グローバル管理者なのにAzureサブスクリプションが表示されない場合の対処方法
よくあるお問い合わせ
「Microsoft Entra ID のグローバル管理者(全体管理者)アカウントでサインインしているのに、初回に発行された Azure サブスクリプションが Azure ポータルに表示されない」というお問い合わせを多くいただきます。
これは不具合ではなく、Azure の権限設計上の仕様です。
なぜ表示されないのか
Microsoft Entra ID(旧 Azure AD)と Azure リソースは、それぞれ独立してセキュリティが管理されています。そのため、Microsoft Entra ID 側で「グローバル管理者」ロールを持っていても、それだけでは Azure サブスクリプションや管理グループといったリソースへのアクセス権が自動的に付与されるわけではありません。
結果として、グローバル管理者であっても、自分にロールが割り当てられていないサブスクリプションは表示・管理できず、「初回発行のサブスクリプションが見当たらない」という状態になります。
対処方法:グローバル管理者自身のアクセス権を昇格する
この場合、まずグローバル管理者ユーザー自身がアクセス権の昇格を行う必要があります。昇格すると、ルートスコープ( / )で「ユーザー アクセス管理者」ロールが割り当てられ、テナント内のすべてのサブスクリプションと管理グループを表示・管理できるようになります。
手順(Azure ポータル)
- グローバル管理者として Azure ポータルにサインインします。
(Privileged Identity Management をご利用の場合は、先に全体管理者ロールの割り当てをアクティブ化してください) - [Microsoft Entra ID] →[管理] →[プロパティ] の順に開きます。
- [Azure リソースのアクセス管理] のトグルを [はい] に切り替えます。
- [保存] を選択します。
- 一度サインアウトし、再度サインインするとアクセス権が更新されます。
この設定は現在サインインしているユーザー個人にのみ適用されます。全体管理者ロールのメンバー全員にまとめて昇格を適用することはできません。
これで、対象のサブスクリプションを含むテナント内のすべてのサブスクリプション・管理グループが表示され、必要なロールの割り当てなどが行えるようになります。
【重要】作業後はアクセス権を元に戻してください
昇格したアクセス権は強力なため、必要な作業(サブスクリプションの確認やロールの割り当てなど)が完了したら、速やかに元に戻すことを推奨します。最小限の特権を維持することが、セキュリティ上のベストプラクティスです。
- [Microsoft Entra ID] →[管理] →[プロパティ] を開く
- [Azure リソースのアクセス管理] のトグルを [いいえ] に戻す
※この設定はユーザー個別の設定のため、昇格に使用したユーザー本人でサインインして戻す必要があります。