Azure の RBAC と Azure AD の特権管理について Azure AD の詳細と最新機能のデモは以下で詳解しています。 http://aka.ms/hx2p58

1. 日本マイクロソフト株式会社
エバンジェリスト
安納 順一
Microsoft Azure の
管理権限について
V1.4 2015.11.25

2. Azure サブスクリプション Azure Active Directory テナント

3. サブスクリプション
を作成
サービス管理者
サブスクリプションに関連付けられた
ディレクトリ（Azure AD テナント）
のユーザーを指定
管理
管理
管理
共同管理者
共同管理者
指定できない
アカウント管理者
サブスクリプションに関連付けられた
ディレクトリ（Azure AD テナント）
のユーザーを指定

4. サブスクリプションごとに、Azure AD テナントを指定できる
• サービス管理者は、指定した Azure AD テナン
トから、サブスクリプションの「共同管理者」
を選択することができる
• 共同管理者は、共同管理者を追加することはで
きない
• 共同管理者はサービス管理者同様、サブスクリ
プション内のリソースを管理できる。ただし、
Azure AD テナントで管理できるのは自身のテ
ナントのみ

5. 新ポータル
旧ポータル
RBAC共
同
管
理
者
サ
ー
ビ
ス
管
理
者
Azure Subscription
Azure AD
はRBAC
フル
RBAC

6. Azure Subscription サービス管理者すべて管理
すべて管理 共同管理者
所有者
共同作成者
閲覧者
DevTestラボユーザー
セキュリティマネージャー
ユーザーアクセス管理者
従来の仮想マシン作成協力者
ロール

7. ロール名 説明
API Management サービスの共同作業者 Application Insights コンポーネントを管理できます
Application Insights コンポーネントの共同作業者 Application Insights コンポーネントを管理できます
オートメーション オペレーター ジョブを開始、停止、中断、および再開できます
BizTalk の共同作業者 BizTalk Services を管理できます
ClearDB MySQL DB の共同作業者 ClearDB MySQL データベースを管理できます
共同作成者 アクセス権以外のすべてを管理できます。
Data Factory の共同作業者 Data Factory を管理できます
DevTest Lab ユーザー すべてを表示し、仮想マシンを接続、開始、再起動、シャットダウンできます。
Document DB アカウントの共同作業者 Document DB アカウントを管理できます
Intelligent Systems アカウントの共同作業者 Intelligent Systems アカウントを管理できます
ネットワークの共同作業者 すべてのネットワーク リソースを管理できます
NewRelic APM アカウントの共同作業者 NewRelic Application Performance Management アカウントおよびアプリケーションを管理できます
所有者 所有者は、アクセス権を含めすべてを管理できます。
閲覧者 閲覧者はすべてを閲覧できますが、変更を加えることはできません。
Redis Cache の共同作業者 Redis キャッシュを管理できます
Scheduler Job Collection の共同作業者 Scheduler Job Collection を管理できます
Search サービスの共同作業者 Search サービスを管理できます
セキュリティ管理者 セキュリティ コンポーネント、セキュリティ ポリシー、および仮想マシンを管理できます
SQL DB の共同作業者 SQL データベースを管理できますが、そのセキュリティ関連ポリシーは管理できません
SQL セキュリティ管理者 SQL Server やデータベースのセキュリティ関連ポリシーを管理できます
SQL Server の共同作業者 SQL サーバーおよびデータベースを管理できますが、そのセキュリティ関連ポリシーは管理できません
従来のストレージ アカウントの共同作業者 従来のストレージ アカウントを管理できます
ストレージ アカウントの共同作業者 ストレージ アカウントを管理できます
ユーザーアクセスの管理者 Azure リソースに対するユーザー アクセスを管理できます
従来の仮想マシンの共同作業者 接続している仮想ネットワークやストレージ アカウント以外の従来の仮想マシンを管理できます
仮想マシンの共同作業者 接続している仮想ネットワークやストレージ アカウント以外の仮想マシンを管理できます
従来のネットワークの共同作業者 接続している仮想ネットワークやストレージ アカウント以外の仮想マシンを管理できます
Web プランの共同作業者 Web プランを管理できます
Web サイトの共同作業者 Web サイトを管理できますが、接続されている Web プランは管理できません
https://azure.microsoft.com/ja-jp/documentation/articles/role-based-access-built-in-roles/

9. サブスクリプション1
リソースグループ1
Compute
Network
Storage
Application Insight
WebApplication

10. premium

11. 付与数は
最小限に
保有期間は
最短に

12. 取得
利用
棚卸
削除
ここで停滞
保有者が増加

14. アクセス許可 課金 全体 パスワード サービス ユーザー
会社およびユーザー情報の参照 ○ ○ ○ ○ ○
Office サポート チケットの管理 ○ ○ ○ ○ ○
ユーザー パスワードのリセット ○ ○
○ (制限付き)。課金管理者、
グローバル管理者、および
サービス管理者のパスワー
ドをリセットすることはで
きません。
Office 製品に対する課金および購入操作の実行 ○ ○
ユーザー ビューの作成および管理 ○ ○
ユーザーおよびグループの作成、編集および削除および
ユーザー ライセンスの管理
○
○ (制限付き)。グローバル
管理者を削除することも他
の管理者を作成することも
できません。
ドメインの管理 ○
会社情報の管理 ○
他者への管理ロールのデリゲート ○
ディレクトリ同期の使用 ○

15. • Azure AD テナントに対する特権保有者の可視化と棚卸を半自動化
• セキュリティ管理者と特権保有者自身が行うためのインターフェース
特権を持つユーザーの可視化
永続化 延長
棚卸（レビュー）
有効時間
設定
削除
特権保有者を健全な状態に維持

17. セキュリティ管理者
○○管理者（候補）
ロール付与
○○管理者（一時）
アクティブ化
削除○○管理者（永続）
永続化

18. セキュリティ管理者
レビュー対象とする特権を選択
レビュー実施者とレビュー期間を指定
セキュリティ管
理者が行う
メンバーが自分
自身で行う
レビュー担当者
レビュー実施
承認 拒否