こんにちは、Aireです。
今回は、Azure ADユーザがルート管理グループ(Tenant Root Group)のアクセス権を取得する方法を紹介します。
目次
ルート管理グループ(Tenant Root Group)とは
Azure ADディレクトリに存在する最上位の管理グループです。全ての管理グループとサブスクリプションはルート管理グループにまとめられるため、Azure AD単位でポリシーやロールを割り当てることができます。
デフォルトで全てのユーザは、ルート管理グループにアクセスすることができません。Azure ADのグローバル管理者が自身のアクセス権を昇格させることで、ルート管理グループへのアクセス権を取得できます。
ルート管理グループのアクセス権を取得してできること
Azure ADユーザがルート管理グループのアクセス権を取得すると、ルート(/)スコープでユーザーアクセス管理者ロールが割り当てられ、以下のようなことが可能になります。
- 全ての管理グループ、サブスクリプションを表示する
- 自身または他のAzure ADユーザに全ての管理グループ、サブスクリプションへのアクセスを許可する
- アプリケーションから全ての管理グループ、サブスクリプションへのアクセスを許可する
ルート管理グループのアクセス権を取得する
以下、Azure PortalまたはAzure CLIを使用してグローバル管理者のアクセス権を昇格し、ルート管理グループのアクセス権を取得する手順を記載します。
- Azure Portalにグローバル管理者でサインインします。
- AzureサービスからAzure Active Directoryを選択または検索します。
- [管理]-[プロパティ]をクリックします。
- [Azureリソースのアクセス管理]から[はい]を選択し、[保存]をクリックします。
- 管理グループに移動すると、ルート管理グループ(Tenant Root Group)にアクセスできるようになっています。
- ルート管理グループの[アクセス制御(IAM)]から、ユーザーアクセス管理者ロールが割り当てられていることが確認できます。
- 目的の設定変更が完了したら手順の4に戻り、[Azureリソースのアクセス管理]から[いいえ]を選択します。
あわせて読みたい
Azure のすべてのサブスクリプションと管理グループを管理する目的でアクセス権限を昇格させる
Azure portal または REST API を使用し、Microsoft Entra ID ですべてのサブスクリプションと管理グループを管理する全体管理者のアクセス権を昇格させる方法について説明…
以上、ここまで
