Microsoft Entra カスタム ロールに対するユーザー管理アクセス許可
ユーザー管理アクセス許可を Microsoft Entra ID のカスタム ロール定義で使用すると、次のようなきめ細かいアクセス権を付与できます。
- ユーザーの基本プロパティの読み取りまたは更新
- ユーザーの ID の読み取り
- ユーザーのジョブ情報の読み取りまたは更新
- ユーザーの連絡先情報の更新
- ユーザーの保護者による制限の更新
- ユーザー設定の更新
- ユーザーの直属部下の読み取り
- ユーザーの拡張機能プロパティの更新
- ユーザーのデバイス情報の読み取り
- ユーザーのライセンスの読み取りまたは管理
- ユーザーのパスワード ポリシーの更新
- ユーザーの割り当てとメンバーシップの読み取り
この記事では、さまざまなユーザー管理シナリオのカスタム ロールで使用できるアクセス許可の一覧を示します。 カスタム ロールを作成する方法については、「Microsoft Entra ID でカスタム ロールを作成して割り当てる」を参照してください。
ライセンス要件
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
ユーザーの基本プロパティの読み取りまたは更新
ユーザーの基本プロパティの読み取りまたは更新には、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/standard/read | ユーザーの基本プロパティを読み取る |
| microsoft.directory/users/basic/update | ユーザーの基本プロパティを更新する |
ユーザーの ID の読み取り
ユーザーの ID を読み取るには、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/identities/read | ユーザーの ID の読み取り |
ユーザーのジョブ情報の読み取りまたは更新
ユーザーのジョブ情報を読み取りまたは更新するには、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/manager/read | ユーザーのマネージャーを読み取る |
| microsoft.directory/users/manager/update | ユーザーのマネージャーを更新する |
| microsoft.directory/users/jobInfo/update | ユーザーのジョブ情報の更新 |
ユーザーの連絡先情報の更新
ユーザーの連絡先情報を更新するには、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/contactInfo/update | ユーザーの連絡先プロパティの更新 |
ユーザーの保護者による制限の更新
ユーザーの保護者による制御を更新するには、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/parentalControls/update | ユーザーの保護者による制限の更新 |
ユーザー設定の更新
ユーザー設定を更新するには、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/usageLocation/update | ユーザーの利用場所を更新する |
ユーザーの直属部下の読み取り
ユーザーの直属部下を読み取るために、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/directReports/read | ユーザーの直属の部下を読み取る |
ユーザーの拡張機能プロパティの更新
ユーザーの拡張機能のプロパティを更新するには、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/extensionProperties/update | ユーザーの拡張機能プロパティの更新 |
ユーザーのデバイス情報の読み取り
ユーザーのデバイス情報を読み取るために、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/ownedDevices/read | ユーザーの所有デバイスを読み取る |
| microsoft.directory/users/registeredDevices/read | ユーザーの登録済みデバイスを読み取る |
| microsoft.directory/users/deviceForResourceAccount/read | ユーザーの deviceForResourceAccount を読み取る |
ユーザーのライセンスの読み取りまたは管理
ユーザーのライセンスを読み取ったり管理したりするには、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/licenseDetails/read | ユーザーのライセンスの詳細を読み取る |
| microsoft.directory/users/assignLicense | ユーザー ライセンスの管理 |
| microsoft.directory/users/reprocessLicenseAssignment | ユーザーのライセンス割り当てを再処理する |
ユーザーのパスワード ポリシーの更新
ユーザーのパスワード ポリシーを更新するには、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/passwordPolicies/update | ユーザーのパスワード ポリシー プロパティの更新 |
ユーザーの割り当てとメンバーシップの読み取り
ユーザーの割り当てとメンバーシップを読み取るために、次のアクセス許可を使用できます。
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/appRoleAssignments/read | ユーザーのアプリケーション ロールの割り当てを読み取る |
| microsoft.directory/users/scopedRoleMemberOf/read | 管理単位にスコープが設定されている Microsoft Entra ロールのユーザーのメンバーシップを読み取る |
| microsoft.directory/users/memberOf/read | ユーザーのグループ メンバーシップを読み取る |
アクセス許可の全一覧
| 権限 | 説明 |
|---|---|
| microsoft.directory/users/appRoleAssignments/read | ユーザーのアプリケーション ロールの割り当てを読み取る |
| microsoft.directory/users/assignLicense | ユーザー ライセンスの管理 |
| microsoft.directory/users/basic/update | ユーザーの基本プロパティを更新する |
| microsoft.directory/users/contactInfo/update | ユーザーの連絡先プロパティの更新 |
| microsoft.directory/users/deviceForResourceAccount/read | ユーザーの deviceForResourceAccount を読み取る |
| microsoft.directory/users/directReports/read | ユーザーの直属の部下を読み取る |
| microsoft.directory/users/extensionProperties/update | ユーザーの拡張機能プロパティの更新 |
| microsoft.directory/users/identities/read | ユーザーの ID の読み取り |
| microsoft.directory/users/jobInfo/update | ユーザーのジョブ情報の更新 |
| microsoft.directory/users/licenseDetails/read | ユーザーのライセンスの詳細を読み取る |
| microsoft.directory/users/manager/read | ユーザーのマネージャーを読み取る |
| microsoft.directory/users/manager/update | ユーザーのマネージャーを更新する |
| microsoft.directory/users/memberOf/read | ユーザーのグループ メンバーシップを読み取る |
| microsoft.directory/users/ownedDevices/read | ユーザーの所有デバイスを読み取る |
| microsoft.directory/users/parentalControls/update | ユーザーの保護者による制限の更新 |
| microsoft.directory/users/passwordPolicies/update | ユーザーのパスワード ポリシー プロパティの更新 |
| microsoft.directory/users/registeredDevices/read | ユーザーの登録済みデバイスを読み取る |
| microsoft.directory/users/reprocessLicenseAssignment | ユーザーのライセンス割り当てを再処理する |
| microsoft.directory/users/scopedRoleMemberOf/read | 管理単位にスコープが設定されている Microsoft Entra ロールのユーザーのメンバーシップを読み取る |
| microsoft.directory/users/standard/read | ユーザーの基本プロパティを読み取る |
| microsoft.directory/users/usageLocation/update | ユーザーの利用場所を更新する |