次の方法で共有


Microsoft Entra ID のロールについて理解する

Microsoft Entra には約 60 種の組み込みロールがあります。これらは、ロールのアクセス許可がセットとして固定されたロールです。 組み込みロールを補完するため、Microsoft Entra ID ではカスタム ロールもサポートされています。 カスタム ロールを使用して、必要なアクセス許可をロールに選択できます。 たとえば、アプリケーションやサービス プリンシパルなど、特定の Microsoft Entra リソースを管理するために作成することが可能です。

この記事では、Microsoft Entra ロールの概要と、その使用方法について説明します。

Microsoft Entra ロールとその他の Microsoft 365 ロールとの違い

Microsoft 365 には、Microsoft Entra ID や Intune といったさまざまなサービスがあります。 これらのサービスの一部は、独自のロールベースのアクセス制御システムを備えています。具体的には次のとおりです。

  • Microsoft Entra ID
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft 365 Defender ポータル
  • コンプライアンス ポータル
  • Cost Management と Billing

Teams、SharePoint、マネージド デスクトップなど、他のサービスには個別のロールベースのアクセス制御システムがありません。 管理者アクセスには Microsoft Entra ロールを使用します。 Azure には、Azure リソース (仮想マシンなど) 用の独自のロールベースのアクセス制御システムがあり、このシステムは Microsoft Entra ロールとは異なります。

Azure RBAC と Microsoft Entra ロール

別のロールベースのアクセス制御システムとは、ロールの定義とロールの割り当てが格納されている異なるデータ ストアが存在することを意味します。 同様に、アクセス確認が行われるポリシー決定ポイントも別にあります。 詳細については、「Microsoft サービス全体のロール」と「Azure ロール、Microsoft Entra ロール、および従来のサブスクリプション管理者ロール」をご覧ください。

その他のサービスで一部の Microsoft Entra ロールが使用される理由

Microsoft 365 には、これまで個別に開発されてきたロールベースのアクセス制御システムが多数あり、それぞれに独自のサービス ポータルが用意されています。 Microsoft 365 全体での ID 管理を Microsoft Entra 管理センターから便利に行えるように、サービス固有の組み込みロールがいくつか追加されています。これらでは、それぞれの Microsoft 365 サービスへの管理アクセス権が付与されます。 この追加の一例として、Microsoft Entra ID の Exchange 管理者ロールがあります。 このロールは Exchange のロールベースのアクセス制御システムにおける組織管理用ロール グループと同等であり、Exchange のあらゆる側面を管理できます。 同様に、Intune 管理者ロール、Teams 管理者、SharePoint 管理者なども追加されました。 サービス固有のロールは、次のセクションに出てくる Microsoft Entra 組み込みロールのカテゴリの 1 つです。

Microsoft Entra ロールのカテゴリ

Microsoft Entra 組み込みロールには、使用される場所によってさまざまなものが存在し、次の 3 つの大きなカテゴリに分類されます。

  • Microsoft Entra ID 固有のロール: これらのロールは、Microsoft Entra 専用でリソースを管理するためのアクセス許可を付与します。 たとえば、ユーザー管理者、アプリケーション管理者、グループ管理者では、そのどれにおいても Microsoft Entra ID 内にあるリソースを管理するためのアクセス許可が付与されます。
  • Microsoft Entra ID のサービス固有のロール: サービス内のすべての機能を管理するためのサービス固有の特権に対して Microsoft Entra ID のロールを定義する Microsoft 365 などの Microsoft サービス。 たとえば、Exchange 管理者、Intune 管理者、SharePoint 管理者、および Teams 管理者の各ロールは、それぞれのサービスを使用して機能を管理できます。 Exchange 管理者はメールボックスを管理でき、Intune 管理者はデバイス ポリシーを管理でき、SharePoint 管理者はサイト コレクションを管理でき、Teams 管理者は通話の品質を管理できます。
  • Microsoft Entra ID のサービス間のロール: 複数のサービスにわたるロールがいくつかあります。 グローバルなロールとしては、グローバル管理者とグローバル閲覧者の 2 つがあります。 これら 2 つのロールはすべての Microsoft 365 サービスに対して有効です。 また、セキュリティ管理者やセキュリティ閲覧者など、Microsoft 365 内の複数のセキュリティ サービスに対するアクセス権を付与するセキュリティ関連のロールもあります。 たとえば、Microsoft Entra ID でセキュリティ管理者ロールを使用すると、Microsoft 365 Defender ポータル、Microsoft Defender Advanced Threat Protection、Microsoft Defender for Cloud Apps を管理できます。 同様に、コンプライアンス管理者ロールでは、コンプライアンス関連の設定をコンプライアンス ポータルや Exchange などで管理できます。

Microsoft Entra 組み込みロールの 3 つのカテゴリ

これらのロール カテゴリの理解に、次の表を役立ててください。 カテゴリの名前は任意で付けられており、ドキュメントに記載されている Microsoft Entra ロールのアクセス許可を超える他の機能があることを示すものではありません。

カテゴリ 役割
Microsoft Entra ID 固有のロール アプリケーション管理者
アプリケーション開発者
認証管理者
B2C IEF キーセット管理者
B2C IEF ポリシー管理者
クラウド アプリケーション管理者
クラウド デバイス管理者
条件付きアクセス管理者
デバイス管理者
ディレクトリ リーダー
ディレクトリ同期アカウント
ディレクトリ ライター
外部 ID ユーザー フロー管理者
外部 ID ユーザー フロー属性管理者
外部 ID プロバイダー管理者
グループ管理者
ゲスト招待元
ヘルプデスク管理者
ハイブリッド ID の管理者
ライセンス管理者
パートナー レベル 1 のサポート
パートナー レベル 2 のサポート
パスワード管理者
特権認証管理者
特権ロール管理者
レポート閲覧者
ユーザー管理者
Microsoft Entra ID のサービス固有のロール Azure DevOps 管理者
Azure Information Protection 管理者
課金管理者
CRM サービス管理者
カスタマー ロックボックスのアクセス承認者
デスクトップ Analytics 管理者
Exchange サービス管理者
Insights 管理者
Insights ビジネス リーダー
Intune サービス管理者
Kaizala 管理者
Lync サービス管理者
メッセージ センターのプライバシー閲覧者
メッセージ センター閲覧者
Modern Commerce 管理者
ネットワーク管理者
Office アプリ管理者
Power BI サービス管理者
Power Platform 管理者
プリンター管理者
プリンター技術者
Search 管理者
Search エディター
SharePoint サービス管理者
Teams 通信管理者
Teams 通信サポート エンジニア
Teams 通信サポート スペシャリスト
Teams デバイス管理者
Teams 管理者
Microsoft Entra ID のサービス間のロール コンプライアンス管理者
コンプライアンス データ管理者
グローバル閲覧者
セキュリティ管理者
セキュリティ オペレーター
セキュリティ閲覧者
サービス サポート管理者

次のステップ