課金アカウントを管理するためにアクセス権を昇格させる

[アーティクル]
08/13/2024

Microsoft Entra ID のグローバル管理者は、自分のディレクトリ内のすべての課金アカウントへのアクセス権を持っていない場合があります。この記事では、すべての課金アカウント用にアクセス権を昇格させる方法について説明します。

すべての課金アカウントを管理できるようにアクセス権を昇格させると、アカウントのコストと課金を表示および管理できます。請求書、請求金額、購入された製品、課金アカウントにアクセスできるユーザーを表示できます。サブスクリプション、管理グループ、リソースを管理するためにアクセス権を昇格させる場合は、「Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる」をご覧ください。

注意

昇格されたアクセス権は、Microsoft 顧客契約 (MCA) および Microsoft Partner Agreement (MPA) の課金アカウントの種類に対してのみ機能します。グローバル管理者は、Enterprise Agreement (EA) と Microsoft オンラインサービスプログラム (MOSP) の種類の課金アカウントを管理できるように、アクセス権を昇格させることはできません。課金アカウントについて詳しくは、「Azure portal での課金アカウントとスコープ」をご覧ください。

アクセス権を昇格させる理由

グローバル管理者は、次のような操作を行うことが必要になる場合があります。

組織内で個々の課金アカウントを作成したすべてのユーザーを確認する。
組織で作成されたすべての個々の請求先アカウントに対する請求書と料金を見る。
ユーザーがアクセス権を失ったときに課金アカウントへのアクセス権を回復する。
他の管理者がいないときに、アカウントの課金管理を実行する。

昇格されたアクセスはどのように機能しますか?

Microsoft Entra ID のすべてのグローバル管理者は、Microsoft Entra ID 内のすべての Microsoft 顧客契約 (MCA) および Microsoft Partner Agreement (MPA) の課金アカウントに対する読み取り専用アクセス権を持っています。すべての課金アカウントと、対応するコストおよび課金情報を表示できます。読み取り専用ビューに加えて、課金アカウントでのロールの割り当てを管理するためのアクセス許可を持っています。課金アカウントの所有者として自分自身を追加して、自分自身を昇格させることができます。

Azure portal にサインインします。
"コスト管理 + 請求" を検索します。
ページの左側にある [課金スコープ] を選びます。
[課金スコープ] ページで、すべての課金アカウントを表示するボックスをオンにします。

注意

課金スコープのページには、200 個のスコープのみが表示されます。ただし、ページの検索ボックスを使って、一覧に含まれないアカウントを検索できます。
一覧から Microsoft 顧客契約または Microsoft Partner Agreement の課金アカウントを選びます。グローバル管理者は、課金アカウントへの読み取りアクセス権を持っています。書き込み操作を実行できるように自分自身を昇格させるには、ステップ 6 から 8 を行います。
ページの左側にある [アクセス制御 (IAM)] を選びます
ページの上部にある [追加] を選びます。
[アクセス許可の追加] ウィンドウの [ロール] の一覧で、[請求先アカウントの所有者] を選びます。 [選択] 領域でユーザー名を選んでから、ウィンドウの下部にある [保存] を選びます。

Azure Billing API を使うと、プログラムで自分自身を昇格させて、ディレクトリ内のすべての課金アカウントを管理できます。

ディレクトリ内のすべての課金アカウントを検索する

GET https://management.azure.com/providers/Microsoft.Billing/billingAccounts?includeAllOrgs=true&api-version=2020-05-01

API の応答では、課金アカウントの一覧が返されます。

{
  "value": [
    {
            "id": "/providers/Microsoft.Billing/billingAccounts/6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "name": "6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "properties": {
                "accountStatus": "Active",
                "accountType": "Individual",
                "agreementType": "MicrosoftCustomerAgreement",
                "billingProfiles": {
                    "hasMoreResults": false
                },
                "displayName": "Connie Wilson",
                "hasReadAccess": true
            },
            "type": "Microsoft.Billing/billingAccounts"
        },
        {
            "id": "/providers/Microsoft.Billing/billingAccounts/5e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "name": "5e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "properties": {
                "accountStatus": "Active",
                "accountType": "Enterprise",
                "agreementType": "MicrosoftCustomerAgreement",
                "billingProfiles": {
                    "hasMoreResults": false
                },
                "displayName": "Contoso",
                "hasReadAccess": true
            },
            "type": "Microsoft.Billing/billingAccounts"
        },
        {
            "id": "/providers/Microsoft.Billing/billingAccounts/4e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "name": "4e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx",
            "properties": {
                "accountStatus": "Active",
                "accountType": "Individual",
                "agreementType": "MicrosoftCustomerAgreement",
                "billingProfiles": {
                    "hasMoreResults": false
                },
                "displayName": "Tomas Wilson",
                "hasReadAccess": true
            },
            "type": "Microsoft.Billing/billingAccounts"
        }
  ]
}

アクセス権を昇格させる課金アカウントを確認するには、課金アカウントの displayName プロパティを使います。課金アカウントの name をコピーします。たとえば、Connie Wilson の課金アカウントの所有者として自分自身を昇格させる場合は、6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx をコピーします。次の手順で使用できるように、値をどこかに貼り付けておきます。

課金アカウントで使用できるロールの定義を取得する

次の要求を実行します。その際、<billingAccountName> を最初のステップでコピーした name (6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx) と置き換えます。

GET https://management.azure.com/providers/Microsoft.Billing/billingAccounts/<billingAccountName>/billingRoleDefinitions?api-version=2020-05-01

API の応答では、課金アカウントで使用できるロールの一覧が返されます。

{
    "value": [
        {
            "id": "/providers/Microsoft.Billing/billingAccounts/6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx/billingRoleDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "name": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "properties": {
                "description": "The Owner role gives the user all permissions including access management on a billing account.",
                "permissions": [
                    {
                        "actions": [
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
                        ]
                    }
                ],
                "roleName": "Billing account owner"
            },
            "type": "Microsoft.Billing/billingAccounts/billingRoleDefinitions"
        },
        {
            "id": "/providers/Microsoft.Billing/billingAccounts/6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx/billingRoleDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "name": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "properties": {
                "description": "The Contributor role gives the user all permissions except access management on a billing account.",
                "permissions": [
                    {
                        "actions": [
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                        ]
                    }
                ],
                "roleName": "Billing account contributor"
            },
            "type": "Microsoft.Billing/billingAccounts/billingRoleDefinitions"
        },
        {
            "id": "/providers/Microsoft.Billing/billingAccounts/6e98e158-xxxx-xxxx-xxxx-xxxxxxxxxxxx:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx_xxxx-xx-xx/billingRoleDefinitions/a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "name": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
            "properties": {
                "description": "The Reader role gives the user read permissions to a billing account.",
                "permissions": [
                    {
                        "actions": [
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                            "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
                        ]
                    }
                ],
                "roleName": "Billing account reader"
            },
            "type": "Microsoft.Billing/billingAccounts/billingRoleDefinitions"
        }
    ]
}

roleName プロパティを使って、所有者ロールの定義を識別します。ロールの定義の name をコピーします。たとえば、上の API の応答から a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 をコピーします。次のステップで使用できるように、この値をどこかに貼り付けておきます。

自分自身を所有者として追加する

PUT  https://management.azure.com/providers/Microsoft.Billing/billingAccounts/<billingAccountName>/createBillingRoleAssignment?api-version=2020-05-01

要求本文

自分自身を所有者として追加するには、自分のオブジェクト ID を取得する必要があります。 Azure portal の Microsoft Entra ID セクションの [ユーザー] ページでオブジェクト ID を確認するか、Microsoft Graph API を使ってオブジェクト ID を取得できます。

要求本文の <roleDefinitionName> を、ステップ 2 からコピーした name に置き換えます。 <principalId> は、Azure portal または Microsoft Graph API から取得したオブジェクト ID に置き換えます。

{
	    "principalId": "<principalId>",
	    "roleDefinitionId": "<roleDefinitionName>"
}

ヘルプが必要な場合にサポートに問い合わせる

お困りの際は、問題を迅速に解決するために、サポートにお問い合わせください。

次の方法で共有

課金アカウントを管理するためにアクセス権を昇格させる

アクセス権を昇格させる理由

昇格されたアクセスはどのように機能しますか?

課金アカウントを管理するためにアクセス権を昇格させる

ディレクトリ内のすべての課金アカウントを検索する

課金アカウントで使用できるロールの定義を取得する

自分自身を所有者として追加する

要求本文

ヘルプが必要な場合にサポートに問い合わせる

次のステップ

フィードバック

その他のリソース