Azure AD ユーザーの作成とサブスクリプションのアクセス権割り当て

Azure AD ユーザーの作成とサブスクリプションのアクセス権割り当て

今回は Azure AD ユーザーアカウントの作成と Azure サブスクリプションへのアクセス権を割り当て方法を紹介します。手順は大したことないですが、若干概念として複雑なところがあるので説明を交えながら進めます。

Microsoft アカウントと Azure AD アカウント

よく混同されがちですが、Microsoft アカウントと Azure AD アカウントは別のものになります。

Microsoft アカウント

Microsoft アカウントは主に個人用で、そのアカウント情報を管理しているのはユーザー自身です。登録時には、@outlook.jp や @gmail.com などの個人メールアドレスを使います。Microsoft が提供するコンシューマー向けサービスを利用するのに必要です。

Azure AD アカウント

Azure AD アカウントは別名で組織(職場または学校)アカウントなどとも呼ばれます。これらのアカウントを管理するのは組織の管理部門になります。組織が持っているメールアドレスなどのドメインを利用して作られる場合が多いです。

そしてこの Azure AD アカウントは Azure AD で管理されます。Azure AD に関連づけられた Office 365 や Microsoft 365 、Microsoft Azure といったサービスに対するライセンスの割り当てなども同様に Azure AD で行われます。

Azure AD ユーザーアカウントの作成

Azure ポータルにて、[Azure Active Directory]のメニューから[ユーザー]をクリックします。

Azure AD に登録されているユーザーアカウントの一覧が表示されます。(Azure サブスクリプションをサインアップした Microsoft アカウントも標準で登録されています)

上部の[新しいユーザー]をクリックします。

ウィザードに従ってユーザーを作成していきます。

  • [ユーザー名]:(任意のユーザー名)(ドメインは任意のものを選択)
  • [名前]:(ユーザーを識別するための任意の表示名)
  • [名]:(ユーザーの名前)
  • [姓]:(ユーザーの苗字)
  • [パスワード]:(自動生成か任意のパスワードを設定)
    ※初回サインインのためパスワードを控えておくこと
  • [グループ]:未選択(必要に応じて Azure AD グループを選択)
  • [役割]:(必要に応じて Azure AD ロールを割り当て)
    ※今回は最上位権限であるグローバル管理者
  • [サインインのブロック]:いいえ
  • [利用場所]:日本
  • [役職]:(必要に応じて組織内の役職を入力)
  • [部署]:(必要に応じて組織内の部署を入力)

今回は[役割]のところで、Azure AD ロールの中でも最上位権限である[グローバル管理者]を割り当てています。この役割は Azure AD に関する全ての権限を持っているので、取り扱いには注意してください。

Azure AD ロールと Azure サブスクリプションロール

次は Azure サブスクリプションに権限を割り当てるのですが、その前少しややこしい Azure AD とサブスクリプションの権限=ロールの話をします。

先ほど Azure AD ユーザーを作成するときに選択したように、Azure AD には役割=ロールと呼ばれる概念があります。これは、ユーザーに対してどのような操作が許可されるかを定義したものと考えてください。

Azure AD ロール

Azure AD ロールは、Azure AD で扱うものに対する管理権限を定義したものです。Azure AD で扱うものは、ユーザーアカウントやグループ、デバイス、アプリケーション、Office アプリ、セキュリティ、監査、コンプライアンスなど多岐に渡ります。中には設定の変更が可能な管理者ロールと、情報の閲覧のみが可能な閲覧者ロールに分かれているものもあります。

Azure AD ロースの種類については以下の Docs にまとまっています。みていただくとわかりますが、種類は非常に多いです。

https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-assign-admin-roles

Azure サブスクリプションロール

Azure サブスクリプションにも同様にロールという概念があります。こちらは Azure サブスクリプション上のリソースに対する管理権限を定義しています。

代表的なものは以下の3つです。この他にサービス単位で権限を定義しているものや、カスタム定義できるロールがあります。

  • 所有者:他のユーザーへアクセス権を委任する権限と、すべてのリソースへのフル アクセス権
  • 共同管理者:すべてのリソースへのフル アクセス権
  • 閲覧者:すべてのリソースへの読み取り権

これらはリソースグループやリソース単位でも割り当て可能なので、細かいアクセス制御も可能です。

2つのロールの違い

上記の説明の通り、2つのロールは管理する対象が全く違います。わかりやすく言えば、Azure AD のグローバル管理者ロールが割当たったユーザーでも、Azure サブスクリプションでロールが割り当てられていなければ、リソースを見ることも作成することも、そもそも表示すらされないということです。

また、逆に Azure サブスクリプションの所有者ロールを割り当てたとしても、Azure AD ロールが一般のメンバーであれば、不用意に管理者向けの設定を変えられることはないのです。

このように、それぞれのロールがどの範囲の権限を扱っているのかを認識して扱う必要があります。

Azure サブスクリプションのロール割り当て

Azure AD ユーザーに Azure サブスクリプションのロールを割り当てていきます。Azure サブスクリプションの所有者ロールのユーザー(最初にサブスクリプションをセットアップした Microsoft アカウントなど)を使います。

Azure ポータルにて[サブスクリプション]からロールを割り当てるサブスクリプションを選択します。

メニューから[アクセス制御(IAM)]をクリックします。

上部の[追加]をクリック、[ロールの割り当ての追加]をクリックします。

[ロールの割り当ての追加]ウィザードで、ロールとユーザーを指定します。[選択したメンバー]に追加されていることを確認し、[保存]をクリックする。

  • [役割]:所有者(必要に応じてロールを選択)
  • [アクセス権の割り当て先]:Azure AD のユーザー、グループ、サービス プリンシパル
  • [選択]:(ユーザー名などでフィルター)
    ロールを割り当てるユーザーを指名する(複数可)

[ロールの割り当て]をクリックし、設定したユーザーにロールが割り当たっているか確認します。

作成した Azure AD アカウントの確認

現在サインインしているユーザーからサインアウトしてから、あるいは InPrivate ブラウザ(シークレット ブラウザ)機能を使って Azure ポータルへサインインします。

先ほど作成した Azure AD アカウントでサインインを試みます。ユーザーアカウント名を入力します。パスワードの入力を求められたら控えていたパスワードを入力します。

初回サインイン時や、パスワードの有効期限が切れたときはパスワードの更新を求められます。

Azure ポータルにサインインしたら、[サブスクリプション]を選択し、先ほどロールを割り当てたサブスクリプションがみれることを確認します。