクリプションの所有者は、サービス管理者と同じアクセス権を持っています。

  1. サブスクリプションの所有者または共同管理者として Azure portal にサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

  3. [アクセス制御 (IAM)] をクリックします。

  4. [従来の管理者] タブをクリックします。

  5. サービス管理者の横にチェック マークを付けます。

  6. 削除 をクリックします。

  7. 表示されるメッセージ ボックスで、[はい] をクリックします。

    Screenshot that removes service administrator.

アカウント管理者を表示する

アカウント管理者とは、Azure サブスクリプションに最初にサインアップしたユーザーで、サブスクリプションの請求先の所有者としての責任を負います。 サブスクリプションのアカウント管理者を変更する方法の詳細については、「Azure サブスクリプションの所有権を別のアカウントに譲渡する」を参照してください。

アカウント管理者を表示するには、以下の手順のようにします。

  1. Azure portal にサインインします。

  2. Cost Management + Billing を開き、サブスクリプションを選択します。

  3. 次に、左側のナビゲーションで、[プロパティ] をクリックします。

    サブスクリプションのアカウント管理者が、 [アカウント管理者] ボックスに表示されます。

    Screenshot showing the Account Administrator

次のステップ