コラム

ユーザ情報がサブスクリプションより上位の階層であるAzure ADテナントによって管理されており、Azure ADテナントとAzureサブスクリプションそれぞれの権限を考慮する必要があります。

Azure ADについて、Azureサブスクリプションを契約するにあたって新規に作成します。ただし、お客様が既にAzure ADを持っているという状態であれば、Azure ADを統合するか分離するかを検討する必要があります。

Azure Active Directoryには下表に示す4種類のエディションが存在します。デフォルトでは「FREE」プランとなっており、こちらでも通常のID管理は可能です。また、料金は2022/2/2現在の値です。

ただし、プロダクション環境でのAzure Active Directoryの利用は「PREMIUM P2」が推奨されています。
そのため、基本的にお客様からのご要望がない限りは「PREMIUM P2」を利用する想定で設計・実装を進めた方が良いです。

「PREMIUM P2」を利用することで、以下のような機能を設定できます。（詳細は参考ドキュメント「Azure Active Directoryの価格」をご参照ください。）

• グループ、場所、およびデバイスの状態に基づいた条件付きアクセス
• 時間ベースおよび承認ベースのロールのアクティブ化を提供して、対象リソースに対する過剰、不要、または誤用であるアクセス許可のリスクを軽減するPrivileged Identity Management（PIM）

組織に多数のAzureサブスクリプションがある場合は、これらのサブスクリプションのアクセス、ポリシー、およびコンプライアンスを効率的に管理する方法が必要になることがあります。Azure管理グループのスコープはサブスクリプションの上位にあり、サブスクリプションをグループに所属させることができます。

管理グループに管理条件を適用すると、管理グループ内のすべてのサブスクリプションは、管理グループに適用された条件を自動的に継承します。

Azure ADの設計が決まったら、次にAzureサブスクリプションの契約種別について検討します。

ユーザに付与する権限は「サブスクリプションに対する権限」と「Azure ADに対する権限」を分けて考える必要があります。
「Azure ADに対する権限」については、前述の通りサブスクリプション管理が上位に位置することから、細かい検討が必要になります。

【サブスクリプションに対する権限（Azureロール）】

一般的に、サブスクリプションの管理者は、サービスをホストしているサブスクリプションに対してどのような操作も許可されてよいことから、「所有者」として作成します。

その他のユーザは、「共同作成者」などで作成します。
（管理者が任意で設定可能です。共同作成者はAzureロールの作成や割り当て等ができません。）

【ADに対する権限（ディレクトリロール）】

「Azure ADテナントとサブスクリプションの関係性」で記載した通り、ユーザの管理がサブスクリプションの管理より上位に存在することから、
管理者がユーザを自由に追加・削除するためには、Azure ADに対する権限を保持している必要があります。

そのため、全体の管理者ユーザにはサブスクリプションに対する「所有者」権限に加えてADに対する「グローバル管理者」権限を付与し、サブスクリプションの管理者ユーザにはサブスクリプションに対する「所有者」権限のみ付与するといった設計が必要です。サブスクリプションのメンバーユーザには最小権限で割り当てることがベストプラクティスになります。

サブスクリプションに対する管理グループだけでなく、ユーザに対してもグループの概念が存在します。

Azureロールはグループに対して割り当てられますが、ディレクトリロールはユーザごとに割り当てる必要があります。

複数のユーザに対して権限を振り分ける場合の例を以下に示します。