Azure のルート管理グループのグループ名を変更してみた

Azure のルート管理グループのグループ名を変更してみた

#Microsoft Azure
yhana

yhana

facebook logohatena logotwitter logo
Clock Icon2025.03.12

Azure の管理グループにおけるルート管理グループはデフォルトで「Tenant Root Group」という名前が付与されています。今回は、この名前を変更してみます。前提として Microsoft 顧客契約(Microsoft Customer Agreement)の環境で試しています。

Entra ID のグローバル管理者ロールを持つユーザーから、ルート管理グループへのロールの割り当てができる権限に昇格することができます。本ブログではその権限を利用して、管理グループ共同作成者ロールを割り当ててグループ名の変更をします。昇格した権限は強い権限となるため、必要な作業が実施した後は、昇格を取り消すことが推奨されます。

次の Microsoft Learn にルート管理グループを操作できる権限への昇格方法が記載されています。本ドキュメントの内容を参考にしています。

ルート管理グループの名前を変更

Entra ID のグローバル管理者から権限を昇格して、ルート管理グループのグループ名を変更する一連の流れを試してみます。

権限の昇格

Entra ID ロールの「グローバル管理者」が割り当てられているユーザーから管理グループのルートをスコープとした権限に昇格できます。昇格前では、ルート管理グループである「Tenant Root Group」は非活性となっており、選択できない状態です。

rename-root-management-group-19

権限昇格のために「グローバル管理者」でサインインした後に、Microsoft Entra ID から「管理」→「プロパティ」を選択します。

rename-root-management-group-18

「このテナント内のすべての Azure サブスクリプションおよび管理グループへのアクセスを管理できます。」を「はい」に変更して「保存」します。これでサインインしているユーザーの権限が昇格されます。

rename-root-management-group-17

一度、サインアウトして再度サインインします。

管理グループ画面を確認したところ、「Tenant Root Group」は活性化されており、選択できるようになりました。

rename-root-management-group-16

「Tenant Root Group」を選択後、まずはロール割り当てを確認します。昇格したユーザー(Admin という名前のユーザー)に「ユーザー アクセス管理者」が割り当てられていることが確認できます。また、画面上部に昇格された権限を持っているユーザーがいるためロール割り当てを削除する必要があるとの警告がでていることも確認できます。

rename-root-management-group-4

管理グループ共同作成者ロールの割り当て

ユーザー アクセス管理者(User Access Administrator)ロールでは、グループ名の変更はできないため、管理グループ共同作成者ロールの割り当てを追加します。参考までに、管理グループを操作できるロールは下表となります。

rename-root-management-group-9

引用元:管理グループを使用してリソースを整理する - Azure Governance - Azure governance | Microsoft Learn

管理グループ共同作成者ロールの割り当てのために、Tenant Root Group のアクセス制御(IAM)画面において「追加」→「ロールの割り当ての追加」を選択します。

rename-root-management-group-12

「管理グループ共同作成者」ロールを選択します。

rename-root-management-group-11

権限昇格しているユーザーと同じユーザーを選択します。

rename-root-management-group-10

最後にレビューを確認して割り当てを実行します。下図は割り当て後の画面です。

rename-root-management-group-8

ルート管理グループのグループ名の変更

管理グループ共同作成者ロールの割り当て後に、管理グループ名を変更するために「グループ名の変更」を選択します。

rename-root-management-group-15

単純に「Root」という名前に変更して「保存」します。

rename-root-management-group-14

これで変更完了です。

rename-root-management-group-7

管理グループ共同作成者ロールの割り当て削除

実施したい作業は完了したため、管理グループ共同作成者ロールの割り当て削除と昇格した権限の取り消しをします。

まずは、管理グループ共同作成者ロールの割り当て削除です。ルート管理グループの「アクセス制御(IAM)」画面を遷移して、「Role assignments」タブを選択します。

rename-root-management-group-6

管理グループ共同作成者ロール欄のユーザー名を選択して「削除」を実行します。

rename-root-management-group-5

管理グループ共同作成者ロールの割り当て削除は完了です。

rename-root-management-group-13

権限の昇格の取り消し

次に、昇格した権限の取り消しのために Microsoft Entra ID の画面から昇格時と同様に「管理」→「プロパティ」を選択します。

昇格時に「はい」に変更した箇所を「いいえ」に戻します。その後「保存」します。この際、昇格後に一度もサインアウトしていないとエラーになることがあります。

rename-root-management-group-3

「いいえ」に変更されていることを確認できれば作業完了です。

rename-root-management-group-2

管理グループ画面を確認したところ、ルート管理グループが再び非活性になっていることも確認できました。

rename-root-management-group-1

以上で、ルート管理グループのグループ名変更作業は終わりです。

さいごに

Azure のルート管理グループの名前を変更できることを最近知ったため試してみました。作業内容自体はほとんどドキュメントの通りなのですが、実際に変更作業をしてみることで管理グループに関するロールへの理解を深めることができた点がよかったです。

以上、このブログがどなたかのご参考になれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

Azure Pipelines を使用してAzure App Service にアプリケーションをデプロイしてみた

Azure Pipelines を使用してAzure App Service にアプリケーションをデプロイしてみた

User avatar
神野 雄大
2025.03.12
Microsoft 顧客契約の環境において指定した管理グループにサブスクリプションを追加してみた

Microsoft 顧客契約の環境において指定した管理グループにサブスクリプションを追加してみた

User avatar
yhana
2025.03.10
Azure Load Testing で想定外の料金発生を防ぐために使用制限機能を設定する

Azure Load Testing で想定外の料金発生を防ぐために使用制限機能を設定する

User avatar
いわさ
2025.03.10
Azure Load Testing のスケジュール実行機能で設定可能な一番短いスパンでスケジュールされたロードテストを実行してみた

Azure Load Testing のスケジュール実行機能で設定可能な一番短いスパンでスケジュールされたロードテストを実行してみた

User avatar
いわさ
2025.03.09
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.