次の方法で共有

管理者アカウントを追加して管理する

適用対象: 灰色の X 記号が付いた白い円。 従業員テナント緑 の円と白いチェック マーク記号。 外部テナント (詳細)

管理者アカウントは、管理者ロールが割り当てられている Microsoft Entra 外部テナントのユーザーです。 Microsoft Entra 管理センターまたは Microsoft Graph を使用してユーザーを作成または招待し、管理者ロールを割り当てることで、管理者アカウントをテナントに追加できます。 管理者ロールを割り当てない場合、ユーザーには 既定のユーザー アクセス許可があります

この記事では、Microsoft Entra 管理センターを使用した管理者アカウントの管理に重点を置いています。 ユーザーを追加または削除するには、少なくとも ユーザー管理者 のアクセス許可が必要です。

アプリのエンド ユーザーに関する情報については、「 コンシューマーおよびビジネスユーザーのユーザー アカウントを管理 する」も参照してください。 通常、これらのユーザーには管理者ロールが割り当てられないため、 既定のユーザーアクセス許可が保持されます。

前提条件

  • 独自の Microsoft Entra 外部テナントをまだ作成していない場合は、 今すぐ作成します。
  • Microsoft Entra 外部 ID でのユーザー アカウントについて理解している。
  • リソース アクセスを制御するユーザー ロールについて理解する。

管理者アカウントを追加する

新しいユーザー アカウントを作成し、Microsoft Entra ロールを追加してアカウントに管理者アクセス許可を付与するには、次の手順に従います。 (ここでは、必要な手順のみを説明します。すべてのプロパティの詳細については、Microsoft Entra ID の記事「ユーザーの 作成方法」を参照してください)。

  1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。

  2. 複数のテナントにアクセスできる場合は、上部メニューの [設定] アイコン を使用して、[ ディレクトリ + サブスクリプション ] メニューから外部テナントに切り替えます。

  3. Entra ID>Users に移動します。

  4. [新しいユーザー] を選択>新しいユーザーを作成します

  5. [ 基本 ] タブの [ ID] で、この管理者の情報を入力します。

    • ユーザー プリンシパル名: 一意のユーザー名を入力し、@ 記号の後のメニューからドメインを選択します。
    • 表示名: Chris Green や Chris A. Green など、ユーザーの名前を入力します。
    • パスワード: 自動生成されたパスワードをコピーするか、[ パスワードの自動生成 ] オプションをオフにして別のパスワードを入力します。 初めてサインインするには、管理者にこのパスワードを指定する必要があります。

  6. [ 割り当て ] タブを選択し、次の手順に従ってロールをユーザーに割り当てます。 (グループの追加は省略可能です)。

    • [ + ロールの追加] を選択します
    • 表示されるメニューから、一覧から最大 20 個のロールを選択します。 Microsoft Entra ID で 1 つ以上の 管理者ロール にユーザーを割り当てることができます。
    • [選択] ボタンを 選択 します。

  7. [ 確認と作成 ] ボタンを選択します。

管理者が作成され、外部テナントに追加されます。

管理者 (ゲスト アカウント) を招待する

テナントを管理するために、新しいゲスト ユーザーを招待することもできます。 管理者アクセス許可を持つ新しいゲスト ユーザーを招待するには、次の手順に従います。

  1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。

  2. 複数のテナントにアクセスできる場合は、上部メニューの [設定] アイコン を使用して、[ ディレクトリ + サブスクリプション ] メニューから外部テナントに切り替えます。

  3. Entra ID>Users に移動します。

  4. [新しいユーザー]>[外部ユーザーを招待する (プレビュー)]を選択します。

  5. [ 基本 ] タブで、ユーザーの情報を入力します。

    • 電子メール必須。 招待するユーザーの電子メール アドレス。
    • 表示名。 新しいユーザーの氏名です。 たとえば、 Mary Parker などです。
    • [ 招待メッセージ] の下:
      • 招待メールをユーザーに送信する場合は、[ 招待メッセージ の送信] チェック ボックスをオンにします。 それ以外の場合は、チェック ボックスをオフにします。
      • [メッセージ] で、招待メールに含める個人用メッセージを追加します。
      • 招待メールのコピーを他のユーザーに送信するには、[ CC 受信者 ] テキスト ボックスにメール アドレスを追加します。
      • 招待リダイレクト URL は既定で MyApplications に設定され、ユーザーは招待を引き換えるときにリダイレクトされます。 別の URL に変更できます。

  6. [ 割り当て ] タブを選択し、次の手順に従ってロールをユーザーに割り当てます。 (グループの追加は省略可能です)。

    • [ + ロールの追加] を選択します
    • 表示されるメニューから、一覧から最大 20 個のロールを選択します。 Microsoft Entra ID で 1 つ以上の 管理者ロール にユーザーを割り当てることができます。
    • [選択] ボタンを 選択 します。

  7. [ 確認と招待 ] ボタンを選択します。

招待メールがユーザーに送信されます。 ユーザーは、招待に同意すると、サインインできるようになります。

ロールの割り当てを変更または追加する

ユーザーを作成するか、ゲスト ユーザーを招待するときにロールを割り当てることができます。 ユーザーに対してロールの追加、変更、または削除を実行できます。

  1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
  2. 複数のテナントにアクセスできる場合は、上部メニューの [設定] アイコン を使用して、[ ディレクトリ + サブスクリプション ] メニューから外部テナントに切り替えます。
  3. Entra ID>Users に移動します。
  4. ロールを変更するユーザーを選択します。 次に 割り当てられたロール を選択します。
  5. [ 割り当ての追加] を選択し、割り当てるロール (アプリケーション 管理者など) を選択し、[ 追加] を選択します。

ロールの割り当てを削除する

ユーザーに割り当てたロールを削除する必要がある場合は、次の手順を実行します。

  1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
  2. 複数のテナントにアクセスできる場合は、上部メニューの [設定] アイコン を使用して、[ ディレクトリ + サブスクリプション ] メニューから外部テナントに切り替えます。
  3. Entra ID>Users に移動します。
  4. ロールを変更するユーザーを選択します。 次に 割り当てられたロール を選択します。
  5. 削除するロール ( アプリケーション管理者など) を選択し、[ 割り当ての削除] を選択します。

管理者アカウントのロールの割り当てを確認する

監査プロセスの一環として、通常は、顧客ディレクトリ内の特定のロールにどのユーザーが割り当てられているかを確認します。 現在、どのユーザーに特権ロールが割り当てられているかを監査するには、次の手順に従います。

  1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
  2. 複数のテナントにアクセスできる場合は、上部メニューの [設定] アイコン を使用して、[ ディレクトリ + サブスクリプション ] メニューから外部テナントに切り替えます。
  3. Entra ID>役割と管理者に移動します。
  4. ユーザー管理者などのロールを選択します。 [ 割り当て] ページには、そのロールを持つユーザーが一覧表示されます。

管理者アカウントを削除する

既存のユーザーを削除するには、少なくとも ユーザー管理者 ロールの割り当てが必要です。 特権認証管理者は、他の管理者 を含むすべてのユーザーを削除できます。 "ユーザー管理者" は、管理者以外のユーザーを削除できます。

  1. Microsoft Entra 管理センターに、少なくとも特権認証管理者としてサインインします。
  2. 複数のテナントにアクセスできる場合は、上部メニューの [設定] アイコン を使用して、[ ディレクトリ + サブスクリプション ] メニューから外部テナントに切り替えます。
  3. Entra ID>Users に移動します。
  4. 削除するユーザーを選びます。
  5. [ 削除] を選択し、[ はい ] を選択して削除を確定します。

ユーザーは削除され、[ すべてのユーザー ] ページに表示されなくなります。 ユーザーは、次の 30 日間、[ 削除されたユーザー ] ページに表示され、その間に復元できます。 ユーザーの復元の詳細については、「 Microsoft Entra ID を使用して最近削除されたユーザーを復元または削除する」を参照してください。

管理アカウントを保護する

セキュリティを強化するために、多要素認証 (MFA) ですべての管理者アカウントを保護することをお勧めします。 MFA は、ワンタイム パスコードをユーザーに求める、サインイン時の ID 検証プロセスです。

Microsoft では、グローバル 管理者 ロールが永続的に割り当てられている 2 つのクラウド専用緊急アクセス アカウントを組織に付与することをお勧めします。 このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。 アカウントは、通常のアカウントが使用できない、あるいは全ての管理者が誤ってロックアウトされた際の緊急事態または「ブレイクグラス」シナリオに限定されます。これらのアカウントは、緊急アクセスアカウントの推奨事項に従って作成する必要があります。