Azure portal を使用して Azure でのロールの割り当てを一覧表示する

Microsoft.Authorization/roleAssignments/read アクセス許可 (閲覧者など)

サブスクリプションのユーザーまたはグループに割り当てられているロールを簡単に確認する方法は、[Azure ロールの割り当て] ペインを使用することです。

1. Azure portal で、Azure portal メニューから [すべてのサービス] を選択します。

2. [ Microsoft Entra ID ] を選択し、[ユーザー ] または[ グループ ]を選択します。

3. ロールの割り当てを一覧表示するユーザーまたはグループをクリックします。

4. [Azure でのロールの割り当て] をクリックします。

   管理グループ、サブスクリプション、リソース グループ、リソースなどのさまざまなスコープで、選択したユーザーまたはグループに割り当てられているロールの一覧が表示されます。 この一覧では、自分が読み取りアクセス許可を認められているすべてのロールの割り当てが表示されます。

   

5. サブスクリプションを変更するには、[サブスクリプション] の一覧をクリックします。

サブスクリプションの所有者ロールが割り当てられているユーザーは、サブスクリプション内のすべてを管理できます。 サブスクリプションの所有者を一覧表示するには、次の手順に従います。

1. Azure portal で、[すべてのサービス]、[サブスクリプション] の順にクリックします。

2. 所有者を一覧表示するサブスクリプションをクリックします。

3. [アクセス制御 (IAM)] をクリックします。

4. [ロールの割り当て] タブをクリックして、このサブスクリプションのすべてのロールの割り当てを表示します。

5. [所有者] セクションまでスクロールして、このサブスクリプションの所有者ロールが割り当てられているすべてのユーザーを表示します。

   

[ロールの割り当て] タブでは、現在のスコープでの特権管理者ロールの割り当ての数を一覧して表示できます。 詳細については、「特権管理者ロール」を参照してください。

1. Azure portal で、[すべてのサービス] をクリックしてからスコープを選びます。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、またはリソースを選択できます。

2. 特定のリソースをクリックします。

3. [アクセス制御 (IAM)] をクリックします。

4. [ロールの割り当て] タブをクリックし、[特権] タブをクリックして、このスコープの特権管理者ロールの割り当てを一覧表示します。

   

5. このスコープでの特権管理者ロールの割り当ての数を確認するには、[特権] カードを参照してください。

6. 特権管理者ロールの割り当てを管理するには、[特権] カードを参照し、[View assignments]\(割り当ての表示\) をクリックします。

   [Manage privileged role assignments]\(特権ロールの割り当ての管理\) ページで、特権ロールの割り当てを制限する条件を追加したり、ロールの割り当てを削除したりできます。 詳細については、「条件を使用して Azure ロールの割り当て管理を他のユーザーに委任する」を参照してください。

   

次のステップを実行します。

1. Azure portal で、[すべてのサービス] をクリックしてからスコープを選びます。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、またはリソースを選択できます。

2. 特定のリソースをクリックします。

3. [アクセス制御 (IAM)] をクリックします。

4. [ロールの割り当て] タブをクリックして、このスコープのロールの割り当てを表示します。

   Microsoft Entra ID Free または Microsoft Entra ID P1 ライセンスをお持ちの場合、[ロールの割り当て] タブは次のスクリーンショットのようになります。

   

   Microsoft Entra ID P2 または Azure Active Directory Identity Governance ライセンスをお持ちの場合、管理グループ、サブスクリプション、リソース グループのスコープの [ロールの割り当て] タブは次のスクリーンショットのようになります。 この機能は段階的にデプロイされているため、テナントではまだ使用できない場合や、インターフェイスの外観が異なる場合があります。

   

   次の状態のいずれかを含む [状態] 列が表示されます。

   State	説明
   アクティブ、永続的	何もアクションを実行しなくても、ユーザーがロールを常に使用できるロールの割り当て。
   アクティブ、期限付き	開始日と終了日の範囲内であれば、何もアクションを実行しなくてもユーザーがロールを使用できるロールの割り当て。
   有資格、永続的	ロールをアクティブ化する資格が常にユーザーにあるロールの割り当て。
   有資格、期限付き	開始日から終了日の間だけ、ユーザーにロールをアクティブ化する資格があるロールの割り当て。

   開始日を将来の日付に設定できます。

   ロールの割り当ての開始時刻と終了時刻を一覧表示するには、[列の編集] をクリックし、[開始時刻] と [終了時刻] を選択します。

   

   スコープが [このリソース] のロールもあれば、別のスコープからスコープを [(継承)] しているロールもあることに注目してください。 アクセス権は、このリソースに明確に割り当てられるか、または親スコープへの割り当てから継承されます。

ユーザー、グループ、サービス プリンシパル、またはマネージド ID のアクセス権を一覧表示するには、ロールの割り当てを一覧表示します。 特定のスコープで単独のユーザー、グループ、サービス プリンシパル、またはマネージド ID のロールの割り当てを一覧表示するには、次の手順のようにします。

1. Azure portal で、[すべてのサービス] をクリックしてからスコープを選びます。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、またはリソースを選択できます。

2. 特定のリソースをクリックします。

3. [アクセス制御 (IAM)] をクリックします。

   

4. [アクセスの確認] タブで、[アクセスの確認] ボタンをクリックします。

5. [アクセスの確認] ペインで、[ユーザー、グループ、またはサービス プリンシパル] または [マネージド ID] をクリックします。

6. 検索ボックスに、表示名、メール アドレス、またはオブジェクト識別子のディレクトリを検索するための文字列を入力します。

   

7. セキュリティ プリンシパルをクリックして [割り当て] ウィンドウを開きます。

   このペインでは、このスコープで選択されたセキュリティ プリンシパルと、このスコープに継承されたセキュリティ プリンシパルのアクセス権を確認できます。 子スコープでの割り当ては表示されません。 次の割り当てが表示されます。

   • Azure RBAC で追加されたロールの割り当て。
   • Azure Blueprints または Azure マネージド アプリを使用して追加された拒否の割り当て。

   

前に説明したように、[アクセス制御 (IAM)] ブレードを使用すると、特定のスコープでシステムによって割り当てられたマネージド ID とユーザーが割り当てたマネージド ID に対するロールの割り当てを一覧表示できます。 ここでは、マネージド ID に対するロールの割り当てのみを一覧表示する方法について説明します。

システム割り当てマネージド ID

1. Azure portal で、システム割り当てマネージド ID を開きます。

2. 左側のメニューで、[ID] をクリックします。

   

3. [アクセス許可] で、[Azure でのロールの割り当て] をクリックします。

   管理グループ、サブスクリプション、リソース グループ、リソースなどのさまざまなスコープで、選択したシステム割り当てマネージド ID に割り当てられているロールの一覧が表示されます。 この一覧では、自分が読み取りアクセス許可を認められているすべてのロールの割り当てが表示されます。

   

4. サブスクリプションを変更するには、[サブスクリプション] の一覧をクリックします。

   ユーザー割り当てマネージド ID

   1. Azure portal で、ユーザー割り当てマネージド ID を開きます。

   2. [Azure でのロールの割り当て] をクリックします。

      管理グループ、サブスクリプション、リソース グループ、リソースなどのさまざまなスコープで、選択したユーザー割り当てマネージド ID に割り当てられているロールの一覧が表示されます。 この一覧では、自分が読み取りアクセス許可を認められているすべてのロールの割り当てが表示されます。

      

   3. サブスクリプションを変更するには、[サブスクリプション] の一覧をクリックします。

各サブスクリプションには、最大 4,000 個のロールの割り当てを保持できます。 この制限には、サブスクリプション、リソース グループ、およびリソースのスコープでのロールの割り当てが含まれます。 [資格のあるロールの割り当て] と将来にスケジュールされたロールの割り当ては、この制限の対象にはなりません。 [ロールの割り当て] タブには、この制限の追跡に役立つ、現在のサブスクリプションに対するロールの割り当て数を示すグラフが表示されます。

最大数に近づいているときにロールの割り当てを追加しようとすると、[ロールの割り当ての追加] ウィンドウに警告が表示されます。 ロールの割り当ての数を減らす方法については、「Azure RBAC の制限のトラブルシューティング」を参照してください。

ロールの割り当てのダウンロード

スコープ内のロールの割り当ては、CSV 形式または JSON 形式でダウンロードできます。 これは、スプレッドシート内のリストを検査したり、サブスクリプションの移行時にインベントリを取得したりする必要がある場合に役立ちます。

ロールの割り当てをダウンロードするときは、次の条件に注意する必要があります。

• ディレクトリ リーダー ロールなどのディレクトリを読み取るためのアクセス許可がない場合、DisplayName 列、SignInName 列、ObjectType 列は空白になります。
• セキュリティ プリンシパルが削除されているロールの割り当てが含まれていないこと。
• 従来の管理者に付与されたアクセス権が含まれていないこと。

スコープ内のロールの割り当てをダウンロードするには、次の手順に従います。

1. Azure portal で、[すべてのサービス] をクリックし、ロールの割り当てをダウンロードするスコープを選択します。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、またはリソースを選択できます。

2. 特定のリソースをクリックします。

3. [アクセス制御 (IAM)] をクリックします。

4. [ロールの割り当てのダウンロード] をクリックして、[ロールの割り当てのダウンロード] ペインを開きます。

   

5. チェック ボックスを使用して、ダウンロードされるファイルに含めるロールの割り当てを選択します。

   • 継承済み - 現在のスコープの継承されたロールの割り当てを含めます。
   • 現在のスコープ - 現在のスコープのロールの割り当てを含めます。
   • 子 - 現在のスコープの下位レベルのロールの割り当てを含めます。 管理グループのスコープでは、このチェック ボックスはオフになっています。

6. ファイル形式を選択します。これには、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) を指定できます。

7. ファイル名を指定します。

8. [開始] をクリックしてダウンロードを開始します。

   各ファイル形式の出力の例を次に示します。