Azure の従来のサブスクリプション管理者

[アーティクル]
04/16/2024

重要

クラシックリソースとクラシック管理者は、2024 年 8 月 31 日に廃止されます。 2024 年 4 月 3 日以降、新しい共同管理者を追加できなくなります。この日付は最近延長されました。不要な共同管理者を削除し、Azure RBAC を使用してきめ細かいアクセス制御を行います。

Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure リソースへのアクセスを管理することをお勧めします。ただし、クラシックデプロイモデルをまだ使用している場合は、次の従来のサブスクリプション管理者ロールを使用する必要があります: サービス管理者および共同管理者。クラシックデプロイから Resource Manager デプロイにリソースを移行する方法については、「Azure Resource Manager とクラシックデプロイの比較」を参照してください。

従来の管理者がまだ存在する場合は、廃止日前にこれらのロールの割り当てを削除する必要があります。この記事では、共同管理者ロールとサービス管理者ロールの廃止に備える方法、およびこれらのロールの割り当てを削除または変更する方法について説明します。

よく寄せられる質問

共同管理者とサービス管理者は 2024 年 8 月 31 日以降にアクセスできなくなりますか?

2024 年 8 月 31 日から、Microsoft は共同管理者とサービス管理者のアクセス権を削除するプロセスを開始します。

どのサブスクリプションに従来の管理者がいるかを確認するにはどうすればよいですか?

Azure Resource Graph クエリを使用して、サービス管理者または共同管理者ロールの割り当てがあるサブスクリプションを一覧表示できます。手順については、「従来の管理者を一覧表示する」を参照してください。

割り当てる必要がある共同管理者に同等の Azure ロールは何ですか?

サブスクリプションスコープの所有者ロールには、同等のアクセス権があります。ただし、所有者は特権管理者ロールであり、Azure リソースを管理するためのフルアクセス権を付与します。アクセス許可が少ないジョブ関数ロールを検討するか、スコープを減らすか、条件を追加する必要があります。

割り当てる必要があるサービス管理者に同等の Azure ロールは何ですか?

サブスクリプションスコープの所有者ロールには、同等のアクセス権があります。

なぜ Azure RBAC に移行する必要があるのですか？

従来の管理者は廃止されます。 Azure RBAC では、きめ細かいアクセス制御、Microsoft Entra Privileged Identity Management (PIM) との互換性、完全な監査ログのサポートが提供されます。今後の投資はすべて Azure RBAC に行われます。

アカウント管理者ロールとは何ですか？

アカウント管理者は、課金アカウントのプライマリユーザーです。アカウント管理者は非推奨ではなく、このロールの割り当てを置き換える必要はありません。アカウント管理者とサービス管理者が同じユーザーである可能性があります。ただし、サービス管理者ロールの割り当てを削除することだけが必要です。

共同管理者またはサービス管理者に強い依存関係がある場合はどうすればよいですか?

ACARDeprecation@microsoft.com にメールし、シナリオについて説明します。

共同管理者の廃止の準備

まだ従来の管理者がいる場合は、次の手順を使用して、共同管理者ロールの廃止に備えるのに役立ててください。

手順 1: 現在の共同管理者を確認する

サブスクリプションの所有者として Azure portal にサインインします。
Azure portal または Azure Resource Graph を使用して、共同管理者を一覧表示します。
共同管理者がアクティブなユーザーであるかどうかを評価するために、サインインログを確認します。

手順 2: アクセスが不要になった共同管理者を削除する

ユーザーが社内にいなくなった場合は、共同管理者を削除します。
ユーザーが削除されたが、共同管理者の割り当てが削除されなかった場合は、共同管理者を削除します。

通常、削除されたユーザーには、テキスト (このディレクトリにユーザーが見つかりませんでした) が含まれます。
ユーザーのアクティビティを確認した後、ユーザーがアクティブでなくなった場合は、共同管理者を削除します。

手順 3: 既存の共同管理者をジョブ機能ロールに置き換える

ほとんどのユーザーは、共同管理者と同じアクセス許可が必要ありません。代わりにジョブ機能ロールを検討してください。

ユーザーがまだ何らかのアクセス権を必要とする場合は、必要な適切なジョブ機能ロールを決定します。
ユーザーに必要なスコープを決定します。
ユーザーにジョブ機能ロールを割り当てる手順に従います。
共同管理者を削除します。

手順 4: 既存の共同管理者を所有者ロールと条件に置き換える

一部のユーザーは、ジョブ機能ロールが提供できるものよりも多くのアクセス権を必要とする場合があります。所有者ロールを割り当てる必要がある場合は、ロールの割り当てを制限する条件を追加することを検討してください。

ユーザーに条件を持つサブスクリプションスコープで所有者ロールを割り当てます。
共同管理者を削除します。

サービス管理者の廃止の準備

まだ従来の管理者がいる場合は、次の手順を使用して、サービス管理者ロールの廃止に備えるのに役立ててください。サービス管理者を削除するには、サブスクリプションの孤立を回避するために、条件なしでサブスクリプションスコープで所有者ロールが割り当てられているユーザーが少なくとも 1 人必要です。サブスクリプションの所有者は、サービス管理者と同じアクセス権を持っています。

手順 1: 現在のサービス管理者を確認する

サブスクリプションの所有者として Azure portal にサインインします。
Azure portal または Azure Resource Graph を使用して、サービス管理者を一覧表示します。
サービス管理者がアクティブなユーザーであるかどうかを評価するために、サインインログを確認します。

手順 2: 現在の課金アカウント所有者を確認する

サービス管理者ロールが割り当てられているユーザーが、課金アカウントの管理者と同じユーザーである場合もあります。現在の課金アカウント所有者が引き続き正確であることを確認する必要があります。

Azure portal を使用して、課金アカウント所有者を取得します。
課金アカウント所有者の一覧を確認します。必要に応じて、別の課金アカウント所有者を更新または追加します。

手順 3: 既存のサービス管理者ロールを所有者ロールに置き換える

サービス管理者は、Microsoft アカウントまたは Microsoft Entra アカウントである場合があります。 Microsoft アカウントとは、Outlook、OneDrive、Xbox LIVE、Microsoft 365 などの個人アカウントのことです。 Microsoft Entra アカウントは、Microsoft Entra ID を通じて作成される ID です。

サービス管理者ユーザーが Microsoft アカウントであり、このユーザーに同じアクセス許可を保持する場合、条件なしでサブスクリプションスコープでこのユーザーに所有者ロールを割り当てます。
サービス管理者ユーザーが Microsoft Entra アカウントであり、このユーザーに同じアクセス許可を保持する場合、条件なしでサブスクリプションスコープでこのユーザーに所有者ロールを割り当てます。
サービス管理者ユーザーを別のユーザーに変更する場合は、条件なしでサブスクリプションスコープでこの新しいユーザーに所有者ロールを割り当てます。
サービス管理者を削除します。

次の手順に従って、Azure portal を使用してサブスクリプションのサービス管理者と共同管理者を一覧表示します。

サブスクリプションの所有者として Azure portal にサインインします。
[サブスクリプション] を開き、サブスクリプションを選択します。
[アクセス制御 (IAM)] を選択します。
[従来の管理者] タブを選択して、共同管理者の一覧を表示します。

次の手順に従って、Azure Resource Graph を使用して、サブスクリプション内のサービス管理者と共同管理者の数を一覧表示します。

サブスクリプションの所有者として Azure portal にサインインします。
Azure Resource Graph エクスプローラー を開きます。
[スコープ] を選択し、クエリのスコープを設定します。

テナント全体に対してクエリを実行するには、スコープを [ディレクトリ] に設定しますが、スコープを特定のサブスクリプションに絞り込むことができます。
[承認スコープの設定] を選択し、[ここ、上、下] に承認スコープを設定して、指定したスコープのすべてのリソースにクエリを実行します。

次のクエリを実行して、スコープに基づいてサービス管理者と共同管理者の数を一覧表示します。

authorizationresources
| where type == "microsoft.authorization/classicadministrators"
| mv-expand role = parse_json(properties).role
| mv-expand adminState = parse_json(properties).adminState
| where adminState == "Enabled"
| where role in ("ServiceAdministrator", "CoAdministrator")
| summarize count() by subscriptionId, tostring(role)

次は結果の例を示しています。 count_ 列は、サブスクリプションのサービス管理者または共同管理者の数です。

共同管理者を削除する

重要

共同管理者を削除するには、次の手順に従います。

サブスクリプションの所有者として Azure portal にサインインします。
[サブスクリプション] を開き、サブスクリプションを選択します。
[アクセス制御 (IAM)] を選択します。
[従来の管理者] タブを選択して、共同管理者の一覧を表示します。
削除する共同管理者の横にチェックマークを付けます。
[削除] を選択します。
表示されるメッセージボックスで、 [はい] を選択します。

共同管理者を追加する

重要

共同管理者を追加する必要があるのは、Azure サービス管理 PowerShell モジュールを使用して Azure クラシックデプロイを管理する必要がある場合だけです。クラシックリソースの管理に Azure portal だけを使用する場合は、ユーザーに従来の管理者を追加する必要はありません。

サブスクリプションの所有者として Azure portal にサインインします。
[サブスクリプション] を開き、サブスクリプションを選択します。

共同管理者は、サブスクリプションスコープでのみ割り当てることができます。
[アクセス制御 (IAM)] を選択します。
[従来の管理者] タブを選択します。
[追加]>[共同管理者の追加] を選択して、[共同管理者の追加] ペインを開きます。

[共同管理者の追加] オプションが無効になっている場合は、アクセス許可がありません。
追加するユーザーを選択して、 [追加] を選択します。

ゲストユーザーを共同管理者として追加する

ゲストユーザーを共同管理者として追加するには、前の [共同管理者を追加する] セクションと同じ手順に従います。ゲストユーザーは次の条件を満たす必要があります。

ゲストユーザーは、ディレクトリ内に存在している必要があります。これは、ユーザーがディレクトリに招待され、招待を受け入れたことを意味します。

ゲストユーザーを自分のディレクトリに追加する方法の詳細については、「Azure portal で Microsoft Entra B2B コラボレーションユーザーを追加する」を参照してください。

自分のディレクトリからゲストユーザーを削除する前に、まずそのゲストユーザーのすべてのロールの割り当てを削除する必要があります。詳細については、「ディレクトリから外部ユーザーを削除する」を参照してください。

ゲストユーザーの違い

共同管理者ロールが割り当てられたゲストユーザーは、同じく共同管理者ロールが割り当てられたメンバーユーザーとは異なります。以下のシナリオについて考えてみます。

Microsoft Entra アカウント (職場または学校アカウント) を持つユーザー A は、Azure サブスクリプションのサービス管理者です。
ユーザー B は Microsoft アカウントを持っています。
ユーザー A がユーザー B に共同管理者ロールを割り当てます。
ユーザー B はほぼすべての操作を実行できますが、Azure AD にアプリケーションを登録したり、Microsoft Entra ディレクトリでユーザーを検索したりすることはできません。

想定とは異なり、ユーザー B はすべてを管理できるわけではありません。この違いの理由は、Microsoft アカウントはメンバーユーザーとしてではなく、ゲストユーザーとしてサブスクリプションに追加されるためです。 Microsoft Entra ID でゲストユーザーに割り当てられる既定のアクセス許可は、メンバーユーザーとは異なります。たとえば、メンバーユーザーは Microsoft Entra ID の他のユーザーを読み取ることができますが、ゲストユーザーには他のユーザーの読み取りは許可されていません。メンバーユーザーは新しいサービスプリンシパルを Microsoft Entra ID に登録できますが、ゲストユーザーにはサービスプリンシパルの登録は許可されていません。

ゲストユーザーがこれらのタスクを実行できるようにする必要がある場合、考えられるソリューションは、ゲストユーザーに必要な特定のMicrosoft Entra ロールを割り当てることです。たとえば前のシナリオで他のユーザーの読み取りを許可するにはディレクトリリーダーのロールを割り当て、サービスプリンシパルを作成できるようにするにはアプリケーション開発者のロールを割り当てます。メンバーユーザーとゲストユーザーおよびそれぞれのアクセス許可の詳細については、「Microsoft Entra ID の既定のユーザーアクセス許可とは」をご覧ください。ゲストユーザーにアクセス権を付与する方法の詳細については、「Azure portal を使用して外部ユーザーに Azure ロールを割り当てる」を参照してください。

Azure 組み込みロールは Microsoft Entra ロールとは異なることに注意してください。組み込みロールは Microsoft Entra ID に対するアクセス許可を一切付与しません。詳細については、「各種ロールについて」をご覧ください。

メンバーユーザーとゲストユーザーの比較情報については、「Microsoft Entra ID の既定のユーザーアクセス許可とは」を参照してください。

サービス管理者を変更する

サブスクリプションのサービス管理者を変更できるのは、アカウント管理者のみです。既定の設定では、Azure サブスクリプションにサインアップした時点では、サービス管理者とアカウント管理者は同じです。

アカウント管理者ロールのユーザーは、Azure portal にアクセスして課金を管理できますが、サブスクリプションを取り消すことはできません。サービス管理者ロールのユーザーは、Azure portal へのフルアクセスが与えられ、サブスクリプションを取り消すことができます。アカウント管理者は、自身をサービス管理者にすることができます。

Azure portal でサービス管理者を変更するには、次の手順に従います。

Azure Portal にアカウント管理者としてサインインします。
Cost Management + Billing を開き、サブスクリプションを選択します。
左側のナビゲーションから、 [プロパティ] を選びます。
[サービス管理者の変更] を選択します。
[サービス管理者の編集] ページで、新しいサービス管理者のメールアドレスを入力します。
[OK] を選択して変更を保存します。

サービス管理者を削除する

サービス管理者を削除するには、サブスクリプションの孤立を回避するために、条件なしでサブスクリプションスコープで所有者ロールが割り当てられているユーザーが必要です。サブスクリプションの所有者は、サービス管理者と同じアクセス権を持っています。

サブスクリプションの所有者として Azure portal にサインインします。
[サブスクリプション] を開き、サブスクリプションを選択します。
[アクセス制御 (IAM)] を選択します。
[従来の管理者] タブを選択します。
サービス管理者の横にチェックマークを付けます。
[削除] を選択します。
表示されるメッセージボックスで、 [はい] を選択します。

サービス管理者ユーザーがディレクトリにいない場合、サービス管理者を削除しようとすると、次のエラーが表示されることがあります。

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

サービス管理者ユーザーがディレクトリにない場合は、サービス管理者を既存のユーザーに変更してから、サービス管理者の削除を試みます。

Azure の従来のサブスクリプション管理者

よく寄せられる質問