エクスポート (0) 印刷
すべて展開

アカウント、サブスクリプション、管理ロールの管理

更新日: 2014年8月

このトピックでは、Azure にアクセスしてサービスを管理するユーザーに必要な Microsoft Azure のアカウント、サブスクリプション、管理ロールについて説明します。これらの機能を使用すると、Azure で作成し実行するサービスについて、リソースへのアクセス制御や、使用状況情報と課金情報の管理を行うことができます。このアクセスには、サービスを利用するエンド ユーザーへのアクセスの有効化は含まれていないので注意してください。

このトピックの内容

noteメモ
このトピックでは、Azure アカウントにサインアップする方法については説明しません。Azure の購入オプションについては、購入オプション無料評価版、およびメンバー プラン (MSDN、Microsoft Partner Network、BizSpark などのマイクロソフト プログラムのメンバー向け) の各ページを参照してください。

Azure の使用状況を報告する方法やアカウント管理者となるユーザーは、Azure アカウントによって決まります。

サブスクリプションを使用すると、クラウド サービスのリソースへのアクセスを整理することができます。また、リソースの使用状況を報告する方法や、リソースに対する課金および支払いの方法を制御することもできます。各サブスクリプションには、異なる課金の設定と支払いの設定を指定できます。これにより、部門、プロジェクト、支社などに応じて異なるサブスクリプションと異なる計画を保持することができます。すべてのクラウド サービスはサブスクリプションに属します。また、サブスクリプション ID がプログラムによる操作で必要になる場合があります。

アカウントとサブスクリプションは、Azure のアカウント センターで作成します。アカウントの作成者は、そのアカウントで作成されたすべてのサブスクリプションのアカウント管理者になります。このアカウント作成者は、サブスクリプションの既定のサービス管理者でもあります。

次の図は、Azure サブスクリプションの作成と管理においてアカウント管理者が果たす主な役割を表しています。

Azure のアカウント管理者とサービス管理者の関係

Azure のアカウントとサブスクリプションに関連するロールには、次の 3 種類があります。

 

管理ロール 上限 概要

アカウント管理者

Azure アカウントごとに 1 個

アカウント センターへのアクセスが許可されています (サブスクリプションの作成、サブスクリプションの取り消し、サブスクリプションに対する課金の変更、サービス管理者の変更などを行うことができます)。

サービス管理者

Azure サブスクリプションごとに 1 個

アカウントに含まれるすべてのサブスクリプションについて、Azure 管理ポータルへのアクセスが許可されています。既定では、サブスクリプションが作成されていればアカウント管理者と同じ権限を持ちます。

共同管理者

サブスクリプションごとに 200 個 (サービス管理者に追加される)

サービス管理者と同じですが、サブスクリプションと Azure ディレクトリとの関連付けを変更することはできません。

サブスクリプションのアカウント管理者は、アカウント センターにアクセスできる唯一のユーザーです。アカウント管理者には、そのサブスクリプションに含まれるサービスに対して他のアクセス権がありません。これらのサービスについては、サブスクリプションのサービス管理者または共同管理者であることが必要です。セキュリティ上の理由から、サブスクリプションのアカウント管理者を変更するには、Azure サポートを呼び出す必要があります。アカウント管理者は、アカウント センターでサブスクリプションのサービス管理者をいつでも簡単に再割り当てすることができます。

サービス管理者は、サブスクリプションの第 1 の共同管理者です。他の共同管理者と同様に、サービス管理者にはクラウド リソースに対して管理アクセス権があります。このようなアクセスを行うには、Azure の管理ポータルを使用します。また、Visual Studio などのツール、他の SDK、PowerShell などのコマンド ライン ツールも使用できます。サービス管理者は、他の共同管理者を追加および削除することもできます。

次の図は、こうした管理者のロールに使用される基本的なアクセス権限と管理権限を表しています。

Azure のアカウント、サービス、および共同管理者の関係

サービス管理者と共同管理者の重要な相違点を次に示します。

  • 共同管理者は、Azure 管理ポータルでサービス管理者を削除できません。アカウント管理者だけがアカウント センターでサービス管理者の割り当てを変更できます。

  • サービス管理者は、Azure 管理ポータルでサブスクリプションとディレクトリの関連付けの変更を認証されている唯一のユーザーです。

Azure へのアクセスでは最初にユーザー ID を指定します。ユーザー ID は電子メール アドレスとパスワードの組み合わせで、Azure ではユーザーの認証に使用されます。ユーザー ID には、Microsoft アカウントと組織アカウントという 2 つの形式があります。

  • Microsoft アカウントは、<ユーザー>@outlook.com、<ユーザー>@hotmail.com、<ユーザー>@live.com という形式になります。

  • 組織アカウントは、たとえば judy@contoso.onmicrosoft.com や judy@contoso.com などの形式になります。"contoso" の部分には任意のドメイン名を指定できます。

組織アカウントは Microsoft アカウントとは異なります。これは、組織アカウントが Azure Active Directory に基づいているためです。組織アカウントは Azure Active Directory 内で作成されるため、これらのアカウントを管理する際、Microsoft アカウントよりも多くの方法で管理できます。たとえば、組織のアカウントは多要素認証を使用して補完することができます。多要素認証では、ユーザーは ID を確認するための追加の情報を入力する必要があります。

以上の理由により、一般的には、Azure への管理アクセス権を割り当てる場合は必ず組織アカウントを使用します。すべての Azure サブスクリプションには、組織アカウントの作成に使用できる既定のディレクトリがあります。

Azure 管理ポータルやサービス用の多くのクライアント ツール (Visual Studio、PowerShell など) では、アカウント ベースの認証をサポートしています。これはトークン ベースの認証スキームであり、ユーザーに要求されるのはユーザー ID の入力だけです。ただし、クライアントで実行されるツールを使用する場合に Windows Azure に対してアカウント ベースの認証を行うのは、比較的新しい機能です。この機能が導入される前は、クライアントにサブスクリプション用の管理証明書を保持することが唯一の認証方法でした。この証明書ベースの認証では、ユーザー ID を使用し特別な Web サイトにアクセスして、サブスクリプション ファイル (以前の publishsettings ファイル) をダウンロードする必要があります。このファイルには、ユーザーがアクセスできるサブスクリプションについての情報とサブスクリプションの証明書が含まれており、ツールでは、このファイルや証明書を参照する必要があります。また、独自に証明書を作成し、その証明書を Azure 管理ポータルにアップロードしてから、同じ方法で証明書を参照することもできます。

この方法は複雑であり、間違いやすく、十分なセキュリティ保護のために公開キー基盤 (PKI) が必要になります。

管理機能のための証明書ベースの認証は引き続きサポートされています (一部の Azure サービスでは、この認証が必要となる場合があります)。ただし、アカウント ベースの管理に比べると、証明書ベースの認証は複雑で、安全性が低い認証方法です。サービス管理機能向けの証明書ベースの認証は、プログラムやユーザーがサービスを使用することを許可する証明書ベースの認証と間違えることが多くあります。

以上の理由により、可能であれば、サービス管理機能に対しては、証明書ベースの認証ではなくアカウント ベースの認証を使用してください。

Important重要
アカウント ベースの認証は、認証プロバイダーによって発行されるトークンに依存しています。また、トークンの有効期間 (短い場合は 1 日、長い場合は数週間になることがあります) は、認証プロバイダーによって決定されます。トークンの有効期間が終了すると、ユーザーは再度サインインする必要があります。サービス管理機能に対して永続的なクライアント アクセスが必要なときは (たとえば、実行時間の長い統合された配置スクリプトやコード プロジェクトなど)、証明書ベースの管理を使用することが適切な場合があります。

Microsoft Azure SDK リリース ノートを参照してください。

一般に、管理者の数が多くなるほど、ガイドラインとベスト プラクティスをより注意深く考慮する必要があります。現在のサービスが小規模であり、管理者の数が少ない場合でも、サービスの拡張に伴ってサブスクリプションとアカウント管理のベスト プラクティスに従うことにより、サービスを拡張する際にサービスの体系を維持することができます。

すべての管理ロールでは組織アカウントを使用する。これにより、Azure Active Directory の機能を管理のために活用することができます。ディレクトリを使用することで、ビジネスの目的に応じてユーザーを管理し、役割の割り当てを委任することができます。詳細については、「Azure Active Directory」を参照してください。

管理ロールの割り当てを追加または変更した場合は、必ずログインしているドメインと同じドメイン名を使用する。たとえば、contoso.onmicrosoft.com ドメインのアカウント管理者である場合に、サブスクリプションのサービス管理者を再割り当てするときは、contoso.onmicrosoft.com ドメインでのユーザー ID を使用してサービス管理者を追加します。Azure 管理ポータルで共同管理者を追加する場合も、同じ操作を行います。

サービスごとに異なるサブスクリプションを作成し、各サブスクリプションに一意の名前を付ける。これにより、使用状況を確認し、各サービスへのアクセスを詳細に制御することができます。

表示:
© 2014 Microsoft