1/15 (木)
Microsoft Entra ID と Azure サブスクリプション の関係について
Azure サブスクリプションは Microsoft Entra ID ドメインの傘下に配置され、Entra ID ドメインのユーザーとしてログインする。 ただし Entra ID の管理者と Azure サブスクリプションの管理者は通常別物となっている。
- Entra ID の管理者は Entra ID ドメインのメンバーの中で「グローバル管理者(Global Administrator)」の権限を持つユーザー。
- Azure サブスクリプションの管理者は Entra ID ドメインのメンバーの中で、その Azure サブスクリプションに対する「Owner」ロールを持つユーザー。
Entra ID のグローバル管理者であっても、傘下の Azure サブスクリプションを勝手にアクセスすることはできない。
しかし Entra ID のグローバル管理者には Elevated Access という機能があり、ドメイン参加の全ての Azure サブスクリプションのアクセス権限を緊急的に奪取することができる。 Microsoft Entra ID のグローバル管理者のユーザーページに遷移し、「Azureリソースのアクセス管理」トグルを「はい」に設定した場合、そのユーザーに Azure RBACの「User Access Administrator」ロールがルートスコープ(/)で割り当てられる。 この権限を使うと、ユーザーに対して対象となる Azure サブスクリプションの任意の Azure ロールを割り当てることができる。 Owner ロールも割り当て可能なので、Entra ID のグローバル管理者は傘下の Azure サブスクリプションの管理者(Owner ロール)の割り当てを自由に変更することができることになる。
Azure サブスクリプションを使って顧客向けサービスを提供する場合にはサービスごとに Entra ID ドメインをわけないと、ドメインの管理者が Azure サブスクリプションのデータを勝手にのぞいてしまう危険性がある。
コメントを書き込む