年度の切り替え - ユーザー ID

閉学年と新学年のMicrosoft Entra IDとオンプレミスまたはサード パーティの ID ソリューションを調整して、ユーザー プロビジョニングとプロビジョニング解除を管理します。

クリーンアップのMicrosoft Entra

学年が終了した後、Microsoft では、特定のユーザー データ保持要件を念頭に置いて、新しい学年に備えるために、非アクティブなアカウントと卒業アカウントをクリーンアップすることをお勧めします。 Microsoft Entra IDで非アクティブなアカウントのクリーンアップを実行するには、通常、次の手順が必要です。

1. 詳細情報の要件を決定する
2. 削除するアカウントを特定します。
3. 潜在的なアカウントの一覧を確認して管理します。
4. アカウントを削除する
5. Validate

データ ライフサイクル管理の詳細については、「 保持機能」を参照してください。

詳細情報の要件の決定

非アクティブなアカウントを定義するものと、Microsoft Entra IDでクリーンアップする必要があるアカウントを特定するために、いくつかの決定を行う必要があります。 前年のガイドラインを使用して、意思決定の基礎を決めます。 例:

• 非アクティブなアカウントを定義するもの (たとえば、ユーザーが過去 18 か月間ログインしていない場合など)
• 卒業する学生アカウントを処理する方法
• どのような組織の保持ガイドラインに従う必要がありますか?

学生アカウントの卒業

高等教育で卒業する学生は、卒業生の SKU の資格があり、卒業後も引き続きExchange Onlineメールボックスを持つことができます。 組織は通常、次の 2 つの方法のいずれかでアカウントを処理します。

• Office 365の既存のユーザー アカウントを古い SKU から卒業生 SKU に変更する
• 古いユーザー アカウントを削除または無効にしてから、卒業生ユーザー用に指定されたテナントに新しいユーザー アカウントを作成します。 この方法には、次の 3 つのメイン利点があります。
  • 既存の学校コミュニケーションから卒業生メンバーを論理的に分離します
  • これは、アクティブな学生の相互作用と可視性のための論理的な障壁を作成します
  • ストレージを解放します。 アクティブな学生だったときにアカウントに関連付けられているすべてのコンテンツをテナントから削除できます。 その後、コンテンツはテナントのストレージ クォータに対してカウントされなくなります。 ストレージを解放するには、OneDrive を削除して再作成 (または削除) できます。

クリーンアップするアカウントの識別

非アクティブなアカウントは、organizationのメンバーがリソースにアクセスするために不要なユーザー アカウントです。 非アクティブなアカウントの 1 つの重要な識別子は、環境へのサインインに しばらく 使用されていないことです。 非アクティブなアカウントはサインイン アクティビティに関連付けられているため、最後に成功したサインインのタイムスタンプを使用して検出できます。

非アクティブなアカウントを検出するには、Microsoft Graph APIの signInActivity リソースの種類によって公開される lastSignInDateTime プロパティを評価します。 Graph APIを使用してサインイン アクティビティの詳細を表示するには、Microsoft Entra ID P1 または P2 ライセンスが必要です。 このプロパティを使用すると、次のシナリオのソリューションを実装できます。

• すべてのユーザーの最終サインイン日時: このシナリオでは、すべてのユーザーの最後のサインイン日のレポートを生成する必要があります。 すべてのユーザーの一覧と、それぞれのユーザーの最後の lastSignInDateTime を要求します。 https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
• 名前によるユーザー: このシナリオでは、特定のユーザーを名前で検索します。これにより、lastSignInDateTime を評価できます。 https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'markvi')&$select=displayName,signInActivity
• 日付別のユーザー: このシナリオでは、指定した日付より前に lastSignInDateTime を持つユーザーの一覧を要求します。 https://graph.microsoft.com/beta/users?filter=signInActivity/lastSignInDateTimele2019-06-01T00:00:00Z

詳細については、「Microsoft Entra IDで非アクティブなユーザー アカウントを管理する方法」を参照してください。

収集されたアカウントの一覧を確認する

収集されたアカウントの一覧を確認します。

• 一覧表示されているすべてのアカウントは削除されますか?
• AD Connect を使用して AD にオンプレミス同期を行っていますか?
• サードパーティのオンプレミス接続同期はありますか?
• 問題のデータに関する規制またはコンプライアンスに関する考慮事項はありますか?
• (HED) - これらのアカウントは "卒業生" アカウントと見なされますか?

アカウントの削除

アカウントの一覧を確認し、削除する準備ができたら、それらを削除するためのいくつかのオプションがあります。

• Azure portal内のユーザーを一括削除する
• Microsoft 365 からorganizationからユーザーを削除します。

ログインの無効化または他の学生の削除

アカウントを削除する代わりに、アカウントへのアクセスを無効またはブロックすることが必要な場合があります。 たとえば、organizationには、履歴レコードまたはコンプライアンスの保持に関する特定のポリシーが含まれています。

Microsoft 365 アカウントへのアクセスをブロックすると、Microsoft 365 organization内のサービスとデータにサインインしてアクセスするアカウントを誰も使用できなくなります。 PowerShell を使用して、個々のユーザー アカウントまたは複数のユーザー アカウントへのアクセスをブロックできます。

ユーザーがローカル Active Directory からMicrosoft Entra IDと同期されている場合は、次の同期実行で Microsoft Entra Connect から再作成されないように、ユーザーを特定してクリーンします。 Active Directory で非アクティブなユーザー アカウントを定期的にチェックして削除することをお勧めします。

検証

アカウントが削除されたら、Microsoft Entra ID、オンプレミス同期オプション、監査レポートを確認して、ユーザー アカウントが削除されていることを確認します。

• ユーザー アカウントが削除されていることを検証する
• オンプレミスの同期オプションを確認する

保持機能

場合によっては、アーカイブの目的で、または組織または業界の規制が原因で、指定した期間、ユーザー データを保持する必要があります。 次のドキュメントには、ポリシーとラベルの両方を使用した Microsoft 365 内の保持の詳細が含まれています。

• データ ライフサイクル管理の使用を開始する
• コンテンツを自動的に保持または削除するための保持ポリシー & ラベルについて説明します
• イベントの発生時に保持を開始する

ロールオーバー レビュー

パスワードの一括リセットまたは変更

Microsoft 365 管理者は、 ユーザーがセルフサービス パスワード リセット ツール を使用できるようにして、パスワードをリセットする必要がないようにすることができます。 作業が少なくなります。

クラウド ユーザーのセルフサービス パスワード リセットは、Microsoft 365 のビジネス、教育、または非営利 の有料 プランに含まれています。 Microsoft 365 試用版では機能しません。

ただし、オンプレミスの Active Directoryを使用している場合、セルフサービス パスワード リセットには、P1 または P2 をMicrosoft Entra IDするための有料サブスクリプションが必要です。

• ユーザーが自分でパスワードをリセットできるようにする
• パスワードをリセットする
• Office 365のすべてのユーザーのパスワード変更を強制する

グループ ポリシー レビュー

Microsoft 365 グループと Microsoft Teams の使用が増えるにつれ、管理者とユーザーは未使用のグループとチームをクリーンアップする方法を必要とします。 Microsoft 365 グループの有効期限ポリシー (Premium 機能として利用可能) は、システムから非アクティブなグループを削除し、よりクリーンにするのに役立ちます。 管理者は、Microsoft 365 管理 センター使用状況レポートからアクティビティの詳細を手動で確認して、最近アクティブになっていないサイトとメールボックスを特定することもできます。

グループの有効期限が切れると、グループとそれに関連付けられているサービス (メールボックス、Planner、SharePoint サイト、チームなど) は "論理的に削除" されるため、最大 30 日間回復できます。 詳細については、以下を参照してください:

• 管理者向け Microsoft 365 グループの概要
• Microsoft 365 グループの有効期限ポリシー

条件付きアクセス ポリシーレビュー

新しいデプロイを計画または実行する場合は、条件付きアクセスの分析情報とレポート ブックを確認して、時間の経過に伴うorganizationでの条件付きアクセス ポリシーの影響を把握します。

Microsoft Entra Connect サーバー (ステージング)

新しいデプロイを計画または実行している場合は、Microsoft Entra Connect ステージング モードを使用して、新しい構成の変更をテストして展開したり、新しいサーバーを導入して古いサーバーを使用停止したりできます。

詳細情報

次のリソースは、ユーザー アカウントに関する追加情報を提供します。

• Microsoft Entra IDを使用した ID ライフサイクル管理とは
• Microsoft Entra IDで非アクティブなユーザー アカウントを管理する方法 (クラウド専用アカウント)
• PowerShell を使用して Microsoft 365 ユーザー アカウントをブロックする - Microsoft 365 Enterprise
• PowerShell を使用して Microsoft 365 ユーザー アカウントを削除する - Microsoft 365 Enterprise
• Active Directoryで非アクティブなユーザーアカウントを定期的に検査して削除する
• 大規模な教育機関向けのマルチテナント アーキテクチャ - Microsoft 365 Education
• セキュリティの既定値をMicrosoft Entraする |Microsoft Docs

次の手順

次に、デバイスの調達を見てみましょう。

次へ: デバイス >