サブスクリプションと管理グループの使用に関する推奨事項

  • 9 分

Azure Virtual Desktop の一部の手順 (マスター VHD イメージへの Office のインストールなど) では、ユーザーが VM に対する昇格されたアクセス権を持っていることが前提となります (プロビジョニングされたのが Azure か Hyper-V マネージャーかにかかわらず)。

Microsoft Entra ID のグローバル管理者は、自分のディレクトリ内のすべてのサブスクリプションと管理グループに対するアクセス権を持っていない場合があります。 すべてのサブスクリプションと管理グループに対するアクセス権を昇格する方法については、この後説明します。

Microsoft Entra ID のグローバル管理者ロールを示す図。

アクセス権の昇格が必要な理由

グローバル管理者は、次の必要性がある場合、アクセス権の昇格を検討する必要があります。

  • ユーザーがアクセス権を失った場合に、Azure サブスクリプションや管理グループへのアクセスを回復する。
  • Azure サブスクリプションまたは管理グループへのアクセス権を別のユーザーまたは自分自身に付与する。
  • 組織内のすべての Azure サブスクリプションや管理グループを表示する。
  • 自動化アプリ (請求書作成アプリや監査アプリなど) がすべての Azure サブスクリプションや管理グループにアクセスできるようにする。

昇格されたアクセス権の動作

Microsoft Entra ID と Azure リソースは互いに独立してセキュリティで保護されます。

Microsoft Entra ロールの割り当てでは Azure リソースへのアクセス権は付与されません。また、Azure ロールの割り当てでは Microsoft Entra ID へのアクセス権は付与されません。 ただし、Microsoft Entra ID の全体管理者である場合は、ディレクトリ内のすべての Azure サブスクリプションと管理グループへのアクセス権を自分に割り当てることができます。 Azure サブスクリプション リソースへのアクセス権がない場合は、この機能を使用してください。 たとえば、仮想マシンやストレージ アカウントのリソースに対するアクセス権を取得する必要がある場合には、グローバル管理者特権を使用します。

アクセス権を昇格すると、ルート スコープ (/) で Azure のユーザー アクセス管理者ロールが割り当てられます。 これにより、ディレクトリ内の任意のサブスクリプションまたは管理グループで、すべてのリソースを表示し、アクセス権を割り当てることができます。 ユーザー アクセス管理者ロールの割り当ては、Azure PowerShell、Azure CLI、または REST API を使って削除できます。

ルート スコープで必要な変更を行ったら、この昇格されたアクセス権を削除する必要があります。

アクセス権の昇格のスクリーンショット。

グローバル管理者のアクセス権を昇格させる

Azure portal を使ってグローバル管理者のアクセス権を昇格させるには、次の手順のようにします。

  1. 全体管理者として Azure portal または Microsoft Entra 管理センターにサインインします。
  2. [Microsoft Entra ID] を開きます。
  3. [管理][プロパティ] を選びます。

Microsoft Entra のプロパティで [プロパティ] を選択しているスクリーンショット。

  1. [Azure リソースのアクセス管理] で、トグルを [はい] に設定します。

Azure リソースのアクセス管理のスクリーンショット。

トグルを [はい] に設定すると、ルート スコープ (/) の Azure ロールベースのアクセス制御 (RBAC) でユーザー アクセス管理者ロールが割り当てられます。 これにより、この Microsoft Entra ディレクトリに関連付けられているすべての Azure サブスクリプションと管理グループでロールを割り当てるためのアクセス許可が付与されます。 このトグルは、Microsoft Entra ID で全体管理者ロールが割り当てられたユーザーのみが利用できます。

トグルを [いいえ] に設定すると、Azure のロールベース アクセス制御 (RBAC) におけるユーザー アクセス管理者ロールが、ユーザー アカウントから削除されます。 この Microsoft Entra ディレクトリに関連付けられているすべての Azure サブスクリプションと管理グループでロールを割り当てることができなくなります。 自分がアクセスを許可されている Azure サブスクリプションと管理グループのみを表示および管理できます。

  1. [保存] をクリックして設定を保存します。

この設定はグローバル プロパティではなく、現在サインインしているユーザーにのみ適用されます。 グローバル管理者ロールのすべてのメンバーのアクセス権を昇格させることはできません。

  1. サインアウトしてもう一度サインインし、アクセス権を更新します。

これで自分のディレクトリ内のすべてのサブスクリプションと管理グループにアクセスできるようになるはずです。 [アクセス制御 (IAM)] ペインを表示すると、ルート スコープで自分にユーザー アクセス管理者ロールが割り当てられていることがわかります。

ルート スコープを持つサブスクリプション ロールの割り当てのスクリーンショット。

  1. 昇格されたアクセス権で必要な変更を行います。

昇格されたアクセス権を削除する

ユーザー アクセス管理者ロールの割り当てをルート スコープ (/) で削除するには、次の手順に従います。

  1. アクセス権の昇格に使われたのと同じユーザーでサインインします。
  2. ナビゲーション リストで、[Microsoft Entra ID] をクリックしてから、[プロパティ] をクリックします。
  3. [Azure リソースのアクセス管理] トグルを [いいえ] に戻します。 これはユーザー別の設定であるため、アクセス権の昇格に使ったのと同じユーザーでサインインする必要があります。

[アクセス制御 (IAM)] ペインでユーザー アクセス管理者ロールの割り当てを削除しようとすると、次のメッセージが表示されます。 ロールの割り当てを削除するには、トグルの設定を [いいえ] に戻すか、Azure PowerShell、Azure CLI、または REST API を使う必要があります。

ルート スコープを持つロールの割り当ての削除のスクリーンショット。

  1. グローバル管理者としてサインアウトします。