はじめに
Azure Active Directory (Azure AD) にゲストユーザーを招待し、ロールの割り当てを行う簡単な手順です。
Azureではロールベースのアクセス制御 (RBAC; Roll Based Access Control) という仕組みで「誰が」「どの」Azureリソースにアクセスできるかを制御します。
ユーザーへのロールの割り当てについてざっくり2つの方法があります。
- ユーザーにロールを割り当てる
- ユーザーが所属するグループにロールを割り当てる
お好みの方法を選択頂ければと思いますが、ユーザーの増減がある場合はグループの方がベターだと思います。本記事ではグループにロールを割り当てる方法を記載します。
ユーザーの招待
Azureポータルにログインし、招待元のAzure Active Directoryに遷移します。
Azure Active Directoryテナントの [ユーザー] をクリックします。
[新しいゲストユーザー] をクリックします。
新しいユーザー画面で [ユーザーの招待] にチェック、[電子メールアドレス] に招待したいメールアドレスを記入した上で [招待] をクリックします (他の項目は必要に応じて入力)。
ユーザーが正常に招待されましたという通知が表示されることを確認します。
グループの作成
Azure Active Directoryテナントの [グループ] をクリックします。
[新しいグループ] をクリックします。
新しいグループ 画面で必要事項を入力して [作成] をクリックします。
| 項目 | 値 |
|---|---|
| グループの種類 | (ここでは「セキュリティ」を選択) |
| グループ名 | (分かりやすいグループ名を記入) |
| グループの説明 | (分かりやすいグループの説明を記入) |
| メンバーシップの種類 | (ここでは「割り当て済み」を選択) |
| 所有者 | Azure ADテナントに属するユーザーからグループの管理者を選択 |
| メンバー | グループに所属させるユーザーを選択 |
グループへのロールの割り当て
ここでは例として、ゲストユーザーに対して、サブスクリプション内のリソースの閲覧、特定のリソースグループ内のリソースの編集・閲覧を許可するロールを割り当てます。
サブスクリプションのロール割り当て
サブスクリプション一覧のブレード でロール割り当て対象のサブスクリプションを選択します。
[アクセス制御 (IAM)] をクリックします。
ロールの割り当てを追加する の [追加] をクリックします。
役割 で [閲覧者]、 選択 でグループを選択して [保存] をクリックします。
ロールの割り当ての表示 の [ビュー] をクリックしてグループに対するロールの割り当てが追加されていることを確認します。
リソースグループのロールの割り当て
* ロールを割り当てるリソースグループが無い場合はリソースグループ一覧のブレードから作成しておきます。
対象のリソースグループを選択します。
[アクセス制御 (IAM)] をクリックします。
ロールの割り当てを追加する の [追加] をクリックします。
役割 で [共同作成者]、 選択 でグループを選択して [保存] をクリックします。
ロールの割り当ての表示 の [ビュー] をクリックしてグループに対するロールの割り当てが追加されていることを確認します。
招待されたユーザーでの確認
ユーザーの招待が完了すると、招待されたユーザーのメールアドレスに以下のようなメールが届きます。メール本文内の [Accept invitation] をクリックします。
[承諾] をクリックします。
完了するのをしばらく待ちます。
自動的に以下の画面に遷移します。閉じてしまって大丈夫です。
Azureポータルにログインし、画面右上の [ディレクトリ + サブスクリプション] をクリックします。
すべてのディレクトリ に招待元のAzure Active Directoryが表示されているはずなので、クリックします。
閲覧者ロールを割り当てたAzureサブスクリプションのリソースが表示でき、共同作成者ロールを割り当てたリソースグループの編集ができれば成功です。
以上です。