ユーザーを Azure サブスクリプションの管理者にするには、サブスクリプションのスコープで、そのユーザーに所有者ロールを割り当てます。 所有者ロールにより、他のユーザーにアクセス権を付与する権限を含め、サブスクリプションにあるすべてのリソースへのフル アクセス権がユーザーに付与されます。 所有者ロールは高い特権を持つロールであるため、Microsoft では、ロールの割り当てを制限するための条件を追加することを推奨しています。 たとえば、ユーザーに対し、サービス プリンシパルへの仮想マシン共同作成者ロールを割り当てることのみを許可できます。
この記事では、Azure サブスクリプションの条件付き管理者として、ユーザーを割り当てる方法について説明します。 次の手順は、他のロールの割り当てと同じです。
前提条件
Azure ロールを割り当てるには、次のものが必要です。
Microsoft.Authorization/roleAssignments/writeのアクセス許可、たとえばロール ベースのアクセス制御管理者やユーザー アクセス管理者など
手順 1: サブスクリプションを開く
次のステップを実行します。
Azure portal にサインインします。
上部の検索ボックスで、サブスクリプションを検索します。
使用するサブスクリプションをクリックします。
次にサブスクリプションの例を示します。
手順 2: [ロールの割り当ての追加] ページを開く
アクセス制御 (IAM) は、一般的には、ロールを割り当てて Azure リソースへのアクセスを付与するために使用するページです。 "ID とアクセス管理 (IAM)" とも呼ばれており、Azure portal のいくつかの場所に表示されます。
[アクセス制御 (IAM)] をクリックします。
サブスクリプションの [アクセス制御 (IAM)] ページの例を次に示します。
![サブスクリプションの [アクセス制御 (IAM)] ページのスクリーンショット。](media/shared/sub-access-control.png)
[ロールの割り当て] タブをクリックして、このスコープのロールの割り当てを表示します。
[追加]>[ロールの割り当ての追加] をクリックします。
ロールを割り当てるアクセス許可を持ってない場合は、[ロールの割り当 ての追加 ] オプションが無効になります。
![[追加] > [ロールの割り当ての追加] メニューのスクリーンショット。](media/shared/add-role-assignment-menu.png)
[ロールの割り当ての追加] ページが開きます。
手順 3: 所有者ロールを選択する
Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスは、所有者ロールによって付与されます。 侵害された所有者による侵害の可能性を減らすため、サブスクリプション所有者は最大 3 人までにします。
[ロール] タブで、[特権管理者ロール] タブを選択します。
![[特権管理者ロール] タブが選択されている、[ロールの割り当ての追加] ページのスクリーンショット。](media/shared/privileged-administrator-roles.png)
[所有者] ロールを選択します
次へ をクリックします。
手順 4: アクセスを必要とするユーザーを選択する
次のステップを実行します。
[メンバー] タブで、[User, group, or service principal]\(ユーザー、グループ、またはサービス プリンシパル\) を選択します。
![[ロールの割り当ての追加] ページで [メンバーの追加] タブが表示された状態のスクリーンショット。](media/shared/members.png)
[メンバーの選択] をクリックします。
ユーザーを見つけて選択します。
[選択] ボックスに表示名またはメール アドレスを入力してディレクトリを検索できます。
![[メンバーの選択] ウィンドウのスクリーンショット。](media/shared/select-members.png)
[保存] をクリックして、メンバーの一覧にユーザーを追加します。
必要に応じて、 [説明] ボックスにこのロール割り当ての説明を入力します。
後で、ロールの割り当ての一覧にこの説明を表示できます。
次へ をクリックします。
手順 5: 条件を追加する
所有者ロールは高い特権を持つロールであるため、Microsoft では、ロールの割り当てを制限するための条件を追加することを推奨しています。
[条件] タブの [What user can do] (ユーザーができる操作) の下にある [Allow user to only assign selected roles to selected principals (fewer privileges)] (選択したプリンシパルに選択したロールのみを割り当てることをユーザーに許可 (少ない権限)) オプションを選択します。
![制約付きオプションが選択されている、[ロールの割り当ての追加] のスクリーンショット。](media/role-assignments-portal-subscription-admin/condition-constrained-owner.png)
[ロールとプリンシパルの選択] を選択します。
[ロールの割り当て条件を追加する] ページが表示され、条件テンプレートの一覧が示されます。
![条件テンプレートの一覧を含む [ロールの割り当の追加] 条件のスクリーンショット。](media/shared/condition-templates.png)
条件テンプレートを選択し、[構成] を選択します。
条件テンプレート このテンプレートを選択する目的 Constrain roles (ロールを制約する) 選択したロールの割り当てのみをユーザーに許可する Constrain roles and principal types (ロールとプリンシパルの種類を制約する) 選択したロールの割り当てのみをユーザーに許可する
選択したプリンシパルの種類 (ユーザー、グループ、またはサービス プリンシパル) にのみ、これらのロールを割り当てることをユーザーに許可するConstrain roles and principals (ロールとプリンシパルを制約する) 選択したロールの割り当てのみをユーザーに許可する
選択したプリンシパルにのみ、これらのロールを割り当てることをユーザーに許可するヒント
ほとんどのロールの割り当てを許可したいものの、特定のロールの割り当てについては許可しない場合は、高度な条件エディターを使用して条件を手動で追加できます。 例については、「例: ほとんどのロールを許可するものの、残りのロールの割り当ては許可しない」を参照してください。
構成ペインで、必要な構成を追加します。
![選択内容が追加された条件の [構成] ウィンドウのスクリーンショット。](media/shared/condition-template-configure-pane.png)
[保存] を選択して、ロールの割り当てに条件を追加します。
![制約付きオプションが選択されている、[ロールの割り当ての追加] のスクリーンショット。](media/role-assignments-portal-subscription-admin/condition-constrained-owner.png#lightbox)
![条件テンプレートの一覧を含む [ロールの割り当の追加] 条件のスクリーンショット。](media/shared/condition-templates.png#lightbox)
![選択内容が追加された条件の [構成] ウィンドウのスクリーンショット。](media/shared/condition-template-configure-pane.png#lightbox)
手順 6: ロールを割り当てる
次のステップを実行します。
[Review + assign](確認と割り当て) タブで、ロールの割り当ての設定を確認します。
[Review + assign]\(確認と割り当て\) をクリックしてロールを割り当てます。
しばらくすると、サブスクリプションの所有者のロールがユーザーに割り当てられます。
