Microsoft Entra ID でよりきめ細かな管理制御を行う場合、1 つ以上の管理単位に制限されたスコープで Microsoft Entra ロールにユーザーを割り当てることができます。 一般的なタスク用の PowerShell スクリプトのサンプルについては、「管理単位の操作」を参照してください。
全般
管理単位を作成できないのはなぜですか?
Microsoft Entra ID で管理単位を作成するには、少なくとも特権ロール管理者ロールが割り当てられている必要があります。 管理単位を作成しようとしているユーザーに、"特権ロール管理者" ロールが割り当てられていることを確認します。
管理単位にグループを追加しました。 そこにグループ メンバーがまだ表示されないのはなぜですか?
グループを管理単位に追加しても、そのグループのすべてのメンバーがそれに追加されるわけではありません。 ユーザーを管理単位に直接割り当てる必要があります。
管理単位のメンバーを先ほど追加 (または削除) しました。 メンバーがユーザー インターフェイスに表示されない (または、まだ表示されている) のはなぜですか?
管理単位の 1 つまたは複数のメンバーの追加または削除が [管理単位] ページに反映されるまでに数分かかる場合があります。 あるいは、関連するリソースのプロパティに直接アクセスして、アクションが完了したかどうかを確認することもできます。 管理単位のメンバーの詳細については、「管理単位のユーザー、グループ、デバイスを一覧表示する」を参照してください。
私は管理単位の委任されたパスワード管理者です。 特定のユーザーのパスワードをリセットできないのはなぜですか?
管理単位の管理者は、自分の管理単位に割り当てられているユーザーのパスワードのみをリセットできます。 パスワードのリセットが失敗している対象のユーザーが、あなたが割り当てられている管理単位に属していることを確認してください。 ユーザーが同じ管理単位に属していても、そのユーザーのパスワードをリセットできない場合は、そのユーザーに割り当てられているロールを確認してください。
特権の昇格を防ぐため、管理単位のスコープが設定された管理者は、組織全体のスコープでロールに割り当てられているユーザーのパスワードをリセットすることはできません。
管理単位が必要なのはなぜですか? スコープを定義する方法としてセキュリティ グループを使用することはできないのでしょうか?
セキュリティ グループには、既存の目的と承認モデルがあります。 たとえば "ユーザー管理者" は、Microsoft Entra 組織内のすべてのセキュリティ グループのメンバーシップを管理できます。 このロールは、Salesforce などのアプリケーションへのアクセスを管理するためにグループを使用する場合があります。 "ユーザー管理者" は委任モデル自体を管理できないようにする必要があります。これは、"リソースのグループ化" シナリオをサポートするためにセキュリティ グループが拡張された場合の結果です。
Windows Server Active Directory の組織単位などの管理単位は、さまざまなディレクトリ オブジェクトの管理スコープを設定する方法を提供するためのものです。 セキュリティ グループ自体は、リソース スコープのメンバーであっても構いません。 セキュリティ グループを使用して、管理者が管理できるセキュリティ グループのセットを定義すると、混乱を招く可能性があります。
グループを管理単位に追加するとはどういう意味ですか?
管理単位にグループを追加すると、グループ自体は管理単位の管理スコープに入れられますが、グループのメンバーには入れられません。 詳細については、「Microsoft Entra ID の管理単位」を参照してください。
リソース (ユーザー、グループ、デバイス) を複数の管理単位のメンバーにすることはできますか?
はい。リソースは複数の管理単位のメンバーにすることができます。 リソースを管理できるのは、そのリソースに対するアクセス許可を持つすべての組織全体および管理単位でスコープ設定された管理者です。
B2C 組織では管理単位を使用できますか?
いいえ。B2C 組織では管理単位を使用できません。
入れ子になった管理単位はサポートされていますか?
いいえ。入れ子になった管理単位はサポートされていません。
PowerShell と Microsoft Graph API では管理単位はサポートされていますか?
はい。 管理単位のサポートについては、PowerShell コマンドレットのドキュメントとサンプル スクリプトを参照してください。
Microsoft Graph で administrativeUnit リソースの種類のサポートを検索してください。
動的管理単位 (プレビュー)
管理単位の動的なメンバーシップの規則を保存したばかりなのですが、まだ設定されたユーザーが表示されていません。
管理単位の初期更新は、テナントのサイズと現在の Microsoft Entra ID 負荷に応じて数分かかることがあります。
ルールビルダーを使用して Azure portal で動的メンバーシップの規則を作成して保存しようとすると、「管理単位のプロパティを更新できませんでした」というエラーが表示されます。
これは、通常、指定されたプロパティ値に問題があることを意味しています。 指定したプロパティ値の値の型が適切 (ブール値、文字列、または文字列コレクション) であることを確認します。 詳細については、 「ユーザー または デバイスの各オペレーターに許可されている値」を参照してください。
このエラーは、Microsoft Entra ID Premium P1 ライセンスを持たないユーザーが管理単位に更新を保存しようとした場合にも発生することがあります。
現在の動的メンバーシップの規則に加えて、1人のメンバーを管理単位に追加するにはどうすればいいですか?
1 人のユーザーを追加するには、OR クエリ演算子を持つ適切な式を動的メンバーシップの規則に追加します。
私は特権ロール管理者ですが、管理単位のメンバーを追加または削除できません。
管理単位が動的メンバーシップ用に構成されている場合、メンバーシップを変更するには、動的メンバーシップの規則を編集する必要があります。
テナントには、動的メンバーシップの規則を持つ管理単位をいくつ作成できますか?
プレビューでは、動的グループと動的管理単位の合計数が 5,000 を超えることはできません。
動的メンバーシップの規則の文字数に制限はありますか?
はい。 3,072 文字です。
Microsoft 365 管理センターに動的メンバーシップの規則を持つ管理単位を作成できますか?
いいえ。
制限付き管理の管理単位 (プレビュー)
私は、制限付き管理の管理単位のメンバーであるグループの所有者です。 アクセス許可はどのように影響しますか?
保護されたグループの所有者は、所有権のみに基づいてグループを管理することはできません。 現在、保護されたリソースを管理するには、保護されたリソースの制限付き管理の管理単位のスコープでロールを割り当てる必要があります。
制限付き管理の管理単位を使用すると、Microsoft 365 リソースはどのように影響を受けますか?
現在、制限付き管理の管理単位での Microsoft Entra リソースのセキュリティ保護はサポートされています。 Microsoft Entra ID の外部で管理されるリソースはサポートされていません。
制限付き管理の管理単位のメンバーを変更できません。
ユーザー、グループ、またはデバイスは、制限付き管理の管理単位のメンバーです。 管理権限は、その管理単位をスコープとする管理者に限定されます。