Azure Active Directory のロールについて、一度自分の頭の中を整理してみました。
という感じの、個人用の忘備録です。
ディレクトリロール
ディレクトリロールっす。
ディレクトリの中の管理権限を持ちます。ちなみに、サブスクリプションは、ディレクトリ(テナント)に紐づくため、ディレクトとサブスクリプションの関係は、1:Nになりますので、ディレクトリに紐づいているすべてにサブスクリプションに対してのロールとなります。
ロールは、以下の3パターンになります。
制限付き管理者についての詳細は、こちらのドキュメント に記載されています。
- ユーザ
- 全体管理者
- 制限付き管理者
Azure Active Directory は、Office 365 の認証にも使われているため、Office 365の機能に対しての管理権限も持っているんですね。
ユーザ種類
Azure Active Directory の すべてのユーザの表示で、ユーザの種類というのがあり、Member と Guest って何が違うんだろって感じですよね。
Guest は、「個人アカウント」もしくは、「別テナントの組織アカウント」となります。
つまり、対象のテナントの外部のユーザです。
Memberは、「自テナントの組織アカウント」もしくは、「テナントを最初に作成したユーザ」となります。
「テナントを最初に作成したユーザ」は、個人アカウントでもいいので、表現が難しいですね。
ちなみに、個人アカウントと組織アカウントは、以下のように理解しています。(ちょっと乱暴かな。。)
- 個人アカウント:Microsoft アカウント
- 組織アカウント:Azure Active Directory で管理しているアカウント
Member と Guest の切り替えもできます。
気になる方は、「Member ユーザーと Guest ユーザーについて」のブログ記事を見てみてください。
※1 自分が実行したときのコマンドは、補足に記載
RBAC
ディレクトリロールで、全体管理者の権限を与えたとしても、Azure のサブスクリプションに対する権限とは別です。
もし、Azure のサブスクリプションに対しての権限を付与する場合は、RBAC を使って権限を与えることになります。
RBAC での設定については、以前に「Azure の管理アカウントをカスタムロールで権限設定する」という記事を書いていますので、そちらをご覧ください。
まとめ
ってことで、まとめ
- Azure Active Dorectory のディレクトリに対する操作権限は、ディレクトリロール
- Azure のサブスクリプションは、AADのテナントに紐づける
- サブスクリプションの操作権限は、RBAC
ちなみに、サブスクリプションを別テナントに付け替えする方法は、以下のドキュメントでアナウンスされています。
(※ ためしてないけど。。)
補足
※1 Member ユーザとGuest ユーザの変更
# MSOnline (Azure AD v1) のインストール PS C:\WINDOWS\system32> Install-Module -Name MSOnline 続行するには NuGet プロバイダーが必要です PowerShellGet で NuGet ベースのリポジトリを操作するには、'2.8.5.201' 以降のバージョンの NuGet プロバイダーが必要です。NuGet プロバイダーは 'C:\Program Files\PackageManagement\ProviderAssemblies' または 'C:\Users\y0ag0\AppData\Local\PackageManagement\ProviderAssemblies' に配置する必要があります。'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force' を実行して NuGet プロバイダーをインストールすることもできます。今すぐ PowerShellGet で NuGet プロバイダーをインストールしてインポートしますか? [Y] はい(Y) [N] いいえ(N) [S] 中断(S) [?] ヘルプ (既定値は "Y"): Y 信頼されていないリポジトリ 信頼されていないリポジトリからモジュールをインストールしようとしています。このリポジトリを信頼する場合は、Set-PSReposit ory コマンドレットを実行して、リポジトリの InstallationPolicy の値を変更してください。'PSGallery' からモジュールをインストールしますか? [Y] はい(Y) [A] すべて続行(A) [N] いいえ(N) [L] すべて無視(L) [S] 中断(S) [?] ヘルプ (既定値は "N"): Y PS C:\WINDOWS\system32> # Geust から Member に変更 PS C:\WINDOWS\system32> Connect-MsolService PS C:\WINDOWS\system32> Get-MsolUser -All | Format-Table UserPrincipalName,UserType UserPrincipalName UserType ----------------- -------- demouser02@hogehoge.onmicrosoft.com Member testuser_outlook.jp#EXT#@hogehoge.onmicrosoft.com Guest PS C:\WINDOWS\system32> Set-MsolUser -UserPrincipalName testuser_outlook.jp#EXT#@hogehoge.onmicrosoft.com -UserType Member PS C:\WINDOWS\system32> Get-MsolUser -All | Format-Table UserPrincipalName,UserType UserPrincipalName UserType ----------------- -------- demouser02@hogehoge.onmicrosoft.com Member testuser_outlook.jp#EXT#@hogehoge.onmicrosoft.com Member
※ AAD用PowerShellのモジュールのインストールは、以下を参照
https://blogs.technet.microsoft.com/jpazureid/2017/12/04/aad-powershell/