Azure ADロールと権限:ユーザーとグループのロールの割り当てと管理。Azure ADロールと、ユーザーとグループの権限の割り当てと管理におけるその重要性について学びたいIT管理者ですか?
各概念を学ぶことが重要です。これにより、Azure ADロール、ユーザー、グループ、および権限の関係を理解することができます。
次に、Azure ADロールについて説明します。これは、「ロールユーザーグループ権限」の関係における次のレベルを表しています。
これらの概念を統合するために、ユーザーやグループがロールが割り当てられることで権限を継承する方法について議論します。
最後に、Azure ADロールをユーザーやグループに割り当てるための詳細な手順を提供します。これは、さまざまな方法で行うことができます。
Azure ADユーザー、グループ、およびグループメンバーシップ
Azure ADの基本的な権限レベルは「アイデンティティ」と呼ばれ、認証されたものすべてを含みます。アイデンティティの例としては、ユーザー名とパスワードを持つユーザーや、認証が必要なアプリケーションやサーバーなどがあります。
この記事では、認証されたユーザーとしてのアイデンティティに焦点を当てます。
ユーザーが認証されると、リソースへのアクセスが承認されます。したがって、ユーザーはリソースへのアクセスが承認されるために権限が必要です。
ユーザーを作成すると、Azure ADは自動的にそれらにデフォルトの権限を付与します。
ただし、管理者はAzure ADロールを使用してユーザーに追加の権限を割り当てます。また、グループにユーザーを追加することで、権限を割り当てることもできます。
ユーザーに直接ではなく、グループを介して権限を割り当てるのが最良の方法と考えられています。
ここで、Azure Active Directoryのグループが重要な役割を果たします。Azure ADでは、同じリソースへのアクセスが必要なユーザーを管理するためにグループが使用されます。
グループを作成すると、それに追加されたすべてのユーザーがAzure ADロールを介して割り当てられた権限を継承します。
権限の管理には、Azure ADで2種類のグループがあります: セキュリティグループとMicrosoft365グループ。
セキュリティグループを使用してアクセス権限と役割をメンバーに割り当てます。ただし、グループ作成プロセス中に、役割を割り当てるためにセキュリティグループを役割割り当て可能に設定する必要があります。
グループを作成すると、この設定を変更できません。
対照的に、Microsoft 365 グループは共同作業のために設計されています。Microsoft 365 グループのメンバーは、共有メールボックス、チーム、ファイル、および他の共同作業可能なリソースにアクセスします。
Azure AD ゲストレポート&監査ツールの InfraSOS ソリューションもご覧ください
Azure Active Directory における役割と権限
役割ベースのアクセス制御(RBAC)が Azure AD セキュリティの基盤を構成しています。約60のビルトインの役割が権限の割り当てと管理に使用されます
Azure ADのビルトインロールページの「すべてのロール」セクションを参照して、これらの役割とそれぞれの権限の包括的なリストを見つけます。
さらに、各ロールには事前に定義された権限セットがあります。Azure ADロールに関連する権限をユーザーまたはグループなどのオブジェクトに割り当てるには、そのロールをオブジェクトに割り当てる必要があります。
この割り当ては、Azure Active Directoryポータル内の「ロールと管理者」ページまたはAzure ADオブジェクトの「割り当てられたロール」ノードを介して実行します。
ロールは直接ユーザーまたはグループに割り当てることができます。しかし、動的グループは定義された条件に基づいて自動的に役割を割り当てることができます。
また、Office 365グループ:共同作業のためのグループの作成と管理も参照してください。
Azure ADロールとグループ権限の関係
グループは、同じAzure ADリソースへのアクセスが必要な複数のユーザーを管理します。しかし、グループにはそれ以上の機能があります。
例えば、グループはライセンスを割り当て、そのメンバーにアプリを展開するために使用されます。さらに、これらのグループはAzure ADグローバル管理者以外の管理者ロールを委任します。
グループを使用して委任できる管理者ロールのリストを見つけてください。
さらに、グループを使用してSharePointサイトまたは外部のSaaSアプリへのアクセス許可を割り当てます。
ロールをグループに割り当てることを忘れないでください。これにはAzure AD Premium P1ライセンスが必要です。さらに、タスクの実行には「特権ロール管理者」ロールも必要です。
また、Azureはロール割り当てに使用される動的グループを提供しています。
動的グループは、グループに対して定義された動的グループクエリ基準に一致するユーザーにグループメンバーシップを自動的に割り当てます。この自動化されたプロセスは、手動のグループ割り当てに比べて大規模な組織にとって大幅な管理時間の節約になります。
Azure AD ロールをユーザーやグループに割り当てる方法
以下のいずれかの方法に従って、Azure AD ロールをユーザーやグループに割り当てます。
まず初めに、portal.azure.com 経由でAzureポータルにサインインしてください。「Azure Active Directory」を検索して開きます。
方法 1/3:「ロールと管理者」インターフェイスからユーザーやグループにロールを割り当てる
Azure AD ロールを割り当てる最も便利な方法は、Azure Active Directory ポータルの「ロールと管理者」インターフェイスを使用することです。
以下の手順に従ってください:
1. Azure Active Directoryメニューで、「役割と管理者」をクリックします。
2. 次に、「役割と管理者」ページが開いたら、割り当ててアクセス許可をActive Directoryとグループに与えたいAzure AD役割をクリックします。役割を素早く見つけるには検索してください。
3. 役割の割り当てページで「割り当ての追加」をクリックします。このページには現在この役割に割り当てられているすべてのユーザーとグループがリストされています。
4. 「割り当ての追加」ページが開いたら、「選択されているメンバーなし」リンクをクリックします。最後に、「メンバーを選択」で、役割を割り当てたいすべてのユーザーとグループを選択して選択をクリックします。
フライアウトには役割の割り当てが可能なグループのみが表示されます。
ユーザーやグループを見つけるために検索機能を使用し、スクロールするのを避けてください。
3つの方法のうちの方法2:ユーザーインターフェースからAzure AD役割を割り当てる
ユーザーにAzure AD役割を割り当てる別の方法は、ユーザーのAzure Active Directoryポータルページを開くことです。以下は手順です:
1. Azure Active Directoryポータルで「ユーザー」メニューをクリックします。次に、ユーザーをクリックして選択します。
2. ユーザーが開いたら、「割り当てられた役割」をクリックし、次に「+ 割り当ての追加」をクリックします。
3. 次に、「選択するロール」ドロップダウンからユーザーが権限を継承するAzure ADロールを選択します。ロールを選択した後、次へをクリックしてください。
4. 最後に、特権アイデンティティ管理(PIM)ライセンスをお持ちの場合、最終ページに「割り当てタイプ」オプションが表示されます。PIM用に「最大許容可能な期間」オプションも利用可能です。
設定を選択し、「割り当て」をクリックしてください。
手法2/3: グループインターフェースからAzure ADロールを割り当てる
Azure ADロールをロール割り当て可能なグループに割り当てるには、以下の手順に従ってください。
1. Azure Active Directoryポータルで「グループ」をクリックしてください。
2. Azure ADはすべてのグループをリストします。ただし、この機能が有効になっているグループにのみロールを割り当てます。
したがって、ロール割り当てが有効になっているグループを表示するには、「表示の管理」をクリックし、「列の編集」を選択してください。
3. Columns flyoutで「Role assignments allowed」チェックボックスをオンにして、保存をクリックします。また、「Object Id」、「Membership type」、「Email」、「Source」のチェックを外して、列の数を減らすこともできます。
これらの列はデフォルトでチェックされています。ただし、「Role assignments allowed」列はデフォルトではチェックされていません。
4. グループがロール割り当て可能かどうかを表示するページを有効にした後、適切なグループを選択します。
この機能が作成時に有効にされていないグループを開くと、Azure ADのロールが表示されませんので、注意してください。
5. グループを開いたら、メニューで「Assigned roles」をクリックし、次に「Add assignments」をクリックします。
6. 「Select role」ドロップダウンからロールを選択し、次にクリックして、ロール割り当てオプションを選択して、割り当てをクリックします。
ダイナミックグループを介してAzure ADロールを割り当てる
Azure ADでは、ダイナミックグループを使用して、ユーザーに自動的にAzure ADロールを割り当てることができます。
ここでは、メンバーに自動的にロールを割り当てるダイナミックAzure ADグループを作成する手順が示されています。
1. Azure Active Directoryポータルのグループページで、「New group」をクリックします。
2. 「新しいグループ」ページが開いたら、グループに名前を付け、「メンバーシップの種類」ドロップダウンから動的割り当てタイプを選択します。「動的ユーザー」または「動的デバイス」を選択すると、「動的クエリを追加」リンクが表示されます。
「Azure AD ロールを割り当てることができる」スイッチをオンにすることを確認してください。
3. 「動的クエリを追加」リンクをクリックして、グループに自動的にユーザーを追加する動的クエリを作成します。
4. 「動的メンバーシップルール」ページが開いたら、「編集」をクリックし、クエリを作成します。グループメンバーシップの動的クエリを作成する方法を学びます。
5. 「ルール構文の編集」フライアウトで、ルールを入力し、OK をクリックします。次に、動的メンバーシップクエリ ページで、[保存] をクリックします。
I built a simple rule that adds users to my group by user’s department.
6. 最後に、「新しいグループ」ページの設定を確認し、作成をクリックします。
動的ルールが機能していることを確認するには、グループを開き、「メンバー」メニューをクリックします。ルールが正しく、ユーザーの一部が基準を満たしている場合、彼らはグループメンバーとして動的に追加されるはずです。
動的グループを作成した後、Azure AD ロールをグループに割り当てます。これらの手順の後、グループに動的に追加されるすべてのユーザーは、自動的にグループに割り当てられたロールの権限を継承します。
また、以下をご覧くださいAzure AD 特権アイデンティティ管理:特権アカウントの管理と監視
Azure AD ロールと権限:ユーザーとグループにロールを割り当てて管理する 結論
この記事では、Azure AD ロールと権限の基本的な側面について探究しました。具体的には、効果的にロールをユーザーやグループに割り当てる方法に焦点を当てています。
Azure AD ユーザー、グループ、およびグループのメンバーシップの概念を説明し、役割の割り当てにおけるそれらの重要性を強調しました。また、Azure Active Directory におけるロールと権限のフレームワークを検討しました。
記事では、Azure AD ロールとグループ権限の関係を強調しています。
さらに、Azure AD ロールをユーザーやグループに割り当てるための 3 つの方法を紹介しました。方法 1 は「ロールと管理者」インターフェースを使用するものであり、方法 2 はユーザーとグループのインターフェースからロールを割り当てるものです。
また、ユーザーにAzure ADロールを割り当てるための方法として、ダイナミックグループメンバーシップを使用することも検討しました。
これらの方法を理解し、Azure ADの機能を活用することで、管理者は組織内のユーザーやグループに適切なアクセスと権限を効率的に割り当て、管理できます。ユーザー。
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/