Microsoft 365 を利用している中でも特に Entra ID 周りなど Azure にアクセスしなくてはならないことが最近増えてきているのですが、 Azure も常日頃利用を行っていないとよくわからないですよね。

そういうわけで今回は Azure のサブスクリプションに対して権限を持ったユーザーを追加する方法を見ていきたいと思います。

まずは Azure ポータルからサブスクリプションを選択していきましょう。

このサブスクリプションは課金の単位となっていて、組織によってはこれがいくつもあるケースもあるので、権限を付けたい課金対象がどれか意識しておくようにしましょう。

イメージとしてはテナントの中にサブスクリプションがあり、その中で各種サービスが動作するというイメージでとらえればよいかと思います。

ただ、 Microsoft 365 の Entra ID のためだけに Azure を利用している場合、サブスクリプションが設定されていないケースもあるのでちょっとわかりにくいかもしれません。

https://portal.azure.com/#home

サブスクリプションを選んだら一覧が表示されます。

ユーザーを追加したい項目を選択していきます。

こんな画面に遷移するのでアクセス制御（ IAM ）を選びましょう。

IAM でユーザーの追加と権限の割り当てができるようになっているのですが、ここでは外部ユーザーの追加も可能になっていたりします。幅広くやれることを渡せるため、このユーザー決定は細心の注意を払って行うようにしてください。

追加ボタンを押すことで次の選択肢へ遷移します。

追加ボタンでは、ロールの割り当ての追加を選ぶと簡単です。

まず与えるロールの選択です。

職務ロールと特権管理ロールの2種が表示されます。

基本的には職務ロールを細かく分け与えるのが常道ですが、一部機能では特権管理ロールが必要になったりもするので、使う機能に記載された割り当て方を行っていきましょう。

今回はいろいろあって共同作成者ロールを選択します。

この権限は新たなユーザーにアクセス権を振ることはできないのですが、それ以外は大概のことができる危険なロールとなるので基本的には使わないようにしたいロールです。

選択すると上部のロールタブにあった赤い丸が消えます。

続いてメンバータブからメンバー選択を行っていきます。

メンバーを選択するリンクをクリックすることとで右ペインが出現します。

ここには UPN やメールアドレスを入力してあげることで新たなユーザーとなる人も表示されます。

選択して追加したらレビューと割り当てで最終確認です。

アクセス権が高いと注意マークで聞かれるので本当にあっているか再確認できます。

これで割り当ては完了です。

続いてアクセス権を得た人は Azure ポータルにサインインすれば以下のようにアクセス許可が求められます。

アクセス権を与えられたユーザーがアクセスしてよいか確認する。一見すると逆のことをやっているように見えますが、思いもしない権限が付いていないか確認するための手段となっています。

許諾したら MFA の設定ですね。

権限が高かったこともあり、 MFA が必須となっています。 14 日以内にアプリを入れて設定しましょう。

スマホアプリが入っていれば設定は簡単です。

最初にサインインを行い、、、

アクセス出来たらアプリとの紐づけです。ダウンロード出来たら次へ移動しましょう。

続いてアカウントのセットアップです。

Authenticator アプリで準備を行い、、、

QR コードを読み込ませます。

この辺り、スマホがあればこその機能ですね。

QR コードを読み込んだら最後に確認です。

確認に成功すればこれ以降 Azure ポータルで作業が行えるようになります！

ちょっと複雑な手順ですが、利用するケースは多いのでぜひ覚えておきましょう。

音楽：赤い金魚