編集

次の方法で共有


Azure portal を使用して Azure でのロールの割り当てを一覧表示する

Azure ロールベースのアクセス制御 (Azure RBAC) は、Azure のリソースに対するアクセスを管理するために使用する承認システムです。 ユーザー、グループ、サービスプリンシパル、またはマネージド ID がアクセスできるリソースを特定するには、ロールの割り当てを一覧表示します。 このアーティクルでは、Azure portal を使用してロールの割り当てを一覧表示する方法について説明します。

Note

組織で、Azure Lighthouse を使用するサービス プロバイダーに管理機能を外部委託している場合、そのサービス プロバイダーによって承認されているロールの割り当てはここに表示されません。 同様に、サービス プロバイダー テナント内のユーザーには、割り当てられているロールに関係なく、顧客のテナント内のユーザーに対するロールの割り当ては表示されません。

前提条件

Microsoft.Authorization/roleAssignments/read アクセス許可 (閲覧者など)

ユーザーまたはグループのロールの割り当てを一覧表示する

サブスクリプションのユーザーまたはグループに割り当てられているロールを簡単に確認する方法は、[Azure ロールの割り当て] ペインを使用することです。

  1. Azure portal で、Azure portal メニューから [すべてのサービス] を選択します。

  2. [ Microsoft Entra ID ] を選択し、[ユーザー ] または[ グループ ]を選択します。

  3. ロールの割り当てを一覧表示するユーザーまたはグループをクリックします。

  4. [Azure でのロールの割り当て] をクリックします。

    管理グループ、サブスクリプション、リソース グループ、リソースなどのさまざまなスコープで、選択したユーザーまたはグループに割り当てられているロールの一覧が表示されます。 この一覧では、自分が読み取りアクセス許可を認められているすべてのロールの割り当てが表示されます。

    ユーザーのロールの割り当てのスクリーンショット。

  5. サブスクリプションを変更するには、[サブスクリプション] の一覧をクリックします。

サブスクリプションの所有者を一覧表示する

サブスクリプションの所有者ロールが割り当てられているユーザーは、サブスクリプション内のすべてを管理できます。 サブスクリプションの所有者を一覧表示するには、次の手順に従います。

  1. Azure portal で、[すべてのサービス][サブスクリプション] の順にクリックします。

  2. 所有者を一覧表示するサブスクリプションをクリックします。

  3. [アクセス制御 (IAM)] をクリックします。

  4. [ロールの割り当て] タブをクリックして、このサブスクリプションのすべてのロールの割り当てを表示します。

  5. [所有者] セクションまでスクロールして、このサブスクリプションの所有者ロールが割り当てられているすべてのユーザーを表示します。

    サブスクリプションの [アクセス制御] と [ロールの割り当て] タブのスクリーンショット。

特権管理者ロールの割り当てを一覧表示または管理する

[ロールの割り当て] タブでは、現在のスコープでの特権管理者ロールの割り当ての数を一覧して表示できます。 詳細については、「特権管理者ロール」を参照してください。

  1. Azure portal で、[すべてのサービス] をクリックしてからスコープを選びます。 たとえば、[管理グループ][サブスクリプション][リソース グループ]、またはリソースを選択できます。

  2. 特定のリソースをクリックします。

  3. [アクセス制御 (IAM)] をクリックします。

  4. [ロールの割り当て] タブをクリックし、[特権] タブをクリックして、このスコープの特権管理者ロールの割り当てを一覧表示します。

    特権ロールの割り当てを示す [アクセス制御] ページ、[ロールの割り当て] タブ、[特権] タブのスクリーンショット。

  5. このスコープでの特権管理者ロールの割り当ての数を確認するには、[特権] カードを参照してください。

  6. 特権管理者ロールの割り当てを管理するには、[特権] カードを参照し、[View assignments]\(割り当ての表示\) をクリックします。

    [Manage privileged role assignments]\(特権ロールの割り当ての管理\) ページで、特権ロールの割り当てを制限する条件を追加したり、ロールの割り当てを削除したりできます。 詳細については、「条件を使用して Azure ロールの割り当て管理を他のユーザーに委任する」を参照してください。

    条件を追加またはロールの割り当てを削除する方法を示す [Manage privileged role assignments]\(特権ロールの割り当ての管理\) ページのスクリーンショット。

あるスコープのロールの割り当てを一覧表示する

次のステップを実行します。

  1. Azure portal で、[すべてのサービス] をクリックしてからスコープを選びます。 たとえば、[管理グループ][サブスクリプション][リソース グループ]、またはリソースを選択できます。

  2. 特定のリソースをクリックします。

  3. [アクセス制御 (IAM)] をクリックします。

  4. [ロールの割り当て] タブをクリックして、このスコープのロールの割り当てを表示します。

    Microsoft Entra ID Free または Microsoft Entra ID P1 ライセンスをお持ちの場合、[ロールの割り当て] タブは次のスクリーンショットのようになります。

    [アクセス制御] と [ロールの割り当て] タブのスクリーンショット。

    Microsoft Entra ID P2 または Azure Active Directory Identity Governance ライセンスをお持ちの場合、管理グループ、サブスクリプション、リソース グループのスコープの [ロールの割り当て] タブは次のスクリーンショットのようになります。 この機能は段階的にデプロイされているため、テナントではまだ使用できない場合や、インターフェイスの外観が異なる場合があります。

    [アクセス制御] と、[アクティブな割り当て] および [資格のある割り当て] タブのスクリーンショット。

    次の状態のいずれかを含む [状態] 列が表示されます。

    State 説明
    アクティブ、永続的 何もアクションを実行しなくても、ユーザーがロールを常に使用できるロールの割り当て。
    アクティブ、期限付き 開始日と終了日の範囲内であれば、何もアクションを実行しなくてもユーザーがロールを使用できるロールの割り当て。
    有資格、永続的 ロールをアクティブ化する資格が常にユーザーにあるロールの割り当て。
    有資格、期限付き 開始日から終了日の間だけ、ユーザーにロールをアクティブ化する資格があるロールの割り当て。

    開始日を将来の日付に設定できます。

    ロールの割り当ての開始時刻と終了時刻を一覧表示するには、[列の編集] をクリックし、[開始時刻][終了時刻] を選択します。

    [開始時刻] と [終了時刻] のチェック ボックスが表示された [列] ペインのスクリーンショット。

    スコープが [このリソース] のロールもあれば、別のスコープからスコープを [(継承)] しているロールもあることに注目してください。 アクセス権は、このリソースに明確に割り当てられるか、または親スコープへの割り当てから継承されます。

あるスコープのユーザーのロールの割り当てを一覧表示する

ユーザー、グループ、サービス プリンシパル、またはマネージド ID のアクセス権を一覧表示するには、ロールの割り当てを一覧表示します。 特定のスコープで単独のユーザー、グループ、サービス プリンシパル、またはマネージド ID のロールの割り当てを一覧表示するには、次の手順のようにします。

  1. Azure portal で、[すべてのサービス] をクリックしてからスコープを選びます。 たとえば、[管理グループ][サブスクリプション][リソース グループ]、またはリソースを選択できます。

  2. 特定のリソースをクリックします。

  3. [アクセス制御 (IAM)] をクリックします。

    リソース グループのアクセス制御と [アクセスの確認] タブのスクリーンショット。

  4. [アクセスの確認] タブで、[アクセスの確認] ボタンをクリックします。

  5. [アクセスの確認] ペインで、[ユーザー、グループ、またはサービス プリンシパル] または [マネージド ID] をクリックします。

  6. 検索ボックスに、表示名、メール アドレス、またはオブジェクト識別子のディレクトリを検索するための文字列を入力します。

    [アクセスの確認] の選択リストのスクリーンショット。

  7. セキュリティ プリンシパルをクリックして [割り当て] ウィンドウを開きます。

    このペインでは、このスコープで選択されたセキュリティ プリンシパルと、このスコープに継承されたセキュリティ プリンシパルのアクセス権を確認できます。 子スコープでの割り当ては表示されません。 次の割り当てが表示されます。

    • Azure RBAC で追加されたロールの割り当て。
    • Azure Blueprints または Azure マネージド アプリを使用して追加された拒否の割り当て。

    [割り当て] ペインのスクリーンショット。

マネージド ID のロールの割り当ての一覧表示

前に説明したように、[アクセス制御 (IAM)] ブレードを使用すると、特定のスコープでシステムによって割り当てられたマネージド ID とユーザーが割り当てたマネージド ID に対するロールの割り当てを一覧表示できます。 ここでは、マネージド ID に対するロールの割り当てのみを一覧表示する方法について説明します。

システム割り当てマネージド ID

  1. Azure portal で、システム割り当てマネージド ID を開きます。

  2. 左側のメニューで、[ID] をクリックします。

    システム割り当てマネージド ID のスクリーンショット。

  3. [アクセス許可] で、[Azure でのロールの割り当て] をクリックします。

    管理グループ、サブスクリプション、リソース グループ、リソースなどのさまざまなスコープで、選択したシステム割り当てマネージド ID に割り当てられているロールの一覧が表示されます。 この一覧では、自分が読み取りアクセス許可を認められているすべてのロールの割り当てが表示されます。

    システム割り当てマネージド ID のロールの割り当てのスクリーンショット。

  4. サブスクリプションを変更するには、[サブスクリプション] の一覧をクリックします。

    ユーザー割り当てマネージド ID

    1. Azure portal で、ユーザー割り当てマネージド ID を開きます。

    2. [Azure でのロールの割り当て] をクリックします。

      管理グループ、サブスクリプション、リソース グループ、リソースなどのさまざまなスコープで、選択したユーザー割り当てマネージド ID に割り当てられているロールの一覧が表示されます。 この一覧では、自分が読み取りアクセス許可を認められているすべてのロールの割り当てが表示されます。

      ユーザー割り当てマネージド ID のロールの割り当てのスクリーンショット。

    3. サブスクリプションを変更するには、[サブスクリプション] の一覧をクリックします。

ロールの割り当ての数の一覧

各サブスクリプションには、最大 4,000 個のロールの割り当てを保持できます。 この制限には、サブスクリプション、リソース グループ、およびリソースのスコープでのロールの割り当てが含まれます。 [資格のあるロールの割り当て] と将来にスケジュールされたロールの割り当ては、この制限の対象にはなりません。 [ロールの割り当て] タブには、この制限の追跡に役立つ、現在のサブスクリプションに対するロールの割り当て数を示すグラフが表示されます。

アクセス制御とロールの割り当て数グラフのスクリーンショット。

最大数に近づいているときにロールの割り当てを追加しようとすると、[ロールの割り当ての追加] ウィンドウに警告が表示されます。 ロールの割り当ての数を減らす方法については、「Azure RBAC の制限のトラブルシューティング」を参照してください。

アクセス制御と [ロールの割り当ての追加] の警告のスクリーンショット。

ロールの割り当てのダウンロード

スコープ内のロールの割り当ては、CSV 形式または JSON 形式でダウンロードできます。 これは、スプレッドシート内のリストを検査したり、サブスクリプションの移行時にインベントリを取得したりする必要がある場合に役立ちます。

ロールの割り当てをダウンロードするときは、次の条件に注意する必要があります。

  • ディレクトリ リーダー ロールなどのディレクトリを読み取るためのアクセス許可がない場合、DisplayName 列、SignInName 列、ObjectType 列は空白になります。
  • セキュリティ プリンシパルが削除されているロールの割り当てが含まれていないこと。
  • 従来の管理者に付与されたアクセス権が含まれていないこと。

スコープ内のロールの割り当てをダウンロードするには、次の手順に従います。

  1. Azure portal で、[すべてのサービス] をクリックし、ロールの割り当てをダウンロードするスコープを選択します。 たとえば、[管理グループ][サブスクリプション][リソース グループ]、またはリソースを選択できます。

  2. 特定のリソースをクリックします。

  3. [アクセス制御 (IAM)] をクリックします。

  4. [ロールの割り当てのダウンロード] をクリックして、[ロールの割り当てのダウンロード] ペインを開きます。

    [アクセス制御] と [ロールの割り当てのダウンロード] のスクリーンショット。

  5. チェック ボックスを使用して、ダウンロードされるファイルに含めるロールの割り当てを選択します。

    • 継承済み - 現在のスコープの継承されたロールの割り当てを含めます。
    • 現在のスコープ - 現在のスコープのロールの割り当てを含めます。
    • - 現在のスコープの下位レベルのロールの割り当てを含めます。 管理グループのスコープでは、このチェック ボックスはオフになっています。
  6. ファイル形式を選択します。これには、コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) を指定できます。

  7. ファイル名を指定します。

  8. [開始] をクリックしてダウンロードを開始します。

    各ファイル形式の出力の例を次に示します。

    ロールの割り当てを CSV としてダウンロードする画面のスクリーンショット。

    ダウンロードされた JSON 形式のロールの割り当てのスクリーンショット。