Azure AD ディレクトリの管理Manage your Azure AD directory

Azure AD テナントとはWhat is an Azure AD tenant?

Azure Active Directory (Azure AD) におけるテナントとは、Azure や Office 365 などの Microsoft クラウド サービスに組織がサインアップしたときに、その組織専用に与えられる Azure AD ディレクトリのインスタンスです。In Azure Active Directory (Azure AD), a tenant is a dedicated instance of an Azure AD directory that your organization receives when it signs up for a Microsoft cloud service such as Azure or Office 365. 各 Azure AD ディレクトリは、他の Azure AD ディレクトリと区別され分離されています。Each Azure AD directory is distinct and separate from other Azure AD directories. 会社のオフィス ビルが組織に固有のセキュリティで保護された資産であるのと同様に、Azure AD ディレクトリも特定の組織だけが使用するセキュリティで保護された資産として設計されています。Just like a corporate office building is a secure asset specific to only your organization, an Azure AD directory was also designed to be a secure asset for use by only your organization. Azure AD アーキテクチャは、顧客のデータや ID 情報が混合しないよう分離します。そのため、Azure AD ディレクトリのユーザーや管理者が、故意であれ過失であれ別のディレクトリのデータにアクセスすることはできません。The Azure AD architecture isolates customer data and identity information so that users and administrators of one Azure AD directory cannot accidentally or maliciously access data in another directory.

Azure Active Directory の管理

Azure AD ディレクトリを取得する方法How can I get an Azure AD directory?

Azure AD は、ほとんどの Microsoft クラウド サービスの背後にある、次のようなコア ディレクトリおよび ID 管理機能を提供します。Azure AD provides the core directory and identity management capabilities behind most of Microsoft’s cloud services, including:

  • AzureAzure
  • Microsoft Office 365Microsoft Office 365
  • Microsoft Dynamics CRM オンラインMicrosoft Dynamics CRM Online
  • Microsoft IntuneMicrosoft Intune

これらの Microsoft クラウド サービスのいずれかにサインアップすると、Azure AD ディレクトリが提供されます。You get an Azure AD directory when you sign up for any of these Microsoft cloud services. 必要に応じて、追加のディレクトリを作成できます。You can create additional directories as needed. たとえば、最初のディレクトリを運用ディレクトリとして保持し、テストまたはステージング用に別のディレクトリを作成できます。For example, you might maintain your first directory as a production directory and then create another directory for testing or staging.

新しい Azure サブスクリプションに付属する Azure AD ディレクトリを使用するUsing the Azure AD directory that comes with a new Azure subscription

Microsoft サービスに 2 回目以降サインアップするときは、最初のサービスに使用した管理者アカウントを使うことをお勧めします。We recommend that you use the administrator account you used for your first service when you sign up for other Microsoft services. Microsoft サービスへの初回サインアップ時に指定した情報を使って、組織の新しい Azure AD ディレクトリ インスタンスが作成されます。The information that you provide the first time you sign up for a Microsoft service is used to create a new Azure AD directory instance for your organization. 他の Microsoft サービスに登録するとき、サインイン試行の認証に同じディレクトリを使用すれば、既定のディレクトリで自分が構成した既存のユーザー アカウント、ポリシー、設定、オンプレミス ディレクトリ統合を利用することができます。If you use that directory to authenticate sign-in attempts when you subscribe to other Microsoft services, they can use the existing user accounts, policies, settings, or on-premises directory integration you configure in your default directory.

たとえば、Microsoft Intune サブスクリプションにサインアップした後、オンプレミスの Active Directory と Azure AD のディレクトリとを同期させた場合、Office 365 など別の Microsoft サービスにサインアップして、Microsoft Intune で活用しているディレクトリ統合と同じ利便性を簡単に実現することができます。For example, if you sign up for a Microsoft Intune subscription and then further synchronize your on-premises Active Directory with your Azure AD directory, you can sign up for another Microsoft service such as Office 365 and easily achieve the same directory integration benefits that you have with Microsoft Intune.

オンプレミス ディレクトリと Azure AD の統合の詳細については、Azure AD Connect を使ったディレクトリ統合に関するページを参照してください。For more information about integrating your on-premises directory with Azure AD, see Directory integration with Azure AD Connect.

既存の Azure AD ディレクトリを新しい Azure サブスクリプションに関連付けるAssociate an existing Azure AD directory with a new Azure subscription

新しい Azure サブスクリプションは、既存の Office 365 または Microsoft Intune サブスクリプションへのサインインを認証する同じディレクトリに関連付けることができます。You can associate a new Azure subscription with the same directory that authenticates sign-in for an existing Office 365 or Microsoft Intune subscription. このシナリオの詳細については、「Azure サブスクリプションの所有権を別のアカウントに譲渡する」を参照してください。For more information on that scenario, see Transfer ownership of an Azure subscription to another account

組織として Microsoft クラウド サービスにサインアップして Azure AD ディレクトリを作成するCreate an Azure AD directory by signing up for a Microsoft cloud service as an organization

Microsoft クラウド サービスのサブスクリプションをまだ持っていない場合は、次のリンクのいずれかを使用してサインアップできます。If you don’t yet have a subscription to a Microsoft cloud service, you can use one of the following links to sign up. 最初のサービスにサインアップすると、Azure AD ディレクトリが自動的に作成されます。Signing up for your first service creates an Azure AD directory automatically.

サブスクリプションの既定のディレクトリを変更する方法How to change the default directory for a subscription

  1. 所有権を譲渡するサブスクリプションのアカウント管理者であるアカウントで Azure アカウント センターにサインインします。Sign in to the Azure Account Center with an account that is the Account Administrator of the subscription to transfer subscription ownership.
  2. サブスクリプションの所有者となるユーザーが、譲渡先のディレクトリに存在することを確認します。Ensure that the user who you want to be the subscription owner is in the targeted directory.
  3. [サブスクリプションの譲渡] をクリックします。Click Transfer subscription.
  4. 譲渡先を指定します。Specify the recipient. 譲渡先には、承認用のリンクが記載された電子メールが自動的に送信されます。The recipient automatically gets an email with an acceptance link.
  5. 譲渡先のユーザーは、リンクをクリックして指示に従います (支払情報の入力など)。The recipient clicks the link and follows the instructions, including entering their payment information. 受信者が継承すると、サブスクリプションが譲渡されます。When the recipient succeeds, the subscription is transferred.
  6. サブスクリプションの所有権が問題なく譲渡されると、サブスクリプションの既定のディレクトリが、譲渡先のユーザーが属しているディレクトリに変更されます。The default directory of the subscription is changed to the directory that the user is in if the subscription ownership transfer is successful.

詳細については、「別のアカウントに Azure サブスクリプションの所有権を譲渡する」を参照してくださいTo learn more, see Transfer Azure subscription ownership to another account

Azure の既定のディレクトリを管理するManage the default directory in Azure

Azure にサインアップすると、ご利用のサブスクリプションに既定の Azure AD ディレクトリが関連付けられます。When you sign up for Azure, a default Azure AD directory is associated with your subscription. Azure AD を使用するのにコストは一切かかりません。また、ディレクトリは無料のリソースです。There are no costs for using Azure AD and your directories are a free resource. 別途ライセンスを取得することによって、追加機能 (サインイン時に会社のブランドを表示する機能や、セルフサービスによるパスワード リセット機能など) を利用できる有料の Azure AD サービスが存在します。There are paid Azure AD services that are licensed separately and provide additional functionality such as company branding at sign-in, and self-service password reset. 既定の *.onmicrosoft.com ドメインではなく、ご利用の DNS 名を使用してカスタム ドメインを作成することもできます。You can also create a custom domain using a DNS name that you own instead of the default *.onmicrosoft.com domain.

ディレクトリ データを管理する方法How can I manage directory data?

Microsoft クラウド サービス サブスクリプションの管理者は、Azure AD 管理センター、Microsoft Intune アカウント ポータル、または Office 365 管理センターを使用して、組織のディレクトリ データを管理できます。To administer one or more Microsoft cloud service subscriptions, you can use the Azure AD admin center, the Microsoft Intune account portal, or the Office 365 Admin Center to manage your organization's directory data. また、Azure Active Directory PowerShell のコマンドレットを使用することで、Azure AD に格納されているデータを管理することもできます。You can also use Azure Active Directory PowerShell cmdlets to help you manage data stored in Azure AD.

これらのポータル (またはコマンドレット) から、次の操作が可能です。From any one of these portals (or cmdlets), you can:

  • ユーザーとグループのアカウントを作成および管理するCreate and manage user and group accounts
  • 組織のサブスクリプションの関連クラウド サービスを管理するManage related cloud services for your organization's subscriptions
  • Azure AD の ID サービスや認証サービスとのオンプレミス統合を設定するSet up on-premises integration with Azure AD identity and authentication services

Azure AD 管理センター、Office 365 管理センター、Microsoft Intune アカウント ポータル、Azure AD コマンドレットはすべて、組織のディレクトリに関連付けられている Azure AD の 1 つの共有インスタンスとの間で読み取りと書き込みを行います。The Azure AD admin center, Office 365 Admin Center, Microsoft Intune account portal, and the Azure AD cmdlets all read from and write to a single shared instance of Azure AD that is associated with your organization’s directory. これらの各ツールは、ディレクトリ データを取り込む (または変更する) フロントエンド インターフェイスとして機能します。Each of those tools acts as a front-end interface that pulls in or changes your directory data.

これらのサービスのいずれかのコンテキストでサインインしているときに、いずれかのポータルまたはコマンドレットを使用して組織のデータを変更した場合、次回サインインしたときに、他のポータルでも変更が表示されます。When you change your organization's data using any of the portals or cmdlets while signed in under the context of one of these services, the changes are also shown in the other portals the next time you sign in. このデータは、登録している Microsoft クラウド サービス全体で共有されます。This data is shared across the Microsoft cloud services to which you subscribe.

たとえば、Office 365 管理センターを使用して、ユーザーがサインインできないようにブロックした場合、そのユーザーは組織が現在登録している他のどのサービスにもサインインできなくなります。For example, if you use the Office 365 Admin Center to block a user from signing in, that action blocks the user from signing in to any other service to which your organization is currently subscribed to. また、Microsoft Intune アカウント ポータルで同じユーザー アカウントを見ると、そのユーザーがブロックされていることがわかります。If you view the same user account in the Microsoft Intune account portal, you also see that the user is blocked.

複数のディレクトリを追加および管理する方法How can I add and manage multiple directories?

Azure AD ディレクトリは、Azure Portal で追加できます。You can add an Azure AD directory in the Azure portal. 必要な情報を入力し、[作成] を選択します。Fill out the information and select Create.

各ディレクトリは、完全に独立したリソースとして管理できます。つまり、各ディレクトリは対等であり、フル機能を備え、管理対象の他のディレクトリから論理的に独立しています。ディレクトリ間に親子関係はありません。You can manage each directory as a fully independent resource: each directory is a peer, fully featured and logically independent of other directories that you manage; there is no parent-child relationship between directories. このディレクトリ間の独立には、リソースの独立、管理上の独立、同期の独立があります。This independence between directories includes resource independence, administrative independence, and synchronization independence.

  • リソースの独立Resource independence. 外部ユーザーの一部の例外を除き、あるディレクトリでリソースを作成または削除しても、別のディレクトリのリソースには影響しません。If you create or delete a resource in one directory, it has no impact on any resource in another directory, with the partial exception of external users. あるディレクトリで "contoso.com" というカスタム ドメインを使用している場合、このドメインを他のディレクトリで使用することはできません。If you use a custom domain 'contoso.com' with one directory, it cannot be used with any other directory.
  • 管理上の独立Administrative independence. "Contoso" ディレクトリの管理者以外のユーザーが、"Test" というテスト ディレクトリを作成した場合、次のようになります。If a user who is not an administrator of directory 'Contoso' creates a test directory 'Test,' then:

    • "Test" の管理者が管理者特権を明示的に付与した場合を除き、"Contoso" ディレクトリの管理者には、"Test" ディレクトリに対する直接的な管理者特権はありません。The administrators of directory 'Contoso' have no direct administrative privileges to directory 'Test' unless an administrator of 'Test' specifically grants them these privileges. "Contoso" の管理者は、"Test" を作成したユーザー アカウントの制御により、"Test" ディレクトリへのアクセスを制御できます。Administrators of 'Contoso' can control access to directory 'Test' by virtue of their control of the user account that created 'Test.'

    • あるディレクトリでユーザーの管理者ロールを割り当てるか削除した場合、変更は、別のディレクトリでそのユーザーに割り当てられている可能性のある管理者ロールには影響しません。If you assign or remove an administrator role for a user in one directory, the change does not affect any administrator role that user may have in another directory.

  • 同期の独立Synchronization independence. Azure AD Connect ディレクトリ同期ツールの単一インスタンスからデータが同期されるように、各 Azure AD テナントを個別に構成できます。You can configure each Azure AD tenant independently to get data synchronized from a single instance the Azure AD Connect directory synchronization tool.

他の Azure リソースとは異なり、ディレクトリは Azure サブスクリプションの子リソースではありません。Unlike other Azure resources, your directories are not child resources of an Azure subscription. そのため、Azure サブスクリプションを取り消したり、期限切れを許可した場合でも、Azure AD PowerShell、Azure Graph API、または Office 365 管理センターなどの他のインターフェイスを使用して、ディレクトリ データに引き続きアクセスできます。So if you cancel or allow your Azure subscription to expire, you can still access your directory data using Azure AD PowerShell, the Azure Graph API, or other interfaces such as the Office 365 Admin Center. また、ディレクトリに別のサブスクリプションを関連付けることもできます。You can also associate another subscription with the directory.

Azure AD ディレクトリを削除する準備の方法How to prepare to delete an Azure AD directory

グローバル管理者は、ポータルから Azure AD ディレクトリを削除できます。A global administrator can delete an Azure AD directory from the portal. ディレクトリを削除すると、そのディレクトリに含まれるリソースもすべて削除されます。When a directory is deleted, all resources that are contained in the directory are also deleted. ディレクトリを削除する前に、そのディレクトリが不要であることを確認してください。Verify that you don’t need the directory before you delete it.

注意

ユーザーが職場または学校アカウントを使用してサインインしている場合、そのユーザーは自分のホーム ディレクトリを削除することはできません。If the user is signed in with a work or school account, the user must not be attempting to delete their home directory. たとえば、ユーザーが joe@contoso.onmicrosoft.com としてサインインしている場合、そのユーザーは既定のドメインが contoso.onmicrosoft.com であるディレクトリを削除することはできません。For example, if the user is signed in as joe@contoso.onmicrosoft.com, that user cannot delete the directory that has contoso.onmicrosoft.com as its default domain.

Azure AD でディレクトリを削除するには、特定の条件を満たす必要があります。Azure AD requires that certain conditions are met to delete a directory. これにより、ディレクトリの削除がユーザーやアプリケーションに悪影響を及ぼす (ユーザーが Office 365 にサインインできない、Azure のリソースにアクセスできないなど) リスクが軽減されます。This reduces risk that deleting a directory negatively impacts users or applications, such as the ability of users to sign in to Office 365 or access resources in Azure. たとえば、サブスクリプションのディレクトリが誤って削除された場合、ユーザーはそのサブスクリプションの Azure リソースにアクセスできなくなります。For example, if a directory for a subscription is unintentionally deleted, then users can't access the Azure resources for that subscription.

次の条件がチェックされます。The following conditions are checked:

  • ディレクトリ内のユーザーは、ディレクトリを削除するグローバル管理者に限られます。The only user in the directory should be the global administrator who is to delete the directory. ディレクトリを削除するには、他のすべてのユーザーを削除しておく必要があります。Any other users must be deleted before the directory can be deleted. ユーザーがオンプレミスから同期されている場合は、同期を無効にする必要があります。また、Azure Portal または Azure PowerShell のコマンドレットを使用して、クラウド ディレクトリでユーザーを削除する必要があります。If users are synchronized from on-premises, then sync must be turned off, and the users must be deleted in the cloud directory by using the Azure portal or Azure PowerShell cmdlets. グループまたは連絡先 (Office 365 管理センターから追加された連絡先など) を削除する要件はありません。There is no requirement to delete groups or contacts, such as contacts added from the Office 365 Admin Center.
  • ディレクトリ内にアプリケーションが存在してはいけません。There can be no applications in the directory. ディレクトリを削除するには、すべてのアプリケーションを削除しておく必要があります。Any applications must be deleted before the directory can be deleted.
  • Multi-Factor Authentication プロバイダーをディレクトリにリンクすることはできません。No multi-factor authentication providers can be linked to the directory.
  • ディレクトリに関連付けられている、Microsoft Azure、Office 365、Azure AD Premium などの Microsoft Online Services のサブスクリプションが存在してはいけません。There can be no subscriptions for any Microsoft Online Services such as Microsoft Azure, Office 365, or Azure AD Premium associated with the directory. たとえば、Azure で既定のディレクトリが作成されている場合、Azure サブスクリプションが認証にこのディレクトリを引き続き使用していれば、このディレクトリを削除することはできません。For example, if a default directory was created for you in Azure, you cannot delete this directory if your Azure subscription still relies on this directory for authentication. 同様に、別のユーザーがディレクトリにサブスクリプションを関連付けている場合、そのディレクトリを削除することはできません。Similarly, you can't delete a directory if another user has associated a subscription with it.

次のステップNext steps