はじめに
Azure Active Directory (Azure AD) にゲストユーザーを招待し、ロールの割り当てを行う簡単な手順です。
Azureではロールベースのアクセス制御 (RBAC; Roll Based Access Control) という仕組みで「誰が」「どの」Azureリソースにアクセスできるかを制御します。
ユーザーへのロールの割り当てについてざっくり2つの方法があります。
- ユーザーにロールを割り当てる
- ユーザーが所属するグループにロールを割り当てる
お好みの方法を選択頂ければと思いますが、ユーザーの増減がある場合はグループの方がベターだと思います。本記事ではグループにロールを割り当てる方法を記載します。
ユーザーの招待
-
Azureポータルにログインし、招待元のAzure Active Directoryに遷移します。
-
新しいユーザー画面で [ユーザーの招待] にチェック、[電子メールアドレス] に招待したいメールアドレスを記入した上で [招待] をクリックします (他の項目は必要に応じて入力)。
グループの作成
-
新しいグループ 画面で必要事項を入力して [作成] をクリックします。
項目 | 値 |
---|---|
グループの種類 | (ここでは「セキュリティ」を選択) |
グループ名 | (分かりやすいグループ名を記入) |
グループの説明 | (分かりやすいグループの説明を記入) |
メンバーシップの種類 | (ここでは「割り当て済み」を選択) |
所有者 | Azure ADテナントに属するユーザーからグループの管理者を選択 |
メンバー | グループに所属させるユーザーを選択 |
グループへのロールの割り当て
ここでは例として、ゲストユーザーに対して、サブスクリプション内のリソースの閲覧、特定のリソースグループ内のリソースの編集・閲覧を許可するロールを割り当てます。
サブスクリプションのロール割り当て
-
サブスクリプション一覧のブレード でロール割り当て対象のサブスクリプションを選択します。
-
ロールの割り当ての表示 の [ビュー] をクリックしてグループに対するロールの割り当てが追加されていることを確認します。
リソースグループのロールの割り当て
* ロールを割り当てるリソースグループが無い場合はリソースグループ一覧のブレードから作成しておきます。
招待されたユーザーでの確認
-
ユーザーの招待が完了すると、招待されたユーザーのメールアドレスに以下のようなメールが届きます。メール本文内の [Accept invitation] をクリックします。
-
Azureポータルにログインし、画面右上の [ディレクトリ + サブスクリプション] をクリックします。
-
すべてのディレクトリ に招待元のAzure Active Directoryが表示されているはずなので、クリックします。
-
閲覧者ロールを割り当てたAzureサブスクリプションのリソースが表示でき、共同作成者ロールを割り当てたリソースグループの編集ができれば成功です。
以上です。