エンタープライズ ユーザー管理の概要
この記事では、Microsoft Entra の一部である Microsoft Entra ID 管理者向けに、グループ、ライセンス、デプロイされているエンタープライズ アプリ、管理者の役割の観点から、ユーザーを対象とする主要な ID 管理タスク間の関係について説明します。 Microsoft Entra のグループと管理者ロールを使うことにより、組織の規模の拡大に伴って次のことを行えます。
- ライセンスを個人のユーザーに割り当てるのではなくライセンスをグループに割り当てる。
- 低い特権ロールを持つ担当者に Microsoft Entra 管理作業を委任するアクセス許可を付与する。
- エンタープライズ アプリのアクセス権をグループに割り当てる。
ユーザーをグループに割り当てる
Microsoft Entra ID のグループを使うと、多数のユーザーにライセンスやデプロイされているエンタープライズ アプリを割り当てることができます。 グループを使用して、Microsoft Entra 全体管理者を除くすべての管理者ロールを割り当てたり、外部のリソース (SaaS アプリケーション、SharePoint サイトなど) へのアクセス権を付与したりすることができます。
Microsoft Entra ID の動的メンバーシップ グループを使用して、動的メンバーシップ グループを自動的に拡大および縮小できます。 動的グループにより、柔軟性が高まり、動的メンバーシップ グループの管理作業が減ります。
Note
1 つ以上の動的メンバーシップ グループのメンバーになっている一意のユーザーには、それぞれに Microsoft Entra ID P1 ライセンスが必要です。
ライセンスをグループに割り当てる
ユーザー ライセンスの割り当てを個別に管理すると、時間がかかり、エラーが発生しやすくなります。 代わりにライセンスをグループに割り当てると、大規模なライセンス管理が簡単になります。
ライセンスを付与されているグループに参加している Microsoft Entra ユーザーは、適切なライセンスが自動的に割り当てられます。 ユーザーがグループから離脱すると、そのライセンスの割り当てが Microsoft Entra ID によって解除されます。 Microsoft Entra グループがない場合には、組織に参加するユーザーや組織から離脱するユーザーのライセンスを一括追加または一括削除するために、PowerShell スクリプトを作成するか、Graph API を使用する必要があります。 グループの一括操作の詳細については、「一括アップロードしてグループのメンバーを追加または作成する」を参照してください。
使用できるライセンスが不足している場合や、何らかの問題 (同時には割り当てることができないサービス プランなど) が生じた場合、グループのライセンスに関する問題の状態を Azure portal で確認できます。
管理者ロールを委任する
多くの大規模組織は、そのユーザー (アプリケーションを登録する必要のあるユーザーなど) に強力なグローバル管理者ロールを割り当てることなく、ユーザーそれぞれが仕事上のタスクを遂行するうえで十分なアクセス許可を入手する手段を求めています。 以下に示すのは、アプリケーション管理作業をより詳細に分散させるうえで役立つ、新しい Microsoft Entra 管理者の役割の例です。
ロール名 | アクセス許可の概要 |
---|---|
アプリケーション管理者 | エンタープライズ アプリケーションとアプリケーションの登録を追加して管理したり、プロキシ アプリケーションの設定を構成したりすることができます。 アプリケーション管理者は、条件付きアクセス ポリシーとデバイスを表示することはできますが、それらを管理することはできません。 |
クラウド アプリケーション管理者 | エンタープライズ アプリケーションとエンタープライズ アプリの登録を追加して管理することができます。 このロールには、アプリケーション管理者のすべてのアクセス許可が含まれます。ただし、アプリケーション プロキシの設定を管理することはできません。 |
アプリケーション開発者 | アプリケーションの登録を追加、更新できます。ただし、エンタープライズ アプリケーションを管理したり、アプリケーション プロキシを構成したりすることはできません。 |
新しい Microsoft Entra 管理者ロールが追加されています。 現在利用できるロールについては、Azure portal または管理者ロールのアクセス許可に関するリファレンスをご確認ください。
アプリへのアクセス権を割り当てる
Microsoft Entra ID を使用して、Microsoft Entra 組織にデプロイされたエンタープライズ アプリにグループ アクセスを割り当てることができます。 アプリへのグループ割り当てと動的メンバーシップ グループを組み合わせれば、組織が成長するときに、ユーザーに対するアプリ アクセス権の割り当てを自動化することができます。 エンタープライズ アプリへのアクセスを割り当てるには、Microsoft Entra ID P1 または Premium P2 ライセンスが必要です。
また、Microsoft Entra ID を使用すると、アクセス権の割り当て先となるグループとアプリの間を行き来するデータを具体的に制御できます。 [エンタープライズ アプリケーション] でアプリを開き、 [プロビジョニング] を選択して次の作業を実施できます。
- 自動プロビジョニングをサポートするアプリに対してその設定を行う
- アプリのユーザー管理 API に接続するための資格情報を指定する
- ユーザー アカウントのプロビジョニング時または更新時に Microsoft Entra ID とアプリの間でやり取りされるユーザー属性を制御するマッピングを設定する
- アプリの Microsoft Entra プロビジョニング サービスを開始、停止したり、プロビジョニング キャッシュをクリアしたり、サービスを再開したりする
- プロビジョニング アクティビティ レポート (Microsoft Entra ID とアプリの間で作成、更新、削除されたすべてのユーザーとグループのログを確認できる) およびプロビジョニング エラー レポート (より詳細なエラー メッセージを確認できる) を確認する
次のステップ
Microsoft Entra 管理者になったばかり場合は、Microsoft Entra の基礎に関する記事で基本について確認してください。
または、グループの作成、ライセンスの割り当て、アプリのアクセス権の割り当て、管理者ロールの割り当てを始めることができます。