Azure portal を使用して外部ユーザーに Azure ロールを割り当てる

Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、大規模な組織や、環境内の特定のリソースへのアクセスを必要とする外部コラボレーター、ベンダー、フリーランサーと協力する中小企業向けのセキュリティ管理が向上しますが、インフラストラクチャ全体や課金関連のスコープには必ずしもアクセスできません。 Microsoft Entra B2B の機能を使用して外部ユーザーと共同作業を行うことができます。また、Azure RBAC を使用して、外部ユーザーが環境内で必要とするアクセス許可のみを付与できます。

[前提条件]

Azure ロールを割り当てるか、ロールの割り当てを削除するには、次が必要です。

• Microsoft.Authorization/roleAssignments/write および Microsoft.Authorization/roleAssignments/delete のアクセス許可 (ユーザー アクセス管理者や所有者など)

外部ユーザーを招待するタイミング

組織にユーザーを招待してアクセス許可を付与するシナリオの例を次に示します。

• メール アカウントのみを持つ外部の自営業ベンダーが、プロジェクトの Azure リソースにアクセスできるようにします。
• 外部パートナーが特定のリソースまたはサブスクリプション全体を管理できるようにします。
• 組織にいないサポート エンジニア (Microsoft サポートなど) が Azure リソースに一時的にアクセスして問題のトラブルシューティングを行えるようにします。

メンバー ユーザーとゲスト ユーザーのアクセス許可の違い

メンバーの種類 (メンバー ユーザー) を持つディレクトリのユーザーは、B2B コラボレーション ゲスト (ゲスト ユーザー) として別のディレクトリから招待されたユーザーとは既定で異なるアクセス許可を持ちます。 たとえば、メンバー ユーザーはほぼすべてのディレクトリ情報を読み取ることができますが、ゲスト ユーザーはディレクトリのアクセス許可を制限します。 メンバー ユーザーとゲスト ユーザーの詳細については、「 Microsoft Entra ID の既定のユーザー アクセス許可とは」を参照してください。

外部ユーザーをディレクトリに招待する

Microsoft Entra ID で外部ユーザーをディレクトリに招待するには、次の手順に従います。

1. Azure portal にサインインします。

2. 外部ユーザーの招待が許可されるように、組織の外部コラボレーション設定が構成されていることを確認します。 詳細については、「外部コラボレーションの設定を構成する」を参照してください。

3. Microsoft Entra ID>ユーザーを選択します。

4. [ 新しいユーザー>外部ユーザーを招待する] を選択します。

   

5. 手順に従って外部ユーザーを招待します。 詳細については、 Azure portal での Microsoft Entra B2B コラボレーション ユーザーの追加に関するページを参照してください。

外部ユーザーをディレクトリに招待した後、外部ユーザーに共有アプリへの直接リンクを送信するか、外部ユーザーが招待メールで招待の承諾リンクを選択できます。

外部ユーザーがディレクトリにアクセスできるようにするには、招待プロセスを完了する必要があります。

招待プロセスの詳細については、「 Microsoft Entra B2B コラボレーションの招待の利用」を参照してください。

外部ユーザーにロールを割り当てる

Azure RBAC でアクセス権を付与するには、ロールを割り当てます。 外部ユーザーにロールを割り当てるには、メンバー ユーザー、グループ、サービス プリンシパル、またはマネージド ID の場合と 同じ手順 に従います。 次の手順に従って、異なるスコープの外部ユーザーにロールを割り当てます。

1. Azure portal にサインインします。

2. 上部にある検索ボックスで、アクセス権を付与するスコープを検索します。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、または特定のリソースを検索します。

3. そのスコープの特定のリソースを選択します。

4. [アクセス制御 (IAM)] を選択します。

   リソース グループの [アクセス制御 (IAM)] ページの例を次に示します。

   

5. [ロールの割り当て] タブを選択して、このスコープのロールの割り当てを表示します。

6. [追加>][ロール割り当ての追加] の順に選択します。

   ロールを割り当てるアクセス許可がない場合は、[ ロールの割り当ての追加] オプションが無効になります。

   

   [ ロールの割り当ての追加] ページが開きます。

7. [ ロール ] タブで、 仮想マシン共同作成者などのロールを選択します。

   

8. [ メンバー ] タブで、[ ユーザー、グループ、またはサービス プリンシパル] を選択します。

   

9. [メンバーの選択] を選びます。

10. 外部ユーザーを見つけて選択します。 一覧にユーザーが表示されない場合は、[ 選択 ] ボックスに入力して、ディレクトリで表示名または電子メール アドレスを検索できます。

    [選択] ボックスに表示名またはメール アドレスを入力してディレクトリを検索できます。

    

11. [ 選択] を選択 して、外部ユーザーを [メンバー] リストに追加します。

12. [ 確認と割り当て ] タブで、[ 確認と割り当て ] を選択します。

    しばらくすると、選択したスコープで外部ユーザーにロールが割り当てられます。

    

ディレクトリにまだ含まれていない外部ユーザーにロールを割り当てる

外部ユーザーにロールを割り当てるには、メンバー ユーザー、グループ、サービス プリンシパル、またはマネージド ID の場合と 同じ手順 に従います。

外部ユーザーがまだディレクトリにいない場合は、[メンバーの選択] ウィンドウから直接ユーザーを招待できます。

1. Azure portal にサインインします。

2. 上部にある検索ボックスで、アクセス権を付与するスコープを検索します。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、または特定のリソースを検索します。

3. そのスコープの特定のリソースを選択します。

4. [アクセス制御 (IAM)] を選択します。

5. [追加>][ロール割り当ての追加] の順に選択します。

   ロールを割り当てるアクセス許可がない場合は、[ ロールの割り当ての追加] オプションが無効になります。

   

   [ ロールの割り当ての追加] ページが開きます。

6. [ ロール ] タブで、 仮想マシン共同作成者などのロールを選択します。

7. [ メンバー ] タブで、[ ユーザー、グループ、またはサービス プリンシパル] を選択します。

   

8. [メンバーの選択] を選びます。

9. [ 選択 ] ボックスに、招待するユーザーのメール アドレスを入力し、そのユーザーを選択します。

   

10. [ 選択] を選択 して、外部ユーザーを [メンバー] リストに追加します。

11. [ 確認と割り当て ] タブで、[ 確認と割り当て ] を選択して外部ユーザーをディレクトリに追加し、ロールを割り当てて、招待を送信します。

    しばらくすると、ロールの割り当てと招待に関する情報の通知が表示されます。

    

12. 外部ユーザーを手動で招待するには、通知で招待リンクを右クリックしてコピーします。 招待プロセスが開始されるため、招待リンクを選択しないでください。

    招待リンクの形式は次のとおりです。

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

13. 招待プロセスを完了するには、招待リンクを外部ユーザーに送信します。

    招待プロセスの詳細については、「 Microsoft Entra B2B コラボレーションの招待の利用」を参照してください。

ディレクトリから外部ユーザーを削除する

ディレクトリから外部ユーザーを削除する前に、まずその外部ユーザーのロールの割り当てを削除する必要があります。 ディレクトリから外部ユーザーを削除するには、次の手順に従います。

1. 外部ユーザーがロールを割り当てられている、管理グループ、サブスクリプション、リソース グループ、リソースなどのスコープで アクセス制御 (IAM) を開きます。

2. [ ロールの割り当て ] タブを選択して、すべてのロールの割り当てを表示します。

3. ロールの割り当ての一覧で、削除するロールの割り当てを持つ外部ユーザーの横にチェック マークを追加します。

   

4. [を選択し、を削除します。

   

5. 表示されるロールの割り当ての削除メッセージで、[ はい] を選択します。

6. [従来の管理者] タブを選択します。

7. 外部ユーザーに Co-Administrator 割り当てがある場合は、外部ユーザーの横にチェック マークを追加し、[削除] を選択 します。

8. 左側のナビゲーション バーで、 Microsoft Entra ID>Users を選択します。

9. 削除する外部ユーザーを選択します。

10. を選択して、を削除します。

    

11. 表示される削除メッセージで、[ はい] を選択します。

Troubleshoot

外部ユーザーがディレクトリを参照できない

外部ユーザーには、ディレクトリアクセス許可が制限されています。 たとえば、外部ユーザーはディレクトリを参照できないため、グループやアプリケーションを検索できません。 詳細については、「 Microsoft Entra ID の既定のユーザー アクセス許可とは」を参照してください。

外部ユーザーがディレクトリに追加の特権を必要とする場合は、外部ユーザーに Microsoft Entra ロールを割り当てることができます。 外部ユーザーにディレクトリへの完全な読み取りアクセス権を本当に付与する場合は、Microsoft Entra ID の ディレクトリ閲覧者 ロールに外部ユーザーを追加できます。 詳細については、 Azure portal での Microsoft Entra B2B コラボレーション ユーザーの追加に関するページを参照してください。

外部ユーザーは、ユーザー、グループ、またはサービス プリンシパルを参照してロールを割り当てることができません

外部ユーザーには、ディレクトリアクセス許可が制限されています。 外部ユーザーがスコープの 所有者 であっても、他のユーザーにアクセス権を付与するロールを割り当てようとした場合、ユーザー、グループ、またはサービス プリンシパルの一覧を参照することはできません。

外部ユーザーがディレクトリ内のユーザーの正確なサインイン名を知っている場合は、アクセス権を付与できます。 外部ユーザーにディレクトリへの完全な読み取りアクセス権を本当に付与する場合は、Microsoft Entra ID の ディレクトリ閲覧者 ロールに外部ユーザーを追加できます。 詳細については、 Azure portal での Microsoft Entra B2B コラボレーション ユーザーの追加に関するページを参照してください。

外部ユーザーがアプリケーションを登録したり、サービス プリンシパルを作成したりすることはできません

外部ユーザーには、ディレクトリアクセス許可が制限されています。 外部ユーザーがアプリケーションを登録したり、サービス プリンシパルを作成したりできる必要がある場合は、Microsoft Entra ID の アプリケーション開発者 ロールに外部ユーザーを追加できます。 詳細については、 Azure portal での Microsoft Entra B2B コラボレーション ユーザーの追加に関するページを参照してください。

外部ユーザーに新しいディレクトリが表示されない

外部ユーザーにディレクトリへのアクセスが許可されているが、 ディレクトリ ページで 切り替えようとしたときに Azure portal に新しいディレクトリが表示されない場合は、外部ユーザーが招待プロセスを完了していることを確認します。 招待プロセスの詳細については、「 Microsoft Entra B2B コラボレーションの招待の利用」を参照してください。

外部ユーザーにリソースが表示されない

外部ユーザーにディレクトリへのアクセスが許可されているが、Azure portal でアクセス権が付与されているリソースが表示されない場合は、外部ユーザーが正しいディレクトリを選択していることを確認します。 外部ユーザーが複数のディレクトリにアクセスできる場合があります。 ディレクトリを切り替えるには、左上の >] を選択し、適切なディレクトリを選択します。

次のステップ

• Azure portal で Microsoft Entra B2B コラボレーション ユーザーを追加する
• Microsoft Entra B2B コラボレーション ユーザーのプロパティ
• B2B コラボレーションの招待メールの要素 - Microsoft Entra ID