ユーザーのプロファイル情報と設定を追加または更新する

  • [アーティクル]

ユーザーのプロファイル情報と設定の管理は、個別に行うことも、ディレクトリ内のすべてのユーザーについて行うこともできます。 これらの設定をまとめて見ると、アクセス許可、制限、その他の接続がどのように連携するかを確認できます。

この記事では、プロファイル画像やジョブ固有の情報など、ユーザー プロファイル情報を追加する方法について説明します。 また、ユーザーが自分の LinkedIn アカウントに接続することを許可したり、Azure AD 管理ポータルへのアクセスを制限したりすることもできます。 一部の設定は、Azure AD の複数の領域で管理できます。 新しいユーザーの追加方法については、Azure Active Directory でユーザーを追加または削除する方法に関するページをご覧ください。

ユーザー プロファイル情報の追加または変更

新しいユーザーが作成されるとき、ユーザー プロファイルに追加されるのは一部の詳細のみです。 組織でさらに詳細が必要な場合は、ユーザーの作成後に追加できます。

  1. 組織のユーザー管理者ロールで Azure portal にサインインします。

  2. [Azure Active Directory]>[ユーザー] に移動して、ユーザーを選びます。

  3. ユーザー プロファイルの詳細を編集するには、2 つの方法があります。 ページの上部から [プロパティの編集] を選ぶか、[プロパティ] を選びます。

    編集オプションが強調されている、選択されたユーザーの概要ページのスクリーンショット。

  4. 変更を行った後、[保存] ボタンを選びます。

[プロパティの編集] オプションを選んだ場合:

  • [すべて] カテゴリに、プロパティの完全な一覧が編集モードで表示されます。
  • カテゴリに基づいてプロパティを編集するには、ページの上部からカテゴリを選びます。
  • 変更を保存するには、ページの下部にある [保存] ボタンを選びます。

選択されたユーザーの詳細のスクリーンショット。詳細カテゴリと保存ボタンが強調されています。

[プロパティ] タブ オプションを選んだ場合:

  • プロパティの完全な一覧が確認用に表示されます。
  • プロパティを編集するには、カテゴリの見出しの横にある鉛筆アイコンを選びます。
  • 変更を保存するには、ページの下部にある [保存] ボタンを選びます。

編集オプションが強調されている [プロパティ] タブのスクリーンショット。

プロファイルのカテゴリ

編集できるプロファイルの詳細には、6 つのカテゴリがあります。

  • ID: 結婚後の姓など、ユーザーの他の ID 値を追加または更新します。 名と姓の値とは別に、この名前を設定することができます。 たとえば、イニシャル、会社名を含める場合や、表示される名前の順序を変更する場合に使用できます。 たとえば、"Chris Green" という同じ名前のユーザーが 2 人いる場合は、ID 文字列を使って名前を "Chris B. Green" と "Chris R. Green" に設定できます。

  • ジョブ情報: ユーザーの役職、部署またはマネージャーなど、仕事に関係する任意の情報を追加します。

  • 連絡先情報: ユーザーに関係する任意の連絡先情報を追加します。

  • 保護者による制限: K-12 学区などの組織では、ユーザーの年齢グループを指定する必要がある場合があります。 "年少者" は12歳以下、"未成年" は 13 から 18歳、"大人" は 18 歳より上です。 年齢グループと親オプションによって提供される同意の組み合わせによって、法的年齢グループの分類が決まります。 法的年齢グループの分類により、ユーザーのアクセス権と権限が制限される場合があります。

  • 設定: ユーザーが Azure Active Directory テナントにサインインできるかどうかを決定します。 ユーザーのグローバルな場所を指定することも可能です。

  • オンプレミス: Windows Server Active Directory から同期されるアカウントには、Azure AD アカウントには適用できない他の値が含まれます。

    注意

    権限ソースが Windows Server Active Directory であるユーザーの ID、連絡先情報、仕事情報を更新するには、Windows Server Active Directory を使用する必要があります。 次の同期のサイクルの完了を待機すると、更新の完了による変更が反映されています。

プロファイル画像を追加または編集する

ユーザーの概要ページで、ユーザーのサムネイルの右下隅にあるカメラ アイコンを選びます。 画像が追加されていない場合は、ユーザーのイニシャルがここに表示されます。 この画像は、Azure Active Directory と myapps.microsoft.com ページなどのユーザーの個人ページに表示されます。

行った変更はそのユーザー用に保存されます。

注意

ユーザーのプロファイル画像の更新で問題が発生する場合は、Office 365 Exchange Online Enterprise App が有効になっていてユーザーがサインインできることを確認してください。

すべてのユーザーの設定を管理する

Azure AD の [ユーザー設定] 領域では、Azure AD 管理ポータルへのアクセスの制限、外部コラボレーションの管理方法、LinkedIn アカウントに接続するオプションのユーザーへの提供など、すべてのユーザーに影響するいくつかの設定を調整できます。 一部の設定は Azure AD の別の領域で管理され、このページからリンクされています。

[Azure AD]>[ユーザー設定] に移動します。

[サインインの状態を維持しますか?] に関する詳細 prompt

ユーザーが正常にサインインすると、[サインインの状態を維持しますか?] プロンプトが表示されます。 このプロセスは、サインインしたままにする (KMSI) と呼ばれます。 ユーザーがこのプロンプトに [はい] と応答すると、KMSI サービスにより永続的な更新トークンが付与されます。 フェデレーション テナントの場合、このプロンプトは、ユーザーがフェデレーション ID サービスで正常に認証された後に表示されます。

次の図は、プロンプトで KMSI を使用するマネージド テナントとフェデレーション テナントのユーザー サインイン フローを示しています。 このフローにはスマート ロジックが含まれていて、機械学習システムによってリスクの高いサインインまたは共有デバイスからのサインインが検出されると、 [サインインの状態を維持しますか?] オプションは表示されなくなります。

KMSI 設定は、[ユーザー設定] で選択できます。 SharePoint Online と Office 2010 の一部の機能は、ユーザーがサインインしたままにすることを選択できるかどうかに依存します。 [サインインしたままにするオプションを表示する] オプションをオフにすると、サインイン プロセス中にユーザーにその他の予期しないプロンプトが表示される場合があります。

マネージド テナントとフェデレーション テナントのユーザー サインイン フローを示す図

"サインインしたままにする" (KMSI) オプションを構成するには、次のいずれかのライセンスが必要です。

  • Azure AD Premium 1
  • Azure AD Premium 2
  • Office 365 (Office アプリの場合)
  • Microsoft 365

[サインインの状態を維持しますか?] のトラブルシューティング issues

ユーザーが [サインインの状態を維持しますか?] プロンプトに応答せず、サインイン試行を破棄した場合、Azure AD の [サインイン] ページにサインイン ログ エントリが表示されます。 ユーザーに表示されるプロンプトは、"割り込み" と呼ばれます。

[サインインの状態を維持しますか?] プロンプトの例

Azure AD のサインイン ログで、サインイン エラーの詳細を確認できます。 一覧から影響を受けたユーザーを選択し、[基本情報] セクションで次の詳細を見つけます。

  • サインイン エラー コード: 50140
  • エラーの理由: ユーザーがサインインしたときの "サインインしたままにする" 割り込みによりエラーが発生しました。

ユーザーに割り込みが表示されないようにするには、ユーザー設定で [サインインしたままにするオプションを表示する] 設定を [いいえ] に設定します。 この設定により、Azure AD ディレクトリ内のすべてのユーザーに対して KMSI プロンプトが無効になります。

また、条件付きアクセスで永続的なブラウザー セッション制御を使用して、ユーザーに KMSI プロンプトが表示されないようにすることもできます。 このオプションを使用すると、選択したユーザー グループ (グローバル管理者など) に対して KMSI プロンプトを無効にできます。ディレクトリ内の他のすべてのユーザーのサインイン動作は影響を受けません。

ユーザーにベネフィットがある場合にのみ KMSI プロンプトが表示されるようにするには、次のような場合に意図的に KMSI プロンプトが表示されないようにします。

  • ユーザーがシームレス SSO と統合 Windows 認証 (IWA) を使用してサインインしている
  • ユーザーが Active Directory フェデレーション サービス (AD FS) と IWA を使用してサインインしている
  • ユーザーがテナントのゲストである
  • ユーザーのリスク スコアが高い
  • ユーザーまたは管理者の同意フロー中にサインインが発生する
  • 永続的なブラウザー セッション制御が条件付きアクセス ポリシーで構成されている

次のステップ