Entra ロール、Azureロールを付与するために必要な最も権限の低いロール

あるユーザ(ユーザAとする)に、他のユーザへロールを付与する業務を任せたい場合、他のユーザへロールを付与するための最も権限の低いロールは何でしょうか。

ユーザAは、他のユーザにAzureロール(閲覧者など)、Entraロール(ディレクトリ閲覧者など)を付与できるようにしたいです状況です。

Azureロールを付与するために必要な最も権限の低いロール

以下のAzure ロールとなります。

ロール ベースのアクセスの制御の管理者(Azure Portal上 「Role Based Access Control Administrator」と表記されている場合があります)

補足

Azure のリソースに対するロールの割り当て・削除を行うには、以下のアクセス許可が必要になります。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Microsoft.Authorization/* と指定した場合、上記のアクセス許可も含まれます。

所有者、ロール ベースのアクセスの制御の管理者、ユーザーアクセス管理者のロールをご利用いただくことで、Azure RBAC でロールを割り当てることが可能となりますが、最小特権ロールとしてはロール ベースのアクセスの制御の管理者が該当します。

各ロールの詳細については、必要に応じて以下をご参照ください。

公開情報

一般向けの Azure 組み込みロール

https://learn.microsoft.com/ja-jp/azure/role-based-access-control/built-in-roles/general

「ロール ベースのアクセスの制御の管理者」は、所有者ロール(「ロール ベースのアクセスの制御の管理者」よりも強力)を他のユーザ(自分含む)に付与できてしまうのか

「ロール ベースのアクセスの制御の管理者」ロールを付与する際の設定に依存します(ロール割り当て時に条件を指定することで、制限が可能になります)。

アクセス許可を委任するユーザーに対し、ロールが利用できる条件を細かく指定するものとなり、例えば以下のような制御が可能です。

  • AcrPull と AcrPush ロールは付与してもよいが、その他のロールは他のユーザーに付与できない
  • ユーザーやグループに対してはロールを付与できないが、サービス プリンシパルになら付与できる

例えば、上記の条件を追加して [ロール ベースのアクセスの制御の管理者] のロールを割り当てた場合、該当ユーザーは他のユーザーに対して “所有者", “ユーザー アクセス管理者", “ロール ベースのアクセスの制御の管理者" のロール割り当てを追加・削除することができないようになります。

条件を指定した RBAC の割り当てについて、以下の公開情報に詳細記載されています。

https://learn.microsoft.com/ja-jp/azure/role-based-access-control/delegate-role-assignments-portal?tabs=template

Entra ロールを付与するために必要な最も権限の低いロール

以下のEntra ロールとなります。

特権ロール管理者

補足

他のユーザーに Entra ロールを割り当てることができるロールとしては、特権ロール管理者、グローバル管理者が該当します。

最小特権ロールとしては、特権ロール管理者が該当します。

特権ロール管理者は、グローバル管理者(特権ロール管理者よりも強力)を他のユーザ(自分含む)に付与できてしまうのか

特権ロール管理者ロールが割り当てられていれば、グローバル管理者を含むどのようなロールでも割り当て可能となってしまいます(制限する方法もありません)

Entra

Posted by mitsuru