Microsoft Entra ID (Azure AD) の「制限付き管理単位」
はじめに
先日、Entra ID(Azure AD)の「制限付き管理単位」という機能がpreviewになりました。
面白そうな機能なのですが、説明文だけだと今までの(制限なしの)「管理単位」とどう違うのか読み取りづらかったので、確認してみました。
機能説明
作り方や設定方法は、リンクになっている公式ドキュメントご確認ください。
管理単位
スコープを絞って管理を委任するときに使う機能です。ユーザーやグループ、デバイスを入れた「管理単位」を作成し、その「管理単位」をスコープとしたAzureADロールを設定できるようになります。
部署や地域ごとに「管理単位」をわけ、その単位ごとに管理者を設定する場合使う場面を想定しているようです。
制限付き管理単位
基本的には(制限なしの)管理単位と同じなのですが、上位(AzureADのテナントスコープ)で設定されたAzureADロールの権限が継承されなくなるという特徴があります。
すなわち、AzureADの全体管理者(グローバル管理者)であっても、明示的に「制限付き管理単位」の管理者権限を付与しなければ、制限付き管理単位の要素(グループやユーザー)の管理ができなくなるわけです。
違いを図示してみる
以上の違いを図示してみます。
管理単位
AzureADテナントの「グローバル管理者」の立場で見ると、管理を委任している「管理単位A」や「管理単位B」の中身も、グローバル管理者の権限で管理できます。(青い範囲が管理できます)
制限付き管理単位
同じくAzureADテナントの「グローバル管理者」の立場で見ると、管理を委任している「制限付き管理単位A」や「制限付き管理単位B」の中身は、グローバル管理者の権限が継承されていないため管理できません。(青い範囲のみ、管理できます)
オレンジの範囲はAの管理者が、緑の範囲はBの管理者がそれぞれ管理することになります。
もっとも、グローバル管理者は「制限付き管理単位」の管理ができるので、自分に対して「制限付き管理単位AやB」の管理ロールを付けてしまえば、中身を弄れるようになりますのでその点は注意が必要です。
試してみる
「制限付き管理単位」にグループを所属させ、グローバル管理者を使って中のメンバーを追加してみます。
すると…たしかに、権限不足でエラーとなりました。
使い道を考えてみる
Azure、AzureADの世界では基本的に権限が継承され、下位の階層で拒否することはできません。しかし現実には、「IT部門のメンバーが全体の管理はしているけど、人事部や財務部の範囲は触らせたくない」みたいな要件が散見されます。
こういう場合は、IT部門の権限を全体に付与することができず、個別に「営業部門の権限付けて、広報部門の権限付けて、総務の権限を付けて…」ととてつもなくメンドウクサイ管理作業が必要でした。
しかし「制限付き管理単位」を使えば、特定部門の管理権限を特定の人のみに渡すことができ、上記のような設定を無くしシンプルにすることができます。設定ミスによる思わぬ情報公開も避けることができ、とても便利ですね。
おわりに
プレビューになった「制限付き管理単位」機能を確認しました。今までの管理単位に加えて、権限の継承を拒否することができるようになり、より柔軟に権限設計を行うことが出来るようになっています。早くGAされ、普通に使えるようになる世界が望まれます!
Discussion