ユーザーを Azure サブスクリプションの管理者にするには、サブスクリプション スコープで 所有者 ロールを割り当てます。 所有者ロールは、他のユーザーにアクセス権を付与するアクセス許可を含め、サブスクリプション内のすべてのリソースへのフル アクセス権をユーザーに付与します。 所有者ロールは高い特権を持つロールであるため、ロールの割り当てを制限する条件を追加することをお勧めします。 たとえば、ユーザーにサービス プリンシパルへの仮想マシン共同作成者ロールの割り当てのみを許可できます。
この記事では、条件を使用して Azure サブスクリプションの管理者としてユーザーを割り当てる方法について説明します。 次の手順は、他のロールの割り当てと同じです。
[前提条件]
Azure ロールを割り当てるには、以下が必要です。
-
Microsoft.Authorization/roleAssignments/writeロールベースアクセス制御管理者やユーザーアクセス管理者のようなアクセス許可
手順 1: サブスクリプションを開く
Azure portal にサインインします。
上部の [検索] ボックスで、サブスクリプションを検索します。
使用するサブスクリプションをクリックします。
サブスクリプションの例を次に示します。
手順 2: [ロールの割り当ての追加] ページを開く
アクセス制御 (IAM) は、一般的には、ロールを割り当てて Azure リソースへのアクセスを付与するために使用するページです。 "ID とアクセス管理 (IAM)" とも呼ばれており、Azure portal のいくつかの場所に表示されます。
[アクセス制御 (IAM)] をクリックします。
サブスクリプションの [アクセス制御 (IAM)] ページの例を次に示します。
![サブスクリプションの [アクセス制御 (IAM)] ページのスクリーンショット。](media/shared/sub-access-control.png)
[ロールの割り当て] タブをクリックして、このスコープのロールの割り当てを表示します。
[>ロールの割り当ての追加] をクリックします。
ロールを割り当てるためのアクセス許可がない場合は、[ロールの割り当ての追加] オプションは無効になります。
[ロールの割り当ての追加] ページが開きます。
手順 3: 所有者ロールを選択する
所有者ロールは、Azure RBAC でロールを割り当てる機能を含め、すべてのリソースを管理するためのフル アクセス権を付与します。 侵害された所有者による侵害の可能性を減らすため、サブスクリプション所有者は最大 3 人までにします。
[ ロール ] タブで、[ 特権管理者ロール ] タブを選択します。
![[特権管理者ロール] タブが選択されている [ロールの割り当ての追加] ページのスクリーンショット。](media/shared/privileged-administrator-roles.png)
所有者ロールを選択します。
[次へ] をクリックします。
手順 4: アクセスを必要とするユーザーを選択する
[ メンバー ] タブで、[ ユーザー、グループ、またはサービス プリンシパル] を選択します。
![[メンバーの追加] タブの [ロールの割り当ての追加] ページのスクリーンショット。](media/shared/members.png)
[ メンバーの選択] をクリックします。
ユーザーを見つけて選択します。
[選択] ボックスに表示名またはメール アドレスを入力してディレクトリを検索できます。
![[メンバーの選択] ウィンドウのスクリーンショット。](media/shared/select-members.png)
[ 保存] をクリックして、ユーザーを [メンバー] リストに追加します。
必要に応じて、[説明] ボックスにこのロール割り当ての説明を入力します。
後で、ロールの割り当ての一覧にこの説明を表示できます。
[次へ] をクリックします。
手順 5: 条件を追加する
所有者ロールは高い特権を持つロールであるため、ロールの割り当てを制限する条件を追加することをお勧めします。
[ 条件 ] タブの [ ユーザーが実行できる操作] で、[ 選択したロールのみを選択したプリンシパルに割り当てることをユーザーに許可する (権限が少ない)] オプションを 選択します。
![制約付きオプションが選択された [ロールの割り当ての追加] のスクリーンショット。](media/role-assignments-portal-subscription-admin/condition-constrained-owner.png)
[ロールとプリンシパルを選択]を選択します。
[ロールの割り当て条件の追加] ページが表示され、条件テンプレートの一覧が表示されます。
条件テンプレートを選択し、[ 構成] を選択します。
条件テンプレート このテンプレートを選択する目的 ロールの制約 選択したロールの割り当てのみをユーザーに許可する ロールとプリンシパルの種類を制約する 選択したロールの割り当てのみをユーザーに許可する
選択したプリンシパルの種類 (ユーザー、グループ、またはサービス プリンシパル) にのみこれらのロールを割り当てることをユーザーに許可するロールとプリンシパルを制約する 選択したロールの割り当てのみをユーザーに許可する
選択したプリンシパルにのみこれらのロールを割り当てることをユーザーに許可するヒント
ほとんどのロールの割り当てを許可するが、特定のロールの割り当てを許可しない場合は、高度な条件エディターを使用して、条件を手動で追加できます。 例については、「 例: ほとんどのロールを許可するが、他のユーザーにロールの割り当てを許可しない」を参照してください。
[構成] ウィンドウで、必要な構成を追加します。
![選択内容が追加された条件の [構成] ウィンドウのスクリーンショット。](media/shared/condition-template-configure-pane.png)
[ 保存] を 選択して、ロールの割り当てに条件を追加します。
![制約付きオプションが選択された [ロールの割り当ての追加] のスクリーンショット。](media/role-assignments-portal-subscription-admin/condition-constrained-owner.png#lightbox)
条件テンプレートの一覧を含む [ロールの割り当の追加] 条件のスクリーンショット。![選択内容が追加された条件の [構成] ウィンドウのスクリーンショット。](media/shared/condition-template-configure-pane.png#lightbox)
手順 6: ロールを割り当てる
[Review + assign]\(確認と割り当て\) タブで、ロールの割り当ての設定を確認します。
[ 確認と割り当て] をクリックしてロールを割り当てます。
しばらくすると、ユーザーにはサブスクリプションの所有者ロールが割り当てられます。
