Azure Lab Services での Azure ロールベースのアクセス制御
重要
Azure Lab Services は 2027 年 6 月 28 日に廃止されます。 詳細については、提供終了ガイドを参照してください。
Azure Lab Services には、Azure Lab Services の一般的な管理シナリオに対応する Azure ロールベースのアクセス制御 (Azure RBAC) が組み込まれています。 Microsoft Entra ID 内にプロファイルがある個人は、これらの Azure ロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てて、Azure Lab Services リソースでリソースと操作へのアクセスを許可または拒否できます。 この記事では、Azure Lab Services でサポートされるさまざまな組み込みロールについて説明します。
Azure ロールベースのアクセス制御 (RBAC) は Azure Resource Manager 上に構築された承認システムであり、Azure リソースに対するアクセスをきめ細かく管理できます。
Azure RBAC は、適用されるアクセス許可の概要を示す組み込みロールの定義を指定します。 ユーザーは、特定のスコープのロールの割り当てを使用して、このロール定義をユーザーまたはグループに割り当てます。 スコープは、個々のリソース、リソース グループ、またはサブスクリプション全体にすることができます。 次のセクションでは、Azure Lab Services でサポートされている組み込みロールについて説明します。
詳細については、「Azure ロールベースのアクセス制御 (Azure RBAC) とは」
Note
ロールの割り当てを変更すると、これらの更新が反映されるまでに数分かかることがあります。
組み込みのロール
この記事では、Azure 組み込みロールは、その影響範囲に基づいて、次の 2 つのロールの種類に論理的にグループ化されています。
- 管理者ロール: ラボ計画とラボに対するアクセス許可に影響を与えます
- ラボ管理ロール: ラボに対するアクセス許可に影響を与えます
Azure Lab Services でサポートされている組み込みロールは次のとおりです。
ロールの種類 | 組み込みのロール | 説明 |
---|---|---|
Administrator | 所有者 | ラボ計画とラボを作成/管理するためのフル コントロールを付与し、他のユーザーにアクセス許可を付与します。 所有者ロールの詳細についてご確認ください。 |
管理者 | 共同作成者 | ラボ計画とラボを作成/管理するためのフル コントロールを付与します。ただし、他のユーザーへのロールに割り当ては除きます。 共同作成者ロールの詳細についてご確認ください。 |
管理者 | ラボ サービス共同作成者 | ロールの割り当てを除き、所有者ロールと同じアクセス許可を付与します。 Lab Services 共同作成者ロールの詳細についてご確認ください。. |
ラボ管理 | Lab Creator | ラボを作成するためのアクセス許可を付与し、作成したラボに対するフル コントロールを可能にします。 ラボ作成者ロールの詳細についてご確認ください。 |
ラボ管理 | ラボ共同作成者 | 既存のラボの管理に役立つアクセス許可を付与しますが、新しいラボは作成できません。 ラボ共同作成者ロールの詳細についてご確認ください。 |
ラボ管理 | ラボ アシスタント | 既存のラボを表示するアクセス許可を付与します。 ラボ内の任意の VM を起動、停止、再イメージ化することもできます。 ラボ アシスタント ロールの詳細についてご確認ください。 |
ラボ管理 | ラボ サービス閲覧者 | 既存のラボを表示するアクセス許可を付与します。 Lab Services 閲覧者ロールの詳細についてご確認ください。 |
ロールの割り当てスコープ
Azure RBAC では、"スコープ" とは、アクセスが適用されるリソースのセットのことです。 ロールを割り当てる際は、必要なアクセス権だけを付与するように、スコープについて理解することが重要です。
Azure では、4 つのレベル (管理グループ、サブスクリプション、リソース グループ、リソース) でスコープを指定できます。 スコープは親子関係で構造化されています。 階層のレベルごとに、スコープがより限定的になります。 これらのスコープレベルのいずれかで、ロールを割り当てることができます。 選択するレベルで、ロールの適用範囲が決まります。 上位レベルのロールのアクセス許可が下位レベルに継承されます。 Azure RBAC のスコープの詳細についてご確認ください。.
Azure Lab Services では、次のスコープについて検討してください。
スコープ | 説明 |
---|---|
サブスクリプション | すべての Azure リソースとサービスに対する課金とセキュリティを管理するために使用します。 通常、このロールの割り当てによってサブスクリプション内のすべてのリソースへのアクセスが許可されるため、サブスクリプション レベルのアクセス権を持つのは管理者だけです。 |
リソース グループ | リソースをグループ化するための論理コンテナー。 リソース グループに対するロールの割り当てにより、リソース グループと、それに含まれるすべてのリソース (ラボやラボ計画など) にアクセス許可が付与されます。 |
ラボ計画 | ラボの作成時に一般的な構成設定を適用するために使用する Azure リソース。 ラボ計画に対するロールの割り当てでは、特定のラボ計画にのみアクセス許可が付与されます。 |
ラボ | ラボ仮想マシンを作成して実行するための一般的な構成設定を適用するために使用する Azure リソース。 ラボに対するロールの割り当てでは、特定のラボにのみアクセス許可が付与されます。 |
重要
Azure Lab Services では、ラボ計画とラボは相互に "兄弟" リソースです。 そのため、ラボは "ラボ計画" からのロールの割り当てを継承しません。 ただし、"リソース グループ" からのロールの割り当ては、そのリソース グループ内のラボ計画とラボによって継承されます。
一般的なラボ アクティビティのロール
次の表は、一般的なラボ アクティビティと、ユーザーがそのアクティビティを実行するために必要なロールを示しています。
Activity | ロールの種類 | 役割 | Scope |
---|---|---|---|
リソース グループを作成するためのアクセス許可を付与する。 リソース グループとは、ラボ計画とラボを保持するための Azure の論理コンテナーのことです。 ラボ計画またはラボを作成する "前" に、このリソース グループが存在している必要があります。 | 管理者 | 所有者または共同作成者 | サブスクリプション |
容量の要求など、Microsoft サポート チケットを送信するためのアクセス許可を付与する。 | 管理者 | 所有者、共同作成者、サポート リクエスト共同作成者 | サブスクリプション |
以下を行うためのアクセス許可を付与する: - 他のユーザーにロールを割り当てる。 - リソース グループ内のラボ計画、ラボ、その他のリソースを作成/管理する。 - ラボ計画でマーケットプレースとカスタム イメージを有効/無効にする。 - ラボ計画でコンピューティング ギャラリーをアタッチ/デタッチする。 |
管理者 | 所有者 | リソース グループ |
以下を行うためのアクセス許可を付与する: - リソース グループ内のラボ計画、ラボ、その他のリソースを作成/管理する。 - ラボ計画で Azure Marketplace とカスタム イメージを有効/無効にする。 ただし、他のユーザーにロールを割り当てることは "できない"。 |
管理者 | Contributor | リソース グループ |
リソース グループ内の "すべての" ラボ計画に対して独自のラボを作成または管理するためのアクセス許可を付与する。 | ラボ管理 | Lab Creator | リソース グループ |
特定のラボ計画に対して独自のラボを作成または管理するためのアクセス許可を付与する。 | ラボ管理 | Lab Creator | ラボ計画 |
ラボを共同管理するためのアクセス許可を付与するが、ラボを作成することは "できない"。 | ラボ管理 | ラボ共同作成者 | ラボ |
リソース グループ内の "すべての" ラボの VM の起動/停止/再イメージ化のみを行うためのアクセス許可を付与する。 | ラボ管理 | ラボ アシスタント | リソース グループ |
特定のラボの VM の起動/停止/再イメージ化のみを行うためのアクセス許可を付与する。 | ラボ管理 | ラボ アシスタント | ラボ |
重要
組織のサブスクリプションは、すべての Azure リソースとサービスに対する課金とセキュリティを管理するために使用します。 サブスクリプションに対して所有者または共同作成者のロールを割り当てることができます。 通常、管理者のみがサブスクリプション レベルのアクセス権を持っています。これは、サブスクリプション内のすべてのリソースに対するフル アクセスが含まれているためです。
管理者ロール
組織のサブスクリプション内の Azure Lab Services を管理するためのアクセス許可をユーザーに付与するには、所有者、共同作成者、またはLab Services 共同作成者のロールを割り当てる必要があります。
これらのロールを "リソース グループ" に割り当てます。 リソース グループ内のラボ計画とラボは、これらのロールの割り当てを継承します。
次の表は、リソース グループに割り当てられたときの各管理者ロールを比較したものです。
ラボ計画/ラボ | Activity | [所有者] | Contributor | ラボ サービス共同作成者 |
---|---|---|---|---|
ラボ計画 | リソース グループ内のすべてのラボ計画を表示する | はい | イエス | はい |
ラボ計画 | リソース グループ内のすべてのラボ計画を作成、変更、削除する | はい | イエス | はい |
ラボ計画 | リソース グループ内のラボ計画にロールを割り当てる | はい | いいえ | いいえ |
ラボ | リソース グループ内のラボを作成する** | はい | イエス | はい |
ラボ | リソース グループ内の他のユーザーのラボを表示する | はい | イエス | はい |
ラボ | リソース グループ内の他のユーザーのラボを変更または削除する | はい | はい | いいえ |
ラボ | リソース グループ内の他のユーザーのラボにロールを割り当てる | はい | いいえ | いいえ |
** ユーザーには、作成したラボの表示、設定の変更、削除、およびロールの割り当てを行うためのアクセス許可が自動的に付与されます。
所有者ロール
所有者ロールを割り当てると、ラボ計画とラボを作成または管理するためのフル コントロールがユーザーに付与されるとともに、他のユーザーにアクセス許可を付与できます。 ユーザーがリソース グループの所有者ロールを持っている場合、リソース グループ内のすべてのリソースで次のアクティビティを実行できます。
- 管理者にロールを割り当てて、ラボ関連のリソースを管理できるようにする。
- ラボ マネージャーにロールを割り当てて、ラボを作成および管理できるようにする。
- ラボ計画とラボを作成する。
- コンピューティング ギャラリーのアタッチまたはデタッチ、ラボ計画での Azure Marketplace とカスタム イメージの有効化または無効化など、すべてのラボ計画の設定を表示、削除、変更する。
- すべてのラボの設定を表示、削除、変更する。
注意事項
リソース グループに所有者または共同作成者のロールを割り当てると、これらのアクセス許可は、リソース グループに存在するラボ以外の関連リソースにも適用されます。 たとえば、仮想ネットワーク、ストレージ アカウント、コンピューティング ギャラリーなどのリソースです。
共同作成者ロール
共同作成者ロールを割り当てると、リソース グループ内のラボ計画とラボを作成または管理するためのフル コントロールがユーザーに付与されます。 共同作成者ロールは所有者ロールと同じアクセス許可を持っています。ただし、以下は "除きます"。
- ロールの割り当ての実行
Lab Services 共同作成者ロール
Lab Services 共同作成者は、最も制限の厳しい管理者ロールです。 Lab Services 共同作成者ロールを割り当てると、所有者ロールと同じアクティビティが有効になりますが、以下は "除きます"。
- ロールの割り当ての実行
- 他のユーザーのラボの変更または削除
Note
Lab Services 共同作成者ロールでは、Azure Lab Services に関連しないリソースに対する変更は許可されません。 これに対して、"共同作成者" ロールでは、リソース グループ内のすべての Azure リソースに対する変更が許可されます。
ラボ管理ロール
ラボを作成および管理するためのアクセス許可をユーザーに付与するには、次のロールを使用します。
- Lab Creator
- ラボ共同作成者
- ラボ アシスタント
- ラボ サービス閲覧者
これらのラボ管理ロールは、ラボ計画を表示するアクセス許可のみを付与します。 これらのロールでは、ラボ計画の作成、変更、削除、ロールの割り当ては許可されません。 また、これらのロールを持つユーザーは、コンピューティング ギャラリーのアタッチやデタッチ、および仮想マシン イメージの有効化や無効化はできません。
ラボ作成者ロール
ラボ作成者ロールを割り当てると、ラボを作成するためのアクセス許可がユーザーに付与され、作成したラボを完全に制御できるようになります。 たとえば、ラボの設定を変更したり、ラボを削除したりできるほか、自分のラボへのアクセス許可を他のユーザーに付与することもできます。
ラボ作成者ロールを "リソース グループまたはラボ計画" のいずれかに割り当てます。
次の表は、リソース グループまたはラボ計画でのラボ作成者ロールの割り当てを比較したものです。
Activity | リソース グループ | ラボ計画 |
---|---|---|
リソース グループ内のラボを作成する** | はい | はい |
作成したラボを表示する | はい | はい |
リソース グループ内の他のユーザーのラボを表示する | はい | いいえ |
ユーザーが作成したラボを変更または削除する | はい | はい |
リソース グループ内の他のユーザーのラボを変更または削除する | いいえ | いいえ |
リソース グループ内の他のユーザーのラボにロールを割り当てる | いいえ | いいえ |
** ユーザーには、作成したラボの表示、設定の変更、削除、およびロールの割り当てを行うためのアクセス許可が自動的に付与されます。
ラボ共同作成者ロール
ラボ共同作成者ロールを割り当てると、既存のラボの管理に役立つアクセス許可がユーザーに付与されます。
ラボ共同作成者ロールを "ラボ" に割り当てます。.
ラボ共同作成者ロールをラボに割り当てると、ユーザーは割り当てられたラボを管理できます。 具体的には、ユーザーは次のとおりです。
- 割り当てられたラボの表示、すべての設定の変更、削除を行うことができます。
- ユーザーは他のユーザーのラボを表示できません。
- 新しいラボは作成できません。
ラボ アシスタント ロール
ラボ アシスタント ロールを割り当てると、ラボの表示、およびラボのラボ仮想マシンの起動、停止、再イメージ化を行うためのアクセス許可がユーザーに付与されます。
ラボ アシスタント ロールを "リソース グループまたはラボ" に割り当てます。
リソース グループにラボ アシスタント ロールを割り当てる場合、ユーザーは次のとおりです。
- リソース グループ内のすべてのラボを表示したり、各ラボのラボ仮想マシンを起動、停止、再イメージ化したりできます。
- ラボを削除したり、他の変更を加えたりすることはできません。
ラボにラボ アシスタント ロールを割り当てる場合、ユーザーは次のとおりです。
- 割り当てられたラボを表示したり、ラボ仮想マシンを起動、停止、再イメージ化したりできます。
- ラボを削除したり、他の変更を加えたりすることはできません。
- 新しいラボは作成できません。
ラボ アシスタント ロールを持っている場合に、アクセス権が付与されている他のラボを表示するには、Azure Lab Services Web サイトで必ず [All labs] (すべてのラボ) フィルターを選択してください。
Lab Services 閲覧者ロール
Lab Services 閲覧者ロールを割り当てると、既存のラボを表示するためのアクセス許可がユーザーに付与されます。 ユーザーは既存のラボにいかなる変更も加えることはできません。
Lab Services 閲覧者ロールを "リソース グループまたはラボ" に割り当てます。
リソース グループに Lab Services 閲覧者ロールを割り当てると、ユーザーは次のことができます。
- リソース グループ内のすべてのラボの表示。
ラボに Lab Services 閲覧者ロールを割り当てると、ユーザーは次のことができます。
- 特定のラボの表示のみ。
ID およびアクセス管理 (IAM)
Azure portal の [アクセス制御 (IAM)] ページは、Azure Lab Services リソースに対して Azure ロールベースのアクセス制御を構成するために使用します。 組み込みのロールは、Active Directory の個人とグループに使用できます。 次のスクリーンショットは、Azure portal のアクセス制御 (IAM) を使用した Active Directory 統合 (Azure RBAC) を示しています。
詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。
リソース グループとラボ計画の構造
組織では、リソース グループとラボ計画の構造について、事前に時間をかけて計画する必要があります。 このことは、リソース グループにロールを割り当てる場合に特に重要です。リソース グループ内のすべてのリソースにもアクセス許可が適用されるためです。
ユーザーに適切なリソースへのアクセス許可のみ付与されるようにするには、次のようにします。
ラボに関連するリソースのみを含むリソース グループを作成します。
アクセス権を持つべきユーザーに基づいて、ラボ計画とラボを個別のリソース グループに整理します。
たとえば、異なる部門ごとに個別のリソース グループを作成して、各部門のラボ リソースを分離するとします。 その後、ある部門のラボ作成者にリソース グループに対するアクセス許可を付与することで、自分の部門のラボ リソースへのアクセス権のみを付与することができます。
重要
ラボ計画やラボは作成後に別のリソース グループに移動できないため、リソース グループとラボ計画の構造を事前に計画してください。
複数のリソース グループへのアクセス
複数のリソース グループへのアクセス権をユーザーに付与できます。 その後、ユーザーは Azure Lab Services Web サイトでリソース グループの一覧から選択することで、自分のラボを表示できます。
複数のラボ計画へのアクセス
複数のラボ計画へのアクセス権をユーザーに付与できます。 たとえば、複数のラボ計画を含むリソース グループのユーザーにラボ作成者ロールを割り当てる場合などです。 ユーザーは、新しいラボを作成するときに、ラボ計画の一覧から選択できます。