Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール

Azure を初めて使用する場合、Azure のさまざまなロールを理解することは少し難しいかもしれません。 この記事では、以下のロールと、それぞれをどのような場合に使用するかについて説明します。

  • Azure ロール
  • Microsoft Entra ロール
  • 従来のサブスクリプション管理者ロール

Azure のロールをよりよく理解するには、歴史の一部を知ることが役立ちます。 Azure が最初にリリースされたとき、リソースへのアクセスは次の 3 つの管理者ロールで管理されました:アカウント管理者、サービス管理者、共同管理者。 その後、Azure ロールベースのアクセス制御 (Azure RBAC) が追加されます。 Azure RBAC は、Azure リソースに対するきめ細かいアクセス管理を提供する、より新しい承認システムです。 Azure RBAC には多数の組み込みロールがあり、異なるスコープで割り当てることができます。また、独自のカスタム ロールを作成することができます。 ユーザー、グループ、ドメインなどの、Microsoft Entra ID のリソースを管理するために、いくつかの Microsoft Entra ロールがあります。

次の図は、Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロールがどのように関連しているかを大まかに示しています。

Azure のさまざまなロールの図。

Azure ロール

Azure RBAC は、コンピューティングやストレージなどの Azure リソースに対するきめ細かなアクセス管理を提供する、Azure Resource Manager 上に構築された承認システムです。 Azure RBAC には、100 を超える組み込みロールが含まれています。 基本的な Azure ロールは 5 つです。 最初の 3 つは、すべてのリソースの種類に適用されます。

Azure ロール アクセス許可 Notes
所有者
  • すべてのリソースを管理するためのフル アクセスを許可します
  • Azure RBAC でロールを割り当てる
サービス管理者と共同管理者は、サブスクリプション スコープで所有者ロールを割り当てられます
すべてのリソースの種類に適用されます。
Contributor
  • すべてのリソースを管理するためのフル アクセスを許可します
  • Azure RBAC でロールを割り当てることができない
  • Azure Blueprints で割り当てを管理したり、イメージ ギャラリーを共有したりできない
すべてのリソースの種類に適用されます。
Reader
  • Azure リソースを表示する
すべてのリソースの種類に適用されます。
ロール ベースのアクセスの制御の管理者
  • Azure リソースに対するユーザー アクセスを管理する
  • Azure RBAC でロールを割り当てる
  • 自分自身または他のユーザーに所有者ロールを割り当てる
  • Azure Policy などの他の方法を使ってアクセスを管理できません
User Access Administrator
  • Azure リソースに対するユーザー アクセスを管理する
  • Azure RBAC でロールを割り当てる
  • 自分自身または他のユーザーに所有者ロールを割り当てる

残りの組み込みロールは、特定の Azure リソースの管理を許可します。 たとえば、仮想マシン共同作成者ロールが割り当てられたユーザーには、仮想マシンの作成と管理が許可されます。 すべての組み込みロールの一覧については、Azure の組み込みロールに関するページを参照してください。

Azure RBAC は Azure portal と Azure Resource Manager API の組み合わせのみでサポートされています。 Azure ロールが割り当てられているユーザー、グループ、アプリケーションは、Azure クラシック デプロイ モデル API を使用できません。

Azure portal では、Azure RBAC を使用したロールの割り当てが [アクセス制御 (IAM)] ページに表示されます。 このページは、管理グループ、サブスクリプション、リソース グループ、各種リソースなど、ポータル全体で表示されます。

Azure portal の [アクセス制御 (IAM)] ページのスクリーンショット。

[ロール] タブをクリックすると、組み込みロールとカスタム ロールの一覧が表示されます。

Azure portal の組み込みロールのスクリーンショット。

詳細については、Azure ポータルを使用した Azure ロールの割り当て を参照してください。

Microsoft Entra ロール

Microsoft Entra ロールは、ディレクトリ内の Microsoft Entra リソースの管理に使用されます。たとえば、ユーザーの作成や編集、他のユーザーへの管理ロールの割り当て、ユーザー パスワードのリセット、ユーザー ライセンスの管理、ドメインの管理などです。 次の表では、より重要な Microsoft Entra ロールのいくつかについて説明します。

Microsoft Entra ロール アクセス許可 Notes
全体管理者
  • Microsoft Entra ID のすべての管理機能や、Microsoft Entra ID に統合されたサービスへのアクセスを管理する
  • 他のユーザーに管理者ロールを割り当てる
  • すべてのユーザーと他のすべての管理者のパスワードをリセットする
Microsoft Entra テナントにサインアップしたユーザーが全体管理者になります。
ユーザー管理者
  • ユーザーとグループのすべての側面を作成および管理する
  • サポート チケットの管理
  • サービス正常性の監視
  • ユーザー、ヘルプデスク管理者、およびその他のユーザー管理者のパスワードを変更する
課金管理者
  • 購入する
  • サブスクリプションの管理
  • サポート チケットの管理
  • サービスの正常性を監視する

Azure portal では、Microsoft Entra ロールの一覧が [ロールと管理者] ページに表示されます。 すべての Microsoft Entra ロールの一覧については、「Microsoft Entra ID の管理者ロールのアクセス許可」を参照してください。

Azure portal の Microsoft Entra ロールのスクリーンショット。

Azure ロールと Microsoft Entra ロールの違い

大まかに言えば、Azure ロールは Azure リソースを管理するアクセス許可を制御し、Microsoft Entra ロールは Microsoft Entra リソースを管理するアクセス許可を制御します。 次の表は、相違点の一部を比較しています。

Azure ロール Microsoft Entra ロール
Azure のリソースへのアクセスの管理 Microsoft Entra リソースへのアクセスを管理する
カスタム ロールをサポートする カスタム ロールをサポートする
スコープを複数のレベル (管理グループ、サブスクリプション、リソース グループ、リソース) で指定できる スコープをテナントレベル (組織全体)、管理単位、または個々のオブジェクトごと (たとえば、特定のアプリケーションなど) で指定できる
ロール情報には、Azure portal、Azure CLI、Azure PowerShell、Azure Resource Manager テンプレート、REST API でアクセスできる ロール情報には、Azure portal、Microsoft Entra 管理センター、Microsoft 365 管理センター、Microsoft Graph、Microsoft Graph PowerShell でアクセスできます

Azure ロールと Microsoft Entra ロールは重複していますか?

既定では、Azure ロールと Microsoft Entra ロールは、Azure と Microsoft Entra ID にまたがりません。 ただし、全体管理者が Azure portal で [Azure リソースのアクセス管理] スイッチを選択して自分のアクセスを昇格させた場合、全体管理者は特定のテナントのすべてのサブスクリプションに対するユーザー アクセス管理者ロール (Azure ロール) を許可されます。 ユーザー アクセス管理者ロールを使用すると、ユーザーは他のユーザーに Azure リソースに対するアクセス権を付与できます。 このスイッチは、サブスクリプションへのアクセス権を回復する場合に便利です。 詳細については、「Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる」を参照してください。

いくつかの Microsoft Entra ロール (全体管理者やユーザー管理者ロールなど) は、Microsoft Entra ID と Microsoft 365 にまたがっています。 たとえば、全体管理者ロールのメンバーであれば、Microsoft Entra ID および Microsoft 365 における全体管理者の権限を持つことになります。たとえば、Microsoft Exchange や Microsoft SharePoint に変更を加える権限などです。 ただし、既定では、グローバル管理者は Azure リソースにアクセスできません。

Azure RBAC と Microsoft Entra ロールを示す図。

従来のサブスクリプション管理者ロール

重要

2024 年 8 月 31 日から、Azure クラシック管理者ロールは (Azure クラシック リソースおよび Azure Service Manager とともに) 廃止され、サポートされなくなりました。 まだアクティブな共同管理者またはサービス管理者ロールの割り当てがある場合は、すぐにこれらのロール割り当てを Azure RBAC に変換してください。

詳しくは、「Azure の従来のサブスクリプション管理者」をご覧ください。

アカウント管理者、サービス管理者、および共同管理者は、Azure における 3 つのクラシック サブスクリプション管理者ロールです。 従来のサブスクリプション管理者には、Azure サブスクリプションへのフル アクセス権があります。 Azure portal、Azure Resource Manager API、およびクラシック デプロイ モデル API を使用して、リソースを管理することができます。 Azure へのサインアップに使用されるアカウントは、自動的にアカウント管理者とサービス管理者の両方として設定されます。 その後、共同管理者を追加できます。 サービス管理者および共同管理者は、サブスクリプション スコープで所有者ロール (Azure ロール) が割り当てられているユーザーと同等のアクセス権を持ちます。 次の表では、これら 3 つの従来のサブスクリプション管理ロールの違いについて説明します。

従来のサブスクリプション管理者 制限 アクセス許可 Notes
アカウント管理者 1 Azure アカウントに 1 人
  • Azure portal にアクセスして、課金を管理できる
  • アカウント内のすべてのサブスクリプションの課金を管理する
  • 新しいサブスクリプションを作成する
  • サブスクリプションを取り消す
  • サブスクリプションの課金を変更する
  • サービス管理者を変更する
  • サービス管理者またはサブスクリプション所有者のロールを持っていない限り、サブスクリプションを取り消すことはできない
概念的には、サブスクリプションの課金の所有者です。
サービス管理者 1 Azure サブスクリプションに 1 人
  • Azure portal でサービスを管理する
  • サブスクリプションを取り消す
  • 共同管理者ロールにユーザーを割り当てる
既定で、新しいサブスクリプションのアカウント管理者はサービス管理者でもあります。
サービス管理者は、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。
サービス管理者には、Azure portal へのフル アクセス権が与えられます。
共同管理者 サブスクリプションあたり 200 人
  • サービス管理者と同じアクセス特権だが、サブスクリプションと Microsoft Entra ディレクトリとの関連付けを変更することはできない。
  • ユーザーを共同管理者ロールに割り当てますが、サービス管理者を変更することはできません
共同管理者は、サブスクリプション スコープで所有者ロールを割り当てられているユーザーと同等のアクセス権を持ちます。

Azure portal では、 [従来の管理者] タブを使用して、共同管理者を管理したり、サービス管理者を表示したりできます。

Azure portal の Azure の従来のサブスクリプション管理者のスクリーンショット。

詳しくは、「Azure の従来のサブスクリプション管理者」をご覧ください。

Azure アカウントと Azure サブスクリプション

Azure アカウントは、課金リレーションシップを確立するために使用されます。 Azure アカウントは、ユーザー ID、1 つ以上の Azure サブスクリプション、および関連する Azure リソースのセットです。 アカウントを作成する人は、そのアカウントで作成されるすべてのサブスクリプションのアカウント管理者です。 その人は、サブスクリプションの既定のサービス管理者でもあります。

Azure サブスクリプションは、Azure リソースへのアクセスを整理するために役立ちます。 さらに、リソースの使用状況の報告、課金、および支払い方法の制御にも役立ちます。 サブスクリプションごとに異なる課金および支払いを設定することができるため、オフィス別、部門別、プロジェクト別などで、異なるサブスクリプションや異なるプランを利用することができます。 ほとんどのサービスがサブスクリプションに所属し、プログラムによる操作ではサブスクリプション ID が必要になることがあります。

各サブスクリプションは Microsoft Entra ディレクトリと関連付けられています。 サブスクリプションが関連付けられているディレクトリを検索するには、Azure portal で [サブスクリプション] を開き、ディレクトリを表示するサブスクリプションを選択します。

アカウントとサブスクリプションは、Azure portal で管理されます。

次のステップ