Azure サブスクリプションのポリシーを管理する
この記事は、Azure サブスクリプションのポリシーをサブスクリプションの操作のために構成し、ディレクトリからの Azure サブスクリプションの移動とディレクトリへの Azure サブスクリプションの移動を制御する際に役立ちます。
前提条件
- サブスクリプションのポリシーを編集できるのは、ディレクトリのグローバル管理者だけです。 サブスクリプションのポリシーを編集する前に、グローバル管理者は、Azure のすべてのサブスクリプションと管理グループを管理できるようアクセス権限を昇格させる必要があります。 これでサブスクリプションのポリシーを編集できるようになります。
- それ以外のユーザーはすべて、現在のポリシー設定の読み取りのみ可能です。
使用できるサブスクリプション ポリシー設定
ディレクトリからの Azure サブスクリプションの移動とディレクトリへの Azure サブスクリプションの移動は、以下のポリシー設定を使用して制御します。
Microsoft Entra ID ディレクトリから離れるサブスクリプション
このポリシーでは、現在のディレクトリからのサブスクリプションの移動をユーザーに許可または禁止します。 サブスクリプションの所有者は、自分が所属する別のディレクトリに Azure サブスクリプションのディレクトリを変更できます。 このことがガバナンス上の問題を招く原因となるため、グローバル管理者は、ディレクトリの変更をディレクトリ ユーザーに許可または禁止することができます。
Microsoft Entra ID ディレクトリを入力するサブスクリプション
このポリシーでは、現在のディレクトリのアクセス権を持つ他のディレクトリ ユーザーに、現在のディレクトリへのサブスクリプションの移動を許可または禁止します。 サブスクリプションの所有者は、自分が所属する別のディレクトリに Azure サブスクリプションのディレクトリを変更できます。 このことがガバナンス上の問題を招く原因となるため、グローバル管理者は、ディレクトリの変更をディレクトリ ユーザーに許可または禁止することができます。
除外対象ユーザー
グローバル管理者は、ガバナンス上の理由により、すべてのサブスクリプション ディレクトリを対象に、現在のディレクトリへの移動または現在のディレクトリからの移動を禁止することができます。 ただし、特定のユーザーについては、どちらの操作も許可したい場合もあるでしょう。 どちらの場合でも、除外対象となる一連のユーザーを構成することで、それらのユーザーは、自分以外の全員に適用されたポリシー設定をバイパスできるようになります。
サブスクリプションのポリシーを設定する
- Azure portal にサインインします。
- [サブスクリプション] に移動します。 コマンド バーに [ポリシーの管理] が表示されます。
- [ポリシーの管理] を選択して、ディレクトリに関して現在設定されているサブスクリプションのポリシーについての詳細を表示します。 昇格されたアクセス許可を持つグローバル管理者は、除外対象ユーザーの追加と削除を含め、各種の設定に変更を加えることができます。
- 一番下にある [Save changes](変更の保存) を選択して変更内容を保存します。 変更内容はすぐに反映されます。
サブスクリプション ポリシーを読み取る
グローバル管理者以外でも、サブスクリプション ポリシー領域に移動して、ディレクトリのポリシー設定を表示することはできます。 編集は一切できません。 プライバシー上の理由から、除外対象ユーザーの一覧は表示できません。 ディレクトリの設定で許可されていれば、これらのユーザーは自分のグローバル管理者を表示してポリシー変更リクエストを送信できます。
次のステップ
- Cost Management + Billing のドキュメントをお読みください。