Azure portal を使用して Azure ロールを割り当てる

Azure ロールベースのアクセス制御 (Azure RBAC) は、Azure リソースへのアクセスを管理するために使用する承認システムです。 アクセス権を付与するには、特定のスコープでユーザー、グループ、サービス プリンシパル、またはマネージド ID にロールを割り当てます。 この記事では、Azure portal を使用してロールを割り当てる方法について説明します。

Microsoft Entra ID で管理者ロールを割り当てる必要がある場合は、「 Microsoft Entra ロールをユーザーに割り当てる」を参照してください。

[前提条件]

Azure ロールを割り当てるには、以下が必要です。

• Microsoft.Authorization/roleAssignments/write ロールベースアクセス制御管理者やユーザーアクセス管理者のようなアクセス許可

手順 1: 必要なスコープを特定する

ロールを割り当てる場合は、スコープを指定する必要があります。 スコープは、アクセスが適用されるリソースのセットです。 Azure では、 管理グループ、サブスクリプション、 リソース グループ、リソースの 4 つのレベルでスコープを指定できます。 詳細については、スコープの概要に関する記事を参照してください。

1. Azure portal にサインインします。

2. 上部にある検索ボックスで、アクセス権を付与するスコープを検索します。 たとえば、[管理グループ]、[サブスクリプション]、[リソース グループ]、または特定のリソースを検索します。

3. そのスコープの特定のリソースをクリックします。

   リソース グループの例を次に示します。

   

手順 2: [ロールの割り当ての追加] ページを開く

アクセス制御 (IAM) は、一般的には、ロールを割り当てて Azure リソースへのアクセスを付与するために使用するページです。 "ID とアクセス管理 (IAM)" とも呼ばれており、Azure portal のいくつかの場所に表示されます。

1. [アクセス制御 (IAM)] をクリックします。

   リソース グループの [アクセス制御 (IAM)] ページの例を次に示します。

   

2. [ロールの割り当て] タブをクリックして、このスコープのロールの割り当てを表示します。

3. [>ロールの割り当ての追加] をクリックします。

   ロールを割り当てるためのアクセス許可がない場合は、[ロールの割り当ての追加] オプションは無効になります。

   

   [ロールの割り当ての追加] ページが開きます。

手順 3: 適切なロールを選択する

ロールを選択するには、次の手順に従います。

1. [ロール] タブで、使用するロールを選択します。

   ロールは、名前または説明で検索できます。 種類とカテゴリでロールをフィルター処理することもできます。

   

   割り当てる必要があるロールがわからない場合は、Copilot を使用して適切なロールを選択できるようになりました。 (限定プレビュー。この機能は段階的にデプロイされているため、テナントではまだ使用できないか、インターフェイスが異なる可能性があります)。

2. (省略可能) [ロール] タブで、Copilot に役割を選ばせる ボタンをクリックします。 [Copilot] ダイアログ ボックスが開きます。

   

   ダイアログ ボックスでは、ロールの要件を Copilot に伝えるわかりやすいプロンプトを追加できます。また、"Azure Functions をデプロイして管理するためのロールを選択するヘルプ" や "ユーザーにワークスペースの管理と表示を求める場合は、どのロールを使用する必要がありますか?"選択のヘルプ..." や "どのロールを使用する必要がありますか..." などの語句を使用すると、最適な結果を得るために、Copilot が意図をより明確に理解するのに役立ちます。

   プロンプトの指示に従って、Copilot は、指定された要件に基づいてロールまたは複数のロールを提案します。 Copilot は、アクセス許可の選択で確認するよう求めます。 その後、Copilot は、指定された条件に基づいてロールを推奨します。 ロールを 選択することも、他のロールを 推奨するように Copilot に依頼することもできます。 [ロールの 選択] を選択すると、[ ロールの割り当ての追加] ページに戻り、推奨されるロールを選択してその詳細を表示できます。

3. 特権管理者ロールを割り当てる場合は、[特権管理者ロール] タブを選択して、ロールを選択します。

   特権管理者ロールの割り当てを使用する場合のベスト プラクティスについては、「Azure RBAC のベスト プラクティス」を参照してください。

   

4. [ 詳細 ] 列で、[ 表示 ] をクリックしてロールの詳細を取得します。

   

5. [次へ] をクリックします。

手順 4: アクセスを必要とするユーザーを選択する

アクセスが必要なユーザーを選択するには、次の手順に従います。

1. [メンバー] タブで、[ユーザー、グループ、またはサービス プリンシパル] を選択して、選択したロールを 1 つ以上の Microsoft Entra ユーザー、グループ、またはサービス プリンシパル (アプリケーション) に割り当てます。

   

2. [ メンバーの選択] をクリックします。

3. ユーザー、グループ、またはサービス プリンシパルを検索して選択します。

   [選択] ボックスに表示名またはメール アドレスを入力してディレクトリを検索できます。

   

4. [ 選択 ] をクリックして、ユーザー、グループ、またはサービス プリンシパルを [メンバー] リストに追加します。

5. 選択したロールを 1 つ以上のマネージド ID に割り当てるには、[マネージド ID] を選択します。

6. [ メンバーの選択] をクリックします。

7. [マネージド ID の選択] ウィンドウで、種類が [ユーザー割り当てマネージド ID] であるか、[システム割り当てマネージド ID] であるかを選択します。

8. マネージド ID を検索して選択します。

   システム割り当てマネージド ID の場合は、Azure サービス インスタンス別のマネージド ID を選択できます。

   

9. [ 選択 ] をクリックして、マネージド ID をメンバーの一覧に追加します。

10. 必要に応じて、[説明] ボックスにこのロール割り当ての説明を入力します。

    後で、ロールの割り当ての一覧にこの説明を表示できます。

11. [次へ] をクリックします。

手順 5: (省略可能) 条件を追加する

条件をサポートするロールを選択した場合は、[条件] タブが表示され、必要に応じてロールの割り当てに条件を追加できます。 条件は、よりきめ細かなアクセス制御を行うために、必要に応じてロールの割り当てに追加できる追加のチェックです。

[条件] タブの外観は、選択したロールによって異なります。

デリゲート条件

次のいずれかの特権ロールを選択した場合は、このセクションの手順に従います。

• Owner
• 役割に基づくアクセス制御管理者
• ユーザーアクセス管理者

1. [ 条件 ] タブの [ ユーザーが実行できる操作] で、[ 選択したロールのみを選択したプリンシパルに割り当てることをユーザーに許可する (権限が少ない)] オプションを 選択します。

   

2. [ ロールとプリンシパルの選択 ] をクリックして、このユーザーがロールを割り当てることができるロールとプリンシパルを制限する条件を追加します。

3. 「条件を使用して Azure ロールの割り当て管理を他のユーザーに委任する」の手順に従います。

ストレージ条件

次のストレージ ロールのいずれかを選択した場合は、このセクションの手順に従います。

• ストレージ BLOB データ共同作成者
• ストレージ BLOB データ所有者
• ストレージ BLOB データ閲覧者
• ストレージ キュー データ共同作成者共同作成者
• ストレージ キュー データ メッセージ プロセッサ
• ストレージ キュー データ メッセージ 送信者
• ストレージ キュー データ リーダー

1. ストレージ属性に基づいてロールの割り当てをさらに絞り込む場合は、[ 条件の追加] をクリックします。

   

2. 「Azure ロールの割り当て条件を追加または編集する」の手順に従います。

手順 6: 割り当ての種類を選択する

Microsoft Entra ID P2 または Azure Active Directory Identity Governance ライセンスをお持ちの場合、管理グループ、サブスクリプション、リソース グループのスコープに対して [割り当ての種類] タブが表示されます。 資格のある割り当てを使用して、ロールへの Just-In-Time アクセスを提供します。 有資格の割り当てまたは期限付きの割り当てを持つユーザーは、有効なライセンスを持っている必要があります。

PIM 機能を使用しない場合、割り当ての種類は [アクティブ]、割り当て期間は [永続的] のオプションを選択します。 これらの設定により、プリンシパルがロール内で常にアクセス許可を持つロールの割り当てが作成されます。

この機能は段階的にデプロイされているため、テナントではまだ使用できない場合や、インターフェイスの外観が異なる場合があります。 詳細については、「 Azure RBAC での有資格ロールと期限付きロールの割り当て」を参照してください。

1. [割り当ての種類] タブで、[割り当ての種類] を選択します。

   • 有資格 - ユーザーは、ロールを使用するために、多要素認証チェックを実行する、業務上の正当な理由を提供する、指定された承認者に承認を要求するなど、1 つ以上のアクションを実行する必要があります。 アプリケーション、サービス プリンシパル、またはマネージド ID ではアクティブ化手順を実行できないため、資格のあるロールの割り当てを作成することはできません。
   • アクティブ - ユーザーがロールを使用するためにアクションを実行する必要はありません。

   

2. 設定に応じて、[ 割り当て期間] で [ 永続的] または [ 期限付き] を選択します。

   メンバーによるロールのアクティブ化または使用を常に許可する場合は、[永続的] を選択します。 開始日と終了日を指定するには、[期限付き] を選択します。 PIM ポリシーで永続的な割り当ての作成が許可されていない場合、このオプションは無効になる可能性があります。

3. [期限付き] が選択されている場合、ユーザーによるロールのアクティブ化または使用が許可されるタイミングを指定するには、[開始日時] と [終了日時] を設定します。

   開始日は将来の日付に設定できます。 許可される資格のある期間の上限は、Privileged Identity Management (PIM) ポリシーによって異なります。

4. (省略可能) [PIM ポリシーの構成] を使用して、有効期限オプション、ロールのアクティブ化要件 (承認、多要素認証、または条件付きアクセス認証コンテキスト) などの設定を構成します。

   [PIM ポリシーの更新] リンクを選択すると、PIM ページが表示されます。 [設定] を選んで、ロールの PIM ポリシーを構成します。 詳細については、「Privileged Identity Management で Azure リソース ロールの設定を構成する」を参照してください。

5. [次へ] をクリックします。

手順 7: ロールを割り当てる

1. [Review + assign]\(確認と割り当て\) タブで、ロールの割り当ての設定を確認します。

   

2. [ 確認と割り当て] をクリックしてロールを割り当てます。

   しばらくすると、セキュリティ プリンシパルに選択されたスコープのロールが割り当てられます。

   

3. ロールの割り当ての説明が表示されない場合は、[ 列の編集 ] をクリックして [説明 ] 列を追加します。

割り当てを編集する

Microsoft Entra ID P2 または Microsoft Entra ID Governance ライセンスをお持ちの場合は、ロールの割り当ての種類の設定を編集できます。 詳細については、「 Azure RBAC での有資格ロールと期限付きロールの割り当て」を参照してください。

1. [ アクセス制御 (IAM)] ページで、[ロールの 割り当て ] タブをクリックして、このスコープでのロールの割り当てを表示します。

2. 編集するロールの割り当てを探します。

3. [状態] 列で、[有資格の期限付き] や [アクティブ（永続的）] などのリンクをクリックします。

   [割り当ての編集] ウィンドウが表示され、ロールの割り当ての種類の設定を更新できます。 このウィンドウは、開くまでに少し時間がかかる場合があります。

   

4. 完了したら、[保存] をクリックします。

   更新が処理され、ポータルに反映されるまでに時間がかかる場合があります。

関連コンテンツ

• Azure サブスクリプションの管理者としてユーザーを割り当てる
• Azure ロールの割り当ての削除
• Azure RBAC のトラブルシューティング