🐈

Azure ADロールのグループ割り当てがGAされました。けど…

2021/08/26に公開

はじめに

以前書いたこちらの記事で、Azure ADロール(Azureロールも)は個別のアカウントに対して付与するのではなく、グループに対して付与しましょう…ということを推奨しました。
https://zenn.dev/tomot/articles/7ddeb902e8f426

「グループに対するAzureADロールの付与」はプレビュー機能なので、プレビュー機能なんて不安で使えないよ、という場合は一旦諦めて、個別ユーザーに対して権限を付与します。なお、このプレビュー機能は「グループ作成時」に有効にしておかないと後から有効に出来ないので注意が必要です。

ただし、記事記載時点(2021/4)では、グループに対するAzure ADロールの割り当てはプレビュー機能であったのですが、どうやらGAされたようでしたので改めて試してみました。

GA情報

こちらの公式のBlogに記載がありました。
https://techcommunity.microsoft.com/t5/azure-active-directory-identity/introducing-diagnostic-settings-for-identity-protection-august/ba-p/2464365

Assigning roles to Azure AD groups is now easier in Azure AD. Instead of having to assign roles to individual users, a privileged role administrator or global administrator can assign a role to a group. Your existing governance workflow then approves and audits group membership to ensure that only legitimate users are members. This role assignment capability is now generally available.

利用条件

下記ドキュメントに記載されている通り、この機能を使うためにはいくつか条件があります。
日本語版は英語版より更新日時が古いようですが、基本的な条件などの記載には差異はなさそうです。
https://docs.microsoft.com/ja-jp/azure/active-directory/roles/groups-create-eligible

  • Azure AD Premium P1 または P2 ライセンス
  • 特権ロール管理者またはグローバル管理者
  • PowerShell を使用する場合の AzureADPreview モジュール
  • Microsoft Graph API の Graph エクスプローラーを使用する場合の管理者の同意

Azureポータルから利用する分には、条件の上2つのみが関係します。実際、P1/P2ライセンスを所持していない環境で試してみたところ、当該機能は使えず「グループに Azure AD ロールを割り当てることができる」という選択肢は出てきませんでした。

やってみる

論より証拠、やってみます。「グループにAzure ADロールを割り当て」るためには、グループ作成時に機能を有効化しておく必要があります。「利用条件」に当てはまらない環境では、グループ作成画面は↓の通りですが
利用条件を満たすと下記の選択肢が出現し、グループにAzure ADロールを割り当てられるようになります。

グループ作成と同時にロールも指定可能なので、なかなか便利になっていますね。

これにより、いちいちAzure ADロールを個別のユーザーアカウントに割り当てることなく、グループにまとめて管理することができるようになります。

注意点

以前の記事にも書いていたのですが、「グループにAzure ADロールを割り当て」可能にするための選択肢は、グループ作成時にしか変更することができません。うっかりOffのまま作成してしまうと、作成後にグループのプロパティをみても下記の通りグレーアウトされ変更できない状態になってしまっています。

これ、てっきりプレビュー機能時代の制約かと思いましたが…GAされてもこの制約は変わらないようです。つまり、既存のグループで運用してしまっている方は、改めてグループを作成し直してユーザーを移行しないといけないということです…。ぜひとも何とかしてほしいものですね。

おわりに

ユーザーごとではなくグループ単位で権限を割り当てて管理しましょう、というのがベストプラクティスです…と言い張ってましたが、このAzure ADロール×グループに限って言えばプレビュー機能だったため手放しにはオススメできませんでした。今回のGAにより、使わない手は無くなったと思いますので、管理負荷軽減のためにもぜひ利用しましょう。
既存のグループを使ってしまっているユーザーは…うん。新しく作るグループから、この機能を利用しましょう。

Discussion