Azure の予約を表示および管理するためのアクセス許可

この記事では、Azure での予約アクセス許可のしくみと、承認されたユーザーが Azure portal と Azure PowerShell で Azure 予約を表示および管理する方法について説明します。

既定で予約を管理できるユーザー

既定では、次のユーザーが予約を表示および管理できます。

• 予約を購入した担当者と、予約の購入に使用した課金サブスクリプションのアカウント管理者が、予約注文に追加されます。
• マイクロソフト エンタープライズ契約および Microsoft 顧客契約の課金管理者。
• すべての Azure サブスクリプションと管理グループを管理するための昇格されたアクセス権を持つユーザー
• Microsoft Entra テナント (ディレクトリ) 内の予約に関する、予約管理者または予約投稿者
• Microsoft Entra テナント (ディレクトリ) の予約に対する読み取り専用アクセス権を持つ予約閲覧者

予約のライフサイクルは、Azure サブスクリプションとは無関係です。 予約は Azure サブスクリプションの下のリソースではなく、サブスクリプションとは別の独自の Azure RBAC アクセス許可を持つテナント レベルのリソースです。 予約には、購入後にサブスクリプションからアクセス許可が継承されません。

予約の表示と管理

2つの異なる認証方法によって、ユーザーが予約への権限を表示、管理、および委任する能力が制御されます。

• 請求管理者ロール
• 予約の ロールベースのアクセス制御 (RBAC) ロール

課金管理者の役割

組み込みの課金管理者ロールを使用して、予約に対するアクセス許可を表示、管理、委任できます。 Microsoft 顧客契約と Enterprise Agreement の課金ロールの詳細については、「 Azure での Microsoft 顧客契約の管理ロール について」と「 Azure Enterprise Agreement ロールの管理」をそれぞれ参照してください。

予約の操作には課金管理者の役割が必要です。

予約の表示:

• Microsoft 顧客契約: 課金プロファイル閲覧者以上のユーザー
• エンタープライズ契約: エンタープライズ管理者 (読み取り専用) 以上のユーザー
• Microsoft パートナー契約: サポートされていません

予約の管理 (完全な課金プロファイル/登録のアクセス許可を委任することによって実現):

• Microsoft 顧客契約: 課金プロファイルコントリビューター以上のユーザー
• エンタープライズ契約: エンタープライズ契約管理者以上のユーザー
• Microsoft パートナー契約: サポートされていません

予約の権限を委任する:

• Microsoft 顧客契約: 課金プロファイルコントリビューター以上のユーザー
• Enterprise Agreement: エンタープライズアグリーメント購入者またはそれ以上の権限を持つユーザー
• Microsoft パートナー契約: サポートされていません

EA 管理者または課金プロファイル所有者は、予約を購入するために、少なくとも 1 つの EA または MCA サブスクリプションの所有者または予約購入者のアクセス権を保持している必要があります。 このオプションは、一元化されたチームが予約を購入する必要がある企業に役立ちます。 詳細については、「 Azure 予約の購入」を参照してください。

課金管理者として予約を表示および管理する

課金ロール ユーザーの場合は、次の手順に従って、Azure portal ですべての予約と予約トランザクションを表示および管理します。

1. Azure portal にサインインし、[コストの管理と請求] に移動します。
   • Enterprise Agreement アカウントの下にある場合は、左側のメニューで [ 課金スコープ ] を選択し、課金スコープの一覧で 1 つ選択します。
   • Microsoft 顧客契約アカウントの下にいる場合は、左側のメニューで [ 課金プロファイル] を選択します。 課金プロファイルの一覧でプロファイルを選択します。
2. 左側のメニューで、 製品とサービス>予約 + ハイブリッド特典を選択します。 Enterprise Agreement 加入契約または Microsoft 顧客契約の課金プロファイルの予約の完全な一覧が表示されます。

課金ロールのユーザーは、1 つまたは複数の予約を選択し、表示されるウィンドウで [ アクセス 権の付与] を選択することで、予約の所有権を取得できます。 Microsoft 顧客契約の場合、ユーザーは予約と同じ Microsoft Entra テナント (ディレクトリ) に存在する必要があります。

課金管理者の追加

Azure portal で、ユーザーを課金管理者としてマイクロソフト エンタープライズ契約または Microsoft 顧客契約に追加します。

• エンタープライズ契約: エンタープライズ管理者 ロールを持つユーザーを追加して、Enterprise Agreement に適用されるすべての予約注文を表示および管理します。 エンタープライズ管理者は、[コストの管理と請求] で予約を表示および管理できます。

  • エンタープライズ管理者 (読み取り専用) ロールを持つユーザーは、Cost Management + Billing からのみ予約を表示できます。
  • 部門管理者とアカウント所有者は、アクセス制御 (IAM) を使用して明示的に追加 されていない限り 、予約を表示できません。 詳細については、「 Azure Enterprise ロールの管理」を参照してください。

• Microsoft 顧客契約: 課金プロファイル所有者ロールまたは課金プロファイル共同作成者ロールを持つユーザーは、課金プロファイルを使用して行われたすべての予約購入を管理できます。

  • 課金プロファイル閲覧者と請求書管理者は、請求プロファイルを使用して支払われるすべての予約を表示できます。 ただし、予約に変更を加えることはできません。 詳細については、「課金プロファイルのロールとタスク」を参照してください。

予約 RBAC ロール

概要

Azure には、アクセス許可レベルが異なる 4 つの予約固有の RBAC ロールが用意されています。

• 予約管理者: Microsoft Entra テナント (ディレクトリ) 内の 1 つ以上の予約の管理と、他のユーザーへの RBAC ロールの委任 を許可します。
• 予約購入者: サブスクリプション所有者以外の場合でも、指定したサブスクリプションで予約を購入できます。
• 予約共同作成者: Microsoft Entra テナント (ディレクトリ) 内の 1 つ以上の予約を管理できますが、他のユーザーへの RBAC ロールの委任は許可しません。
• 予約リーダー: Microsoft Entra テナント (ディレクトリ) 内の 1 つ以上の予約への読み取り専用アクセスを許可します。

これらのロールのスコープは、特定のリソース エンティティ (サブスクリプションや予約など) または Microsoft Entra テナントのいずれかに設定できます。 Azure RBAC の詳細については、「 Azure ロールベースのアクセス制御 (Azure RBAC) とは」を参照してください。

予約アクションに必要な予約 RBAC ロール

予約の表示:

• テナント スコープ: 予約閲覧者以上のユーザー
• 予約スコープ: 組み込みの閲覧者以上

予約の管理:

• テナント スコープ: 予約投稿者以上のユーザー
• 予約スコープ: 組み込みの投稿者か所有者ロール、または予約投稿者ロール以上

予約の権限を委任する:

• テナント スコープ: テナント内のすべての予約に RBAC ロールを付与するには、 ユーザー アクセス管理者権限 が必要です。 これらの権限を取得するには、Elevate アクセス手順に従います
• 予約スコープ: 予約管理者またはユーザーアクセス管理者

さらに、サブスクリプションが予約の購入に使用されたときにサブスクリプション所有者ロールを保持していたユーザーは、購入した予約のアクセス許可を表示、管理、委任することもできます。

RBAC アクセスを使用して予約を表示および管理する

予約固有の RBAC ロール (予約管理者、購入者、共同作成者、閲覧者) がある場合、予約を購入した場合、または予約の所有者として追加された場合は、次の手順に従って Azure portal で予約を表示および管理します。

1. Azure portal にサインインする
2. [ ホーム>予約 ] を選択して、アクセス権を持つ予約を一覧表示します

予約の RBAC ロールを委任する

このセクションでは、次の方法について説明します。

• 予約購入者ロールを特定のサブスクリプションに委任する
• 予約管理者、共同作成者、または閲覧者ロールを特定の予約に委任する
• すべての予約に対する「予約管理者」「共同作成者」または「閲覧者」のロールを委任する

RBAC ロールを使用して予約を購入、管理、または表示する機能を取得するユーザーとグループは、 Home>Reservation から行う必要があります。

エンタープライズ管理者は予約注文の所有権を取得できます。 アクセス制御 (IAM) を使用して、他のユーザーを予約に追加できます。

予約購入者ロールを特定のサブスクリプションに委任する

特定のサブスクリプションに購入者ロールを委任し、昇格されたアクセス権を取得した後に、次の手順を実行します。

1. [ホーム]>[予約] の順に移動して、テナント内のすべての予約を表示します。
2. 予約を変更するには、 アクセス制御 (IAM) を使用して予約注文の所有者として自分自身を追加します。

予約管理者、共同作成者、または閲覧者ロールを特定の予約に委任する

特定の予約に管理者、貢献者、または利用者の役割を委任するには:

1. ホーム>予約に移動します。
2. 目的の予約を選択します。
3. 左端のウィンドウで [アクセス制御 (IAM)] を選択します。
4. [ 追加] を選択し、上部のナビゲーション バーから [ロールの割り当ての追加] を選択します。

すべての予約に予約管理者、共同作成者、閲覧者のロールを委任する

テナント レベルで RBAC ロールを付与するには、ユーザー アクセス管理者権限が必要です。 ユーザー アクセス管理者権限を取得するには、昇格されたアクセスの手順に従います。

その後、管理者、投稿者、閲覧者のロールを、テナント内のすべての予約に委任します。

1. ホームに移動>予約
2. 上部のナビゲーション バーから [ロールの割り当て ] を選択する

個々の予約へのアクセス権を付与する

予約の所有者アクセス権を持つユーザーと課金管理者は、Azure portal で個々の予約注文のアクセス管理を委任できます。

他のユーザーが予約を管理できるようにするには、次の 2 つのオプションがあります。

• 予約注文の リソース スコープで所有者ロールをユーザーに割り当てることで、個々の予約注文のアクセス管理を委任します。 制限付きアクセス権を付与する場合は、別のロールを選択します。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

• Enterprise Agreement または Microsoft 顧客契約に課金管理者としてユーザーを追加します。

  • Enterprise Agreement の場合は、エンタープライズ管理者ロールを持つユーザーを追加して、Enterprise Agreement に適用されるすべての予約注文を表示および管理します。 エンタープライズ管理者 (読み取り専用) ロールを持つユーザーは、予約のみを表示できます。 部門管理者とアカウント所有者は、アクセス制御 (IAM) を使用して明示的に追加されていない限り、予約を表示できません。 詳細については、「Azure エンタープライズ ロールの管理」を参照してください。

"エンタープライズ管理者は、予約注文の所有権を取得し、アクセス制御 (IAM) を使用して他のユーザーを予約に追加することができます。"

• Microsoft 顧客契約の場合は、課金プロファイル所有者ロールまたは課金プロファイル共同作成者ロールを持つユーザーが、課金プロファイルを使用して行われたすべての予約購入を管理できます。 課金プロファイル閲覧者と請求書管理者は、請求プロファイルを使用して支払われるすべての予約を表示できます。 ただし、予約に変更を加えることはできません。 詳細については、「課金プロファイルのロールとタスク」を参照してください。

PowerShell でアクセス権を付与する

予約注文の所有者アクセス権を持つユーザー、昇格されたアクセス権を持つユーザー、およびユーザー アクセス管理者は、アクセス権を持つすべての予約注文のアクセス管理を委任できます。

PowerShell を使用して付与されたアクセス権は、Azure portal には表示されません。 代わりに、次のセクションの get-AzRoleAssignment コマンドを使用して、割り当てられたロールを表示します。

PowerShell を使用したアクセス権の付与の詳細については、PowerShell を 使用した Azure 予約への RBAC アクセスの付与に関するページを参照してください。

次のステップ

• Azure の予約を管理する。
• PowerShell を使用して、Azure Reservations への RBAC アクセスを許可します。
• 予約割引の適用方法について説明します。