Azure の従来のサブスクリプション管理者

重要

2024 年 8 月 31 日から、Azure クラシック管理者ロールは (Azure クラシック リソースおよび Azure Service Manager とともに) 廃止され、サポートされなくなりました。 まだアクティブな共同管理者またはサービス管理者ロールの割り当てがある場合は、これらのロール割り当てを Azure RBAC にすぐに変換してください。

Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure リソースへのアクセスを管理することをお勧めします。 クラシック デプロイ モデルをまだ使用している場合は、クラシック デプロイから Resource Manager デプロイにリソースを移行する必要があります。 詳しくは、Azure Resource Manager とクラシック デプロイに関する記事をご覧ください。

この記事では、共同管理者ロールとサービス管理者ロールの廃止と、これらのロールの割り当てを変換する方法について説明します。

よく寄せられる質問

2024 年 8 月 31 日以降、クラシック管理者ロールの割り当てはどうなりますか?

  • 共同管理者ロールとサービス管理者ロールは廃止され、サポートされなくなりました。 これらのロールの割り当てを、すぐに Azure RBAC に変換する必要があります。

どのサブスクリプションに従来の管理者がいるかを確認するにはどうすればよいですか?

  • Azure Resource Graph クエリを使用して、サービス管理者または共同管理者ロールの割り当てがあるサブスクリプションを一覧表示できます。 手順については、「従来の管理者を一覧表示する」を参照してください。

割り当てる必要がある共同管理者に同等の Azure ロールは何ですか?

  • サブスクリプション スコープの 所有者 ロールには、同等のアクセス権があります。 ただし、所有者は 特権管理者ロール であり、Azure リソースを管理するためのフル アクセス権を付与します。 アクセス許可が少ないジョブ関数ロールを検討するか、スコープを減らすか、条件を追加する必要があります。

割り当てる必要があるサービス管理者に同等の Azure ロールは何ですか?

  • サブスクリプション スコープの 所有者 ロールには、同等のアクセス権があります。

なぜ Azure RBAC に移行する必要があるのですか?

  • Azure RBAC では、きめ細かいアクセス制御、Microsoft Entra Privileged Identity Management (PIM) との互換性、完全な監査ログのサポートが提供されます。 今後の投資はすべて Azure RBAC に行われます。

アカウント管理者ロールとは何ですか?

  • アカウント管理者は、課金アカウントのプライマリ ユーザーです。 アカウント管理者は廃止されないため、このロールの割り当ては変換する必要はありません。 アカウント管理者とサービス管理者が同じユーザーである可能性があります。 ただし、サービス管理者ロールの割り当てを変換することだけが必要です。

サブスクリプションへのアクセスが失われたらどうすればよいですか?

  • サブスクリプションに対して少なくとも 1 つの所有者ロールの割り当てを持たずにクラシック管理者を削除すると、サブスクリプションへのアクセスが失われ、サブスクリプションが孤立します。 サブスクリプションへのアクセスを回復するには、次の操作を行います。

共同管理者またはサービス管理者に強い依存関係がある場合はどうすればよいですか?

  • ACARDeprecation@microsoft.com にメールし、シナリオについて説明します。

従来の管理者を一覧表示する

次の手順に従って、Azure portal を使用してサブスクリプションのサービス管理者と共同管理者を一覧表示します。

  1. サブスクリプションの所有者として Azure portal にサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

  3. [アクセス制御 (IAM)] を選択します。

  4. [従来の管理者] タブを選択して、共同管理者の一覧を表示します。

    [従来の管理者] タブが選択された [アクセス制御 (IAM)] ページのスクリーンショット。

共同管理者の廃止

まだ従来の管理者がいる場合は、次の手順を使用して、共同管理者ロールの割り当て変換に役立ててください。

手順 1: 現在の共同管理者を確認する

  1. サブスクリプションの所有者として Azure portal にサインインします。

  2. Azure portal または Azure Resource Graph を使用して、共同管理者を一覧表示します

  3. 共同管理者がアクティブなユーザーであるかどうかを評価するために、サインイン ログを確認します。

手順 2: アクセスが不要になった共同管理者を削除する

  1. ユーザーが社内にいなくなった場合は、共同管理者を削除します

  2. ユーザーが削除されたが、共同管理者の割り当てが削除されなかった場合は、共同管理者を削除します

    通常、削除されたユーザーには、テキスト (このディレクトリにユーザーが見つかりませんでした) が含まれます。

    ディレクトリでは見つからないものの、共同管理者ロールを持つユーザーのスクリーンショット。

  3. ユーザーのアクティビティを確認した後、ユーザーがアクティブでなくなった場合は、共同管理者を削除します

手順 3: 共同管理者を職務権限ロールに変換する

ほとんどのユーザーは、共同管理者と同じアクセス許可が必要ありません。 代わりにジョブ機能ロールを検討してください。

  1. ユーザーがまだ何らかのアクセス権を必要とする場合は、必要な適切なジョブ機能ロールを決定します。

  2. ユーザーに必要なスコープを決定します。

  3. ユーザーにジョブ機能ロールを割り当てる手順に従います。

  4. 共同管理者を削除します

手順 4: 条件を使用して共同管理者を所有者ロールに変換する

一部のユーザーは、ジョブ機能ロールが提供できるものよりも多くのアクセス権を必要とする場合があります。 所有者ロールを割り当てる必要がある場合は、条件を追加するか、Microsoft Entra Privileged Identity Management (PIM) を使用してロールの割り当てを制限することを検討してください。

  1. 条件を使用して所有者ロールを割り当てます。

    たとえば、条件を使用してサブスクリプション スコープで所有者ロールを割り当てます。 PIM がある場合は、ユーザーに所有者ロールの割り当て資格を付与します。

  2. 共同管理者を削除します

手順 5: 共同管理者を所有者ロールに変換する

ユーザーがサブスクリプションの管理者である必要がある場合は、サブスクリプション スコープで所有者ロールを割り当てます。

共同管理者ロールを所有者ロールに変換する方法

サブスクリプション スコープで共同管理者ロールの割り当てを所有者ロールに適用する最も簡単な方法は、修正手順を使用することです。

  1. サブスクリプションの所有者として Azure portal にサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

  3. [アクセス制御 (IAM)] を選択します。

  4. [従来の管理者] タブを選択して、共同管理者の一覧を表示します。

  5. 所有者ロールに変換する共同管理者の [修正] 列で、[Assign RBAC role]\(RBAC ロールの割り当て\) リンクを選択します。

  6. [ロールの割り当てを追加] ウィンドウで、ロールの割り当てを確認します。

    [Assign RBAC role]\(RBAC ロールの割り当て\) リンクを選択した後の [ロールの割り当てを追加] ウィンドウのスクリーンショット。

  7. [レビューと割り当て] を選択して所有者ロールを割り当て、共同管理者ロールの割り当てを削除します。

共同管理者を削除する方法

共同管理者を削除するには、次の手順に従います。

  1. サブスクリプションの所有者として Azure portal にサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

  3. [アクセス制御 (IAM)] を選択します。

  4. [従来の管理者] タブを選択して、共同管理者の一覧を表示します。

  5. 削除する共同管理者の横にチェック マークを付けます。

  6. [削除] を選択します。

  7. 表示されるメッセージ ボックスで、 [はい] を選択します。

    共同管理者を削除する場合のメッセージ ボックスのスクリーンショット。

サービス管理者の廃止

まだ従来の管理者がいる場合は、次の手順を使用して、サービス管理者ロールの割り当て変換に役立ててください。 サービス管理者を削除する前に、サブスクリプションの孤立を回避するために、条件なしでサブスクリプション スコープで所有者ロールが割り当てられているユーザーが少なくとも 1 人必要です。 サブスクリプションの所有者は、サービス管理者と同じアクセス権を持っています。

手順 1: 現在のサービス管理者を確認する

  1. サブスクリプションの所有者として Azure portal にサインインします。

  2. Azure portal または Azure Resource Graph を使用して、サービス管理者を一覧表示します

  3. サービス管理者がアクティブなユーザーであるかどうかを評価するために、サインイン ログを確認します。

手順 2: 現在の課金アカウント所有者を確認する

サービス管理者ロールが割り当てられているユーザーが、課金アカウントの管理者と同じユーザーである場合もあります。 現在の課金アカウント所有者が引き続き正確であることを確認する必要があります。

  1. Azure portal を使用して、課金アカウント所有者を取得します

  2. 課金アカウント所有者の一覧を確認します。 必要に応じて、別の課金アカウント所有者を更新または追加します

手順 3: サービス管理者を所有者ロールに変換する

サービス管理者は、Microsoft アカウントまたは Microsoft Entra アカウントである場合があります。 Microsoft アカウントとは、Outlook、OneDrive、Xbox LIVE、Microsoft 365 などの個人アカウントのことです。 Microsoft Entra アカウントは、Microsoft Entra ID を通じて作成される ID です。

  1. サービス管理者ユーザーが Microsoft アカウントであり、このユーザーに同じアクセス許可を保持する場合は、サービス管理者を所有者ロールに変換します。

  2. サービス管理者ユーザーが Microsoft Entra アカウントであり、このユーザーに同じアクセス許可を保持する場合は、サービス管理者を所有者ロールに変換します。

  3. サービス管理者ユーザーを別のユーザーに変更する場合は、条件なしでサブスクリプション スコープでこの新しいユーザーに所有者ロールを割り当てます。 次に、サービス管理者を削除します。

サービス管理者を所有者ロールに変換する方法

サブスクリプション スコープでサービス管理者ロールの割り当てを所有者ロールに変換する最も簡単な方法は、修正手順を使用することです。

  1. サブスクリプションの所有者として Azure portal にサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

  3. [アクセス制御 (IAM)] を選択します。

  4. [従来の管理者] タブを選択して、サービス管理者を表示します。

  5. サービス管理者の場合は、[修復] 列で、[Assign RBAC role]\(RBAC ロールの割り当て\) リンクを選択します。

  6. [ロールの割り当てを追加] ウィンドウで、ロールの割り当てを確認します。

    [Assign RBAC role]\(RBAC ロールの割り当て\) リンクを選択した後の [ロールの割り当てを追加] ウィンドウのスクリーンショット。

  7. [レビューと割り当て] を選択して所有者ロールを割り当て、サービス管理者ロールの割り当てを削除します。

サービス管理者を削除する方法

重要

サービス管理者を削除するには、サブスクリプションの孤立を回避するために、条件なしでサブスクリプションスコープで 所有者 ロールが割り当てられているユーザーが必要です。 サブスクリプションの所有者は、サービス管理者と同じアクセス権を持っています。

  1. サブスクリプションの所有者として Azure portal にサインインします。

  2. [サブスクリプション] を開き、サブスクリプションを選択します。

  3. [アクセス制御 (IAM)] を選択します。

  4. [従来の管理者] タブを選択します。

  5. サービス管理者の横にチェック マークを付けます。

  6. [削除] を選択します。

  7. 表示されるメッセージ ボックスで、 [はい] を選択します。

    サービス管理者を削除する場合の[従来の管理者を削除] メッセージのスクリーンショット。

次のステップ