Azure クレジット サブスクリプションにユーザーを追加する
サブスクリプション リソースを管理したり、リソースにアクセスしたりするには、ディレクトリ内のユーザーである必要があります。 サブスクリプション自体では、階層は Microsoft Entra テナントによって制御されます。 Microsoft Entra ID は、アカウント名とパスワードを保存するライトウェイト ディレクトリ プロトコル (LDAP) です。
ユーザーを追加する前に、ビジネス階層と、サブスクリプション内でユーザーに必要なアクセス レベルを決定する必要があります。
ユーザーを追加する必要がある理由
まず、サブスクリプションに新しいユーザーを追加する必要があるかどうかを判断します。 新しいユーザーを追加する必要がある理由の例を次に示します。
- プロジェクトで作業しており、セキュリティを監視するためのアクセス権を IT 部門に付与する必要がある
- 組織の別のメンバーにメリットをもたらす可能性のある新しい API プロトコルに取り組んでいる
- すべてのリソース グループにアクセスできるように、サブスクリプション レベルでアクセス権を付与する必要がある
- ビジネス レベルでは、1 つのリソース グループが 1 台のコンピューターにサインインする必要があるが、サブスクリプションにアクセスする必要はない
- 作業中のプロジェクトの可視性と透明性を高めながら、必要に応じて作業の特定の部分を分離する
- ユーザーとして、または貢献するグループ内にコンサルタントを追加する
- 他のユーザーと協力して運用前環境をテストおよび監視する必要がある
サブスクリプション内でユーザーとそのロールを追加する場所
Microsoft Entra ID 内でのアクセス管理は重要な機能です。 Azure ロールベースのアクセス制御 (Azure RBAC) は、Azure リソースのきめ細かなアクセス管理を提供する承認システムです。
ユーザーを追加する必要があると判断したら、ユーザーを追加する場所とユーザーがアクセスする必要があるリソースを理解する必要があります。 ユーザーがアクセスできるリソースのセットは、スコープと呼ばれます。
セキュリティ プロトコルを有効にするために、作業中のプロジェクトやタスクを IT 部門が監視する必要がある場合は、サブスクリプション内でフル アクセス権と完全なアクセス許可を持つ、管理グループ内の管理者ロールをそのユーザーに割り当てる必要があります。
ただし、別の開発者や同僚と共同作業する場合は、リソース レベルまたはリソース グループ レベルのアクセスだけで済むこともあります。
Azure RBAC の機能とサブスクリプション内での目的について理解を深めるために、Azure RBAC の概要に関する記事をお読みください。
Microsoft Entra ID を使用してユーザーを追加または削除する方法