Azure Active Directory の既定のユーザー アクセス許可とは
Azure Active Directory (Azure AD) では、すべてのユーザーに既定のアクセス許可のセットが付与されます。 ユーザーのアクセスは、ユーザーの種類、ユーザーのロールの割り当て、および個々のオブジェクトの所有権で構成されます。
この記事では、これらの既定のアクセス許可について説明し、メンバーとゲスト ユーザーの既定値を比較します。 既定のユーザー アクセス許可は、Azure AD のユーザー設定のみで変更できます。
メンバーとゲスト ユーザー
既定のアクセス許可のセットは、ユーザーがテナントのネイティブ メンバー (メンバー ユーザー) かどうか、またはユーザーが企業間 (B2B) コラボレーション ゲスト (ゲスト ユーザー) としての別のディレクトリからのユーザーかどうかによって異なります。 ゲスト ユーザーの追加の詳細については、「Azure AD B2B コラボレーションとは」を参照してください。 既定のアクセス許可の権限を次に示します。
メンバー ユーザーは、アプリケーションの登録、自分のプロファイル写真と携帯電話番号の管理、自分のパスワードの変更、B2B ゲストの招待を行うことができます。 また、すべてのディレクトリ情報を読むこともできます (いくつか例外があります)。
ゲスト ユーザーは、ディレクトリ アクセス許可を制限されています。 自分のプロファイルの管理や自分のパスワードの変更、他のユーザー、グループ、アプリに関する情報の取得を行うことができる。 ただし、すべてのディレクトリ情報は読み取れません。
たとえば、ゲスト ユーザーは、ユーザー、グループ、およびその他のディレクトリ オブジェクトすべてが含まれる一覧を列挙できません。 ゲストを管理者ロールに追加することができ、追加すると、読み取りと書き込みのすべてのアクセス許可が付与されます。 また、ゲストは他のゲストを招待することもできます。
メンバーとゲストの既定のアクセス許可を比較する
| 領域 | メンバー ユーザーのアクセス許可 | 既定のゲスト ユーザーのアクセス許可 | 制限されたゲスト ユーザーのアクセス許可 |
|---|---|---|---|
| ユーザーと連絡先 |
|
|
|
| グループ |
|
|
|
| アプリケーション |
|
|
|
| デバイス |
|
アクセス許可なし | アクセス許可なし |
| Organization |
|
|
|
| ロールとスコープ |
|
アクセス許可なし | アクセス許可なし |
| サブスクリプション |
|
アクセス許可なし | アクセス許可なし |
| ポリシー |
|
アクセス許可なし | アクセス許可なし |
メンバー ユーザーの既定のアクセス許可を制限する
ユーザーの既定のアクセス許可に制限を追加できます。
メンバー ユーザーの既定のアクセス許可は、次の方法で制限できます。
注意事項
[Azure AD 管理ポータルへのアクセスを制限する] スイッチを使用することは、セキュリティ対策ではありません。 機能の詳細については、下記の表を参照してください。
| 権限 | 設定の説明 |
|---|---|
| アプリケーションの登録 | このオプションを [いいえ] に設定すると、ユーザーはアプリケーション登録を作成できません。 その場合、特定のユーザーをアプリケーション開発者ロールに追加することで、そのユーザーにこの権限を付与できます。 |
| ユーザーが LinkedIn で職場または学校アカウントに接続できるようにする | このオプションを [いいえ] に設定すると、ユーザーは、自身の LinkedIn アカウントで職場または学校のアカウントに接続できなくなります。 詳細については、「LinkedIn アカウント接続のデータ共有と同意」を参照してください。 |
| セキュリティ グループを作成する | このオプションを [いいえ] に設定すると、ユーザーはセキュリティ グループを作成できません。 その場合でも、全体管理者とユーザー管理者はセキュリティ グループを作成できます。 方法については、「グループの設定を構成するための Azure Active Directory コマンドレット」をご覧ください。 |
| Microsoft 365 グループを作成する | このオプションを [いいえ] に設定すると、ユーザーは Microsoft 365 グループを作成できません。 このオプションを [一部] に設定すると、ユーザーのセットは Microsoft 365 グループを作成できます。 その場合でも、全体管理者とユーザー管理者は Microsoft 365 グループを作成できます。 方法については、「グループの設定を構成するための Azure Active Directory コマンドレット」をご覧ください。 |
| Azure AD 管理ポータルへのアクセスを制限する | このスイッチでは何が行われますか? [いいえ] に設定すると、管理者でないユーザーが Azure AD 管理ポータルを参照できます。 [はい] に設定すると、管理者でないユーザーは Azure AD 管理ポータルを参照できないように制限します。 グループまたはアプリケーションの所有者であるが管理者ではないユーザーは、Azure portal を使用して所有しているリソースを管理することができません。 行われないことは何ですか? このスイッチはいつ使用する必要がありますか? このスイッチを使用するべきでないのはどのような場合ですか? 管理者でない特定のユーザーにのみ Azure AD 管理ポータルを使用する権限を付与するには、どのようにしますか? Entra 管理ポータルへのアクセスを制限する |
| 管理者以外のユーザーによるテナントの作成を制限する | ユーザーは、Azure AD および Entra 管理ポータルの [テナントの管理] でテナントを作成できます。 テナントの作成は、監査ログに DirectoryManagement カテゴリおよび Create Company アクティビティとして記録されます。 テナントを作成するすべてのユーザーは、そのテナントのグローバル管理者になります。 新しく作成されたテナントは設定や構成を継承しません。 このスイッチでは何が行われますか? 管理者でない特定のユーザーにのみ新しいテナントを作成する権限を付与するにはどうすればいいですか? |
| 管理者以外のユーザーによる所有デバイスの BitLocker キーの読み取りを制限する | このオプションを [はい] に設定すると、ユーザーは所有デバイスの BitLocker キーをセルフサービスで回復できなくなります。 このオプションを [いいえ] に設定すると、ユーザーは BitLocker キーを回復できます。 |
| 他のユーザーの読み取り | この設定は Microsoft Graph と PowerShell でのみ使用できます。 このフラグを $false に設定すると、管理者以外のすべてのユーザーはディレクトリからユーザー情報を読み取ることができなくなります。 Exchange Online などの他の Microsoft サービスのユーザー情報の読み取りは妨げられません。この設定は特殊な状況を想定しているため、フラグを |
[管理者以外のユーザーによるテナントの作成を制限する] オプションが以下で示されています
![[Restrict non-admins from creating tenants] (管理者以外のユーザーによるテナントの作成を制限する) オプションを示すスクリーンショット。](media/user-default-permissions/tenant-creation-restriction.png#lightbox)
ゲスト ユーザーの既定のアクセス許可を制限する
ゲスト ユーザーの既定のアクセス許可は、次の方法で制限できます。
注意
[ゲスト ユーザーのアクセス制限] 設定によって、[ゲストのアクセス許可を制限する] 設定が置き換えられました。 この機能の使用に関するガイダンスについては、「Azure Active Directory でゲストのアクセス許可を制限する」を参照してください。
| 権限 | 設定の説明 |
|---|---|
| ゲスト ユーザーのアクセス制限 | このオプションを [Guest users have the same access as members](ゲスト ユーザーにメンバーと同じアクセス権を付与する) に設定すると、メンバー ユーザーのアクセス許可すべてがゲスト ユーザーに既定で付与されます。 このオプションを [Guest user access is restricted to properties and memberships of their own directory objects](ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する) に設定すると、ゲスト アクセスは既定で自分のユーザー プロファイルのみに制限されます。 ユーザー プリンシパル名、オブジェクト ID、または表示名で検索する場合でも、他のユーザーへのアクセスは許可されなくなりました。 グループ メンバーシップを含むグループ情報へのアクセスも許可されなくなりました。 この設定では、Microsoft Teams など、一部の Microsoft 365 サービスの参加しているグループへのアクセスは禁止されません。 詳細については、Microsoft Teams のゲストのアクセスに関する記事を参照してください。 このアクセス許可の設定に関係なく、ゲスト ユーザーを管理者の役割に追加できます。 |
| ゲストは招待ができる | このオプションを [はい] に設定すると、ゲストは他のゲストを招待できます。 詳細については、外部コラボレーション設定の構成に関するページを参照してください。 |
オブジェクトの所有権
アプリケーション登録所有者のアクセス許可
ユーザーがアプリケーションを登録すると、そのユーザーはアプリケーションの所有者として自動的に追加されます。 所有者は、名前やアプリが要求するアクセス許可など、アプリケーションのメタデータを管理できます。 また、シングル サインオン (SSO) の構成やユーザーの割り当てなど、アプリケーションのテナント固有の構成も管理できます。
所有者は、他の所有者を追加または削除することもできます。 全体管理者とは異なり、所有者は、自分が所有するアプリケーションのみを管理できます。
エンタープライズ アプリケーション所有者のアクセス許可
ユーザーがエンタープライズ アプリケーションを追加すると、そのユーザーは自動的に所有者として追加されます。 所有者は、SSO の構成、プロビジョニング、ユーザーの割り当てなど、アプリケーションのテナント固有の構成を管理できます。
所有者は、他の所有者を追加または削除することもできます。 全体管理者とは異なり、所有者は、自分が所有するアプリケーションのみを管理できます。
グループ所有者のアクセス許可
グループを作成したユーザーは、そのグループの所有者として自動的に追加されます。 所有者は、名前などのグループのプロパティおよびグループ メンバーシップを管理できます。
所有者は、他の所有者を追加または削除することもできます。 全体管理者およびユーザー管理者とは異なり、所有者が管理できるのは自分が所有するグループだけです。
グループ所有者の割り当てについては、「グループの所有者の管理」をご覧ください。
所有者のアクセス許可
以降の表では、Azure AD メンバー ユーザーの特定のアクセス許可には所有するオブジェクトを超えるオブジェクトが含まれることを説明します。 ユーザーは、自分が所有するオブジェクトに対してのみこれらのアクセス許可を持っています。
所有しているアプリケーションの登録
ユーザーは、所有するアプリケーションの登録で次のアクションを実行できます。
| 操作 | 説明 |
|---|---|
| microsoft.directory/applications/audience/update | Azure AD で applications.audience プロパティを更新します。 |
| microsoft.directory/applications/authentication/update | Azure AD で applications.authentication プロパティを更新します。 |
| microsoft.directory/applications/basic/update | Azure AD でアプリケーションの基本プロパティを更新します。 |
| microsoft.directory/applications/credentials/update | Azure AD で applications.credentials プロパティを更新します。 |
| microsoft.directory/applications/delete | Azure AD でアプリケーションを削除します。 |
| microsoft.directory/applications/owners/update | Azure AD で applications.owners プロパティを更新します。 |
| microsoft.directory/applications/permissions/update | Azure AD で applications.permissions プロパティを更新します。 |
| microsoft.directory/applications/policies/update | Azure AD で applications.policies プロパティを更新します。 |
| microsoft.directory/applications/restore | Azure AD でアプリケーションを復元します。 |
所有するエンタープライズ アプリケーション
ユーザーは、所有するエンタープライズ アプリケーションで次のアクションを実行できます。 エンタープライズ アプリケーションは、サービス プリンシパル、1 つまたは複数のアプリケーション ポリシー、および場合によってはサービス プリンシパルと同じテナント内のアプリケーション オブジェクトで構成されます。
| 操作 | 説明 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Azure AD で監査ログのすべてのプロパティ (特権プロパティを含む) を読み取ります。 |
| microsoft.directory/policies/basic/update | Azure AD でポリシーの基本プロパティを更新します。 |
| microsoft.directory/policies/delete | Azure AD でポリシーを削除します。 |
| microsoft.directory/policies/owners/update | Azure AD で policies.owners プロパティを更新します。 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Azure AD で servicePrincipals.appRoleAssignedTo プロパティを更新します。 |
| microsoft.directory/servicePrincipals/appRoleAssignments/update | Azure AD で users.appRoleAssignments プロパティを更新します。 |
| microsoft.directory/servicePrincipals/audience/update | Azure AD で servicePrincipals.audience プロパティを更新します。 |
| microsoft.directory/servicePrincipals/authentication/update | Azure AD で servicePrincipals.authentication プロパティを更新します。 |
| microsoft.directory/servicePrincipals/basic/update | Azure AD でサービス プリンシパルの基本プロパティを更新します。 |
| microsoft.directory/servicePrincipals/credentials/update | Azure AD で servicePrincipals.credentials プロパティを更新します。 |
| microsoft.directory/servicePrincipals/delete | Azure AD でサービス プリンシパルを削除します。 |
| microsoft.directory/servicePrincipals/owners/update | Azure AD で servicePrincipals.owners プロパティを更新します。 |
| microsoft.directory/servicePrincipals/permissions/update | Azure AD で servicePrincipals.permissions プロパティを更新します。 |
| microsoft.directory/servicePrincipals/policies/update | Azure AD で servicePrincipals.policies プロパティを更新します。 |
| microsoft.directory/signInReports/allProperties/read | Azure AD のサインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取ります。 |
所有するデバイス
ユーザーは、所有するデバイスで次のアクションを実行できます。
| 操作 | 説明 |
|---|---|
| microsoft.directory/devices/bitLockerRecoveryKeys/read | Azure AD の devices.bitLockerRecoveryKeys プロパティを読み取ります。 |
| microsoft.directory/devices/disable | Azure AD でデバイスを無効にします。 |
所有するグループ
ユーザーは、所有するグループで次のアクションを実行できます。
注意
動的グループの所有者は、グループ メンバーシップ ルールを編集するために、グローバル管理者、グループ管理者、Intune 管理者、またはユーザー管理者ロールを持っている必要があります。 詳細は、「Azure Active Directory で動的グループを作成または更新する」を参照してください。
| 操作 | 説明 |
|---|---|
| microsoft.directory/groups/appRoleAssignments/update | Azure AD で groups.appRoleAssignments プロパティを更新します。 |
| microsoft.directory/groups/basic/update | Azure AD でグループの基本プロパティを更新します。 |
| microsoft.directory/groups/delete | Azure AD でグループを削除します。 |
| microsoft.directory/groups/members/update | Azure AD で groups.members プロパティを更新します。 |
| microsoft.directory/groups/owners/update | Azure AD で groups.owners プロパティを更新します。 |
| microsoft.directory/groups/restore | Azure AD でグループを復元します。 |
| microsoft.directory/groups/settings/update | Azure AD で groups.settings プロパティを更新します。 |
次のステップ
- ゲスト ユーザーのアクセス制限の設定の詳細については、「Azure Active Directory でゲストのアクセス許可を制限する」を参照してください。
- Azure AD の管理者ロールを割り当てる方法の詳細については、「Azure Active Directory でユーザーを管理者ロールに割り当てる」を参照してください。
- Microsoft Azure でリソース アクセスを制御する方法の詳細については、「Azure でのリソース アクセスについて」を参照してください。
- Azure AD と Azure サブスクリプションの関係の詳細については、Azure サブスクリプションを Azure Active Directory に関連付ける方法に関する記事を参照してください。
- ユーザーの管理。