●AzureのロールとAzure ADのロール
最も大きな違いはロールの目的。
AzureのロールはAzureの仮想マシンやストレージなどのリソースを管理するためのアクセス制御を行うのに対して、
Azure ADのロールはAzure ADのユーザーやグループなどのリソース(オブジェクト)を管理するためのアクセス制御を行う。そのため、Azureのロールだけを持っていてもAzure ADのテナント内にユーザーを作成することはできない。逆も同様。
●アクセスの昇格
2つのロールのアクセス制御の目的は異なり、それぞれのスコープは重なっていない。そのため、特定のユーザーがAzureリソースとAzure ADのリソースを管理するには、AzureのロールとAzure ADのロールを割り当てる必要がある。
Azure ADのグローバル管理者ロールだけを持つユーザーは、既定でAZuire ADリソースを管理できるが、Azureのサブスクリプションやリソースは管理できない。
ただし、例外としてAzyre ADのグローバル管理者のロールを持つユーザーは自身のアクセス許可を昇格することができる。
アクセス書架の昇格はグローバル管理者のユーザーのみが使用できるオプションであり、昇格によってグローバル管理者にはテナントが所有する全てのサブスクリプションのユーザーアクセス管理者ロール(Azureのロール)が割り当てられる。
ユーザーアクセス管理者ロールは、Azureのサブスクリプションやリソースへのアクセスが管理できるロールであり、自身や他のユーザーにアクセス権を付与できる。
つまり、昇格によってテナントが所有する全てのサブスクリプションを管理できる様にあんる。