編集

ユーザーを作成、招待、削除する方法

  • 操作方法

Microsoft Entra ID では、テナントにいくつかの種類のユーザーを作成できます。これにより、組織のユーザーをより柔軟に管理することができます。

この記事では、従業員テナント内で新しいユーザーの作成、外部ゲストの招待、ユーザーの削除を行う方法について説明します。 Microsoft Entra 外部 ID シナリオの外部テナントでのユーザーの作成に関する情報も含まれています。

Note

個人データの表示または削除については、GDPR の Windows データ主体要求に関するページで Microsoft のガイダンスをご確認ください。 GDPR に関する一般情報については、Microsoft Trust Center の GDPR に関するセクションおよび Service Trust Portal の GDPR に関するセクションをご覧ください。

ユーザーの種類

新しいユーザーを作成または招待する前に、少し時間をかけて、Microsoft Entra 従業員テナント内のユーザーの種類、認証方法、アクセス権を確認します。 たとえば、内部ゲスト、内部ユーザー、外部ゲストを作成する必要がありますか。 新しいユーザーにはゲストまたはメンバーの特権が必要でしょうか。

従業員テナントのユーザー

Microsoft Entra 従業員テナントには、次のユーザーの種類があります。

  • 内部メンバー: これらのユーザーはほとんどの場合、組織内の常勤従業員です。
  • 内部ゲスト: これらのユーザーは、ご使用のテナント内にアカウントがありますが、ゲスト レベルの特権を持っています。 これらは B2B コラボレーションが利用できるようになる前にテナント内で作成された可能性があります。
  • 外部メンバー: これらのユーザーは外部アカウントを使用して認証しますが、ご使用のテナントへのメンバー アクセス権を持ちます。 これらの種類のユーザーは、マルチテナント組織で一般的です。
  • 外部ゲスト: これらのユーザーは、外部の方法を使って認証し、ゲスト レベルの特権を持つ、ご使用のテナントにとって本当のゲストです。

内部および外部のゲストとメンバーの違いの詳細については、B2B コラボレーションのプロパティに関する記事を参照してください。

認証方法は、作成するユーザーの種類によって異なります。 内部ゲストと内部メンバーは、管理者によって管理できるご使用の Microsoft Entra テナント内に資格情報があります。 これらのユーザーは、自分のパスワードをリセットすることもできます。 外部メンバーは、自分のホームの Microsoft Entra テナントに対して認証を行います。ご使用の Microsoft Entra テナントでは、外部メンバーの Microsoft Entra テナントとのフェデレーション サインインを通じてユーザーが認証されます。 外部メンバーがパスワードを忘れた場合、そのメンバーの Microsoft Entra テナントの管理者がパスワードをリセットできます。 外部ゲストは、自分のアカウントが作成されるときにメールで受信するリンクを使って自分のパスワードを設定します。

作成する必要があるユーザーの種類を決定するときに、既定のユーザー アクセス許可を確認すると役立つこともあります。 詳細については、既定のユーザー アクセス許可の設定に関する記事を参照してください。

外部テナントのユーザー

"外部" 構成の Microsoft Entra テナントは、Microsoft Entra 外部 ID シナリオにのみ使用されます。 外部テナントには、次のユーザーの種類を含めることができます。

  • 内部ユーザー: これらのユーザーは内部で認証され、通常は外部テナントで Microsoft Entra ロールが割り当てられている管理者です。
  • 外部ユーザー: これらのユーザーは、外部テナントに登録されているアプリのコンシューマーおよびビジネス ユーザーです。 既定のユーザー特権があるローカル アカウントを持っていますが、外部で認証されます。 新しい外部ユーザーを作成する方法を参照してください。
  • 外部ゲスト: これらのユーザーは、独自の外部資格情報を使用してサインインし、通常は外部テナントで Microsoft Entra ロールが割り当てられている管理者です。

詳細については、外部テナントの既定のユーザー アクセス許可に関するページを参照してください。

前提条件

必要な最小特権のロールは、追加するユーザーの種類と、Microsoft Entra ロールを同時に割り当てる必要があるかどうかによって変わります。 グローバル管理者 はユーザーを作成してロールを割り当てることができますが、可能な限り最小特権ロールを使用する必要があります。

タスク 役割
新しいユーザーを作成する ユーザー管理者
外部ゲストを招待する ゲスト招待元
Microsoft Entra ロールを割り当てる 特権ロール管理者

新しいユーザーを作成する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。

  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

    Microsoft Entra ID の [すべてのユーザー] ページのスクリーンショット。

  3. [新しいユーザー]>[新しいユーザーの作成] を選択します。

    Microsoft Entra ID の [新しいユーザーの作成] メニューのスクリーンショット。

  4. [新しいユーザー] ページの残りのタブへの入力を完了させます。

    基本

    [基本] タブには、新しいユーザーを作成するために必要なコア フィールドが含まれています。 開始する前に、ユーザー名プロパティに関するガイダンスを確認してください

    • [ユーザー プリンシパル名]: 一意のユーザー名を入力し、@ 記号の後のメニューからドメインを選択します。 新しいドメインを作成する必要がある場合は、[Domain not listed] (ドメインが一覧表示されない) を選択します。 詳細については、カスタム ドメイン名の追加に関する記事をご覧ください。
    • [メール ニックネーム]: 入力したユーザー プリンシパル名とは異なるメール ニックネームを入力する必要がある場合は、[Derive from user principal name] (ユーザー プリンシパル名から派生する) オプションをオフにし、メール ニックネームを入力します。
    • [表示名]: Chris Green や Chris A. Green などのユーザーの名前を入力します。
    • [パスワード]: ユーザーが最初のサインイン時に使用するパスワードを指定します。 別のパスワードを入力するには、[パスワードの自動生成] オプションをオフにします。
    • [有効なアカウント]: このオプションは既定でオンになっています。 新しいユーザーがサインインできないようにするには、これをオフにします。 この設定は、ユーザーの作成後に変更できます。 この設定は、従来のユーザー作成プロセスではサインインのブロック と呼ばれていました。

    [確認と作成] ボタンを選んで新しいユーザーを作成するか、[次へ: プロパティ] を選んで次のセクションを完了します。

    [新しいユーザーの作成] の [基本] タブのスクリーンショット。

    [確認と作成] ボタンを選んで新しいユーザーを作成するか、[次へ: プロパティ] を選んで次のセクションを完了します。

    プロパティ

    指定できるユーザー プロパティには、6 つのカテゴリがあります。 これらのプロパティは、ユーザーの作成後に追加または更新できます。 これらの詳細を管理するには、[ID]>[ユーザー]>[すべてのユーザー] に移動し、更新するユーザーを選択します。

    • [ID]: ユーザーの姓と名を入力します。 [ユーザーの種類] を [メンバー] または [ゲスト] に設定します。
    • ジョブ情報: ユーザーの役職、部署またはマネージャーなど、仕事に関係する任意の情報を追加します。
    • [連絡先情報]: ユーザーに関係する任意の連絡先情報を追加します。
    • 保護者による制限: K-12 学区などの組織では、ユーザーの年齢グループを指定する必要がある場合があります。 "年少者" は12歳以下、"未成年" は 13 から 18歳、"大人" は 18 歳より上です。 年齢グループと親オプションによって提供される同意の組み合わせによって、法的年齢グループの分類が決まります。 法的年齢グループの分類により、ユーザーのアクセス権と権限が制限される場合があります。
    • [設定]: ユーザーのグローバルな場所を指定します。

    [確認と作成] ボタンを選んで新しいユーザーを作成するか、[次へ: 割り当て] を選んで次のセクションを完了します。

    代入

    アカウントの作成時に、ユーザーを管理単位、グループ、または Microsoft Entra ロールに割り当てることができます。 ユーザーを最大 20 のグループまたはロールに割り当てることができます。 ユーザーは 1 つの管理単位にのみ割り当てることができます。 ユーザーの作成後に割り当てを追加できます。

    新しいユーザーにグループを割り当てるには:

    1. [+ グループの追加] を選択します。
    2. 表示されるメニューの一覧から最大 20 個のグループを選択し、[選択] ボタンを選択します。
    3. [確認および作成] ボタンを選択します。

    グループ割り当ての追加プロセスのスクリーンショット。

    新しいユーザーにロールを割り当てるには:

    1. [+ ロールの追加] を選択します。
    2. 表示されるメニューの一覧から最大 20 個のロールを選択し、[選択] ボタンを選択します。
    3. [確認および作成] ボタンを選択します。

    新しいユーザーに管理単位を追加するには:

    1. [+ 管理単位の追加] を選択します。
    2. 表示されるメニューの一覧から 1 つの管理単位を選択し、[選択] ボタンを選択します。
    3. [確認および作成] ボタンを選択します。

    確認と作成

    最後のタブでは、ユーザー作成プロセスからいくつかの重要な詳細がキャプチャされます。 詳細を確認し、すべて問題がなければ [作成] ボタンを選択します。

新しい外部ユーザーを作成する

重要

これらの手順は、Microsoft Entra 外部 ID 外部テナントにのみ適用されます。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。

  2. 外部テナントにサインインしていることを確認します。 上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。

  3. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

  4. [新しいユーザー]>[新しい外部ユーザーの作成] の順に選択します。

    Microsoft Entra ID の [新しい外部ユーザーの作成] メニューのスクリーンショット。

  5. [新しいユーザーの作成] ページで、この記事で前述したように [基本] タブに入力しますが、次のバリエーションがあります。

    • ユーザー プリンシパル名とメール ニックネームの代わりに、サインイン用のユーザーのメール アドレスを指定します。 [ID] の横にある [サインイン方法] で、[メール アドレス] を選択します。 [値] で、ユーザーのメール アドレスを入力します。
    • ユーザーに複数のメール アドレスを追加するには、[追加] ボタンを選択します。

  6. (省略可能) [次へ: プロパティ] を選択します。 この記事で前述したように、[プロパティ] タブに入力しますが、次のバリエーションに注意してください。

    • [ID] セクションの [ユーザーの種類] 設定は外部ユーザーには影響せず、既定の [メンバー] 設定のままにしておくことができます。
    • [認可情報] フィールドは外部ユーザーには使用できません。
    • [ジョブ情報] では、従業員とマネージャーに関連する情報は外部ユーザーには使用できません。

  7. (省略可能) [次へ: 割り当て] を選択します。 この記事で前述したように、[割り当て] タブに入力しますが、[管理単位の追加][ロールの追加] オプションは外部ユーザーには使用できないことに注意してください。

  8. [確認と作成] を選択して、新しいユーザーを作成します。

外部ユーザーを招待する

外部ゲスト ユーザーを招待するための全体的なプロセスは同様ですが、[基本] タブと電子メールの招待プロセスのいくつかの詳細については異なります。 外部ユーザーを管理単位に割り当てることはできません。

Note

この機能は、従業員と外部の両方のテナントに適用されますが、現在、外部テナントではプレビュー段階です。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。

  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

  3. [新しいユーザー]>[外部ユーザーの招待] を選択します。

    [外部ユーザーの招待] メニュー オプションのスクリーンショット。

  4. [新しいユーザー] ページで残りのタブを完了します (以下を参照)。

    外部ユーザーについての基本事項

    このセクションでは、"ゲストのメール アドレス" を使ってゲストをテナントに招待します。 ドメイン アカウントを使ってゲスト ユーザーを作成する必要がある場合は、新しいユーザーの作成プロセスを使用しますが、[ユーザーの種類][ゲスト] に変更します。

    • [Email] (メール): 招待するゲスト ユーザーのメール アドレスを入力します。
    • [表示名]: 表示名を指定します。
    • [招待メッセージ]: ゲストへの簡単なメッセージをカスタマイズするには、[招待メッセージの送信] チェック ボックスをオンにします。 必要に応じて CC 受信者を指定します。

    [外部ユーザーの招待] の [基本] タブのスクリーンショット。

    ゲスト ユーザーの招待

    招待メールを送信して外部ゲスト ユーザーを招待したとき、ユーザーの詳細から招待の状態をチェックできます。

    1. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
    2. 招待されたゲスト ユーザーを選択します。
    3. [マイ フィード] セクションで、[B2B コラボレーション] タイルを見つけます。
      • 招待の状態が PendingAcceptance の場合は、[招待の再送信] リンクを選んで別のメールを送信します。
      • ユーザーの [プロパティ] を選んで [招待の状態] を表示することもできます。

    招待の状態オプションが強調表示されているユーザーの詳細のスクリーンショット。

    他のユーザーを追加する

    Azure Active Directory B2C (Azure AD B2C) ディレクトリにコンシューマー アカウントを手動で作成することが必要になるシナリオも考えられます。 コンシューマー アカウントの作成について詳しくは、Azure AD B2C でコンシューマー ユーザーを作成および削除することに関する記事をご覧ください。

    Microsoft Entra ID (クラウド) と Windows Server Active Directory (オンプレミス) の両方の環境がある場合は、既存のユーザー アカウントのデータを同期することによって新しいユーザーを追加できます。 ハイブリッド環境とユーザーの詳細については、オンプレミスのディレクトリと Microsoft Entra ID の統合に関する記事を参照してください。

ユーザーの削除

Microsoft Entra 管理センターを使って既存のユーザーを削除できます。

  1. 組織内のユーザーを削除するには、グローバル管理者、特権認証管理者、またはユーザー管理者のロールが割り当てられている必要があります。

  2. グローバル管理者および特権認証管理者は、他の管理者を含むすべてのユーザーを削除できます。

  3. ユーザー管理者は、管理者以外のユーザー、ヘルプデスク管理者、その他のユーザー管理者を削除できます。

  4. 詳細については、Microsoft Entra ID での管理者ロールのアクセス許可に関する記事を参照してください。

    ユーザーを削除するには、次の手順に従います。

    1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
    2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
    3. 削除するユーザーを検索して選択します。
    4. [ユーザーの削除] を選択します。

    ユーザーが選択され、[削除] ボタンが強調表示されている [すべてのユーザー] ページのスクリーンショット。

    ユーザーが削除され、[すべてのユーザー] ページに表示されなくなります。 ユーザーは、削除後 30 日間は [削除済みのユーザー] ページに表示され、その期間内であれば復元できます。 ユーザーの復元の詳細については、Microsoft Entra ID を使用した最近削除されたユーザーの復元または削除に関するページを参照してください。

    ユーザーが削除されると、そのユーザーによって使用されていたライセンスは、他のユーザーが使用できるようになります。

    注意

    権限ソースが Windows Server Active Directory であるユーザーの ID、連絡先情報、または仕事情報を更新するには、Windows Server Active Directory を使用する必要があります。 更新を完了した後、次の同期サイクルが完了するのを待ってから変更を確認する必要があります。

関連するコンテンツ