Microsoft Entra ID 内の制限付き管理の管理単位 (プレビュー)
重要
制限付き管理の管理単位は現在プレビュー段階です。 ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される法律条項については、「製品条項」を参照してください。
制限付き管理の管理単位を使用すると、指定した特定の管理者のセット以外のユーザーがテナント内の特定のオブジェクトに変更できないように保護できます。 これにより、管理者からテナント レベルのロールの割り当てを削除しなくても、セキュリティまたはコンプライアンスの要件を満たせます。
制限付き管理の管理単位を使用する理由は?
テナント内のアクセス管理に制限付き管理の管理単位を使用する理由をいくつか示します。
- パスワードをリセットしたり、BitLocker 回復キーにアクセスしたりができるヘルプデスク管理者から、C レベルのエグゼクティブ アカウントとそのデバイスを保護したいと考えています。 制限付き管理の管理単位に C レベルのユーザー アカウントを追加し、必要に応じてパスワードをリセットしたり BitLocker 回復キーにアクセスしたりできる特定の信頼できる管理者セットを有効にすることができます。
- 特定のリソースを特定の国の管理者のみが管理できるように、コンプライアンス コントロールを実装します。 これらのリソースを制限付き管理の管理単位に追加し、ローカル管理者を割り当ててそれらのオブジェクトを管理できます。 全体管理者でも、制限付き管理の管理単位 (監査可能なイベント) をスコープとするロールに明示的に割り当てられない限り、オブジェクトを変更することはできません。
- セキュリティ グループを使用して、組織内の機密性の高いアプリケーションへのアクセスを制御していますが、グループを変更できるテナント スコープの管理者が、アプリケーションにアクセスできるユーザーを制御できるようにしたくないと考えています。 これらのセキュリティ グループを制限付き管理の管理単位に追加し、割り当てた特定の管理者のみがそれらを管理できるようにすることができます。
Note
制限付き管理の管理単位にオブジェクトを配置すると、オブジェクトに変更を加えることができるユーザーが厳しく制限されます。 この制限により、既存のワークフローが中断する可能性があります。
メンバーにできるオブジェクトはどれですか?
制限付き管理の管理単位のメンバーにできるオブジェクトを次に示します。
| Microsoft Entra オブジェクトの種類 | 管理単位 | 制限付き管理設定が有効な管理単位 |
|---|---|---|
| ユーザー | はい | はい |
| デバイス | はい | はい |
| グループ (セキュリティ) | はい | はい |
| グループ (Microsoft 365) | はい | いいえ |
| グループ (メールが有効なセキュリティ) | はい | いいえ |
| グループ (配布) | はい | いいえ |
ブロックされる操作の種類は何ですか?
制限付き管理の管理単位のスコープで、明示的に割り当てられていない管理者の場合、制限付き管理の管理単位内でオブジェクトの Microsoft Entra プロパティを直接変更する操作はブロックされます。その一方で、Microsoft 365 サービス内での関連オブジェクトに対する操作は影響を受けません。
| 演算の種類 | Blocked | 許可 |
|---|---|---|
| ユーザー プリンシパル名、ユーザー写真などの標準プロパティを読み取る | ✅ | |
| ユーザー、グループ、またはデバイスの任意の Microsoft Entra プロパティを変更する | ❌ | |
| ユーザー、グループ、またはデバイスを削除する | ❌ | |
| ユーザーのパスワードを更新する | ❌ | |
| 制限付き管理の管理単位でグループの所有者またはメンバーを変更する | ❌ | |
| 制限付き管理の管理単位内のユーザー、グループ、またはデバイスを、Microsoft Entra ID 内のグループに追加する | ✅ | |
| 制限付き管理の管理単位のユーザーの Exchange のメールとメールボックス設定を変更する | ✅ | |
| Intune を使用して、制限付き管理の管理単位のデバイスにポリシーを適用する | ✅ | |
| SharePoint でグループをサイト所有者として追加または削除する | ✅ |
オブジェクトを変更できるユーザーは誰ですか?
制限付き管理の管理単位のスコープで明示的に割り当てられている管理者のみが、制限付き管理の管理単位内でオブジェクトの Microsoft Entra プロパティを変更できます。
| ユーザー ロール | Blocked | 許可 |
|---|---|---|
| グローバル管理者 | ❌ | |
| テナントスコープの管理者 (全体管理者を含む) | ❌ | |
| 制限付き管理の管理単位のスコープで割り当てられた管理者 | ✅ | |
| オブジェクトがメンバーである別の制限付き管理の管理単位のスコープで割り当てられた管理者 | ✅ | |
| オブジェクトがメンバーである別の通常の管理単位のスコープで割り当てられた管理者 | ❌ | |
| リソースのスコープで割り当てられたグループ管理者、ユーザー管理者、およびその他のロール | ❌ | |
| 制限付き管理の管理単位に追加されたグループまたはデバイスの所有者 | ❌ |
制限事項
制限付き管理の管理単位における制限と制約の一部を次に示します。
- 制限付き管理の設定は管理単位の作成時に適用する必要があり、管理単位を作成した後は変更できません。
- 制限付き管理の管理単位のグループは、Microsoft Entra Privileged Identity Management や Microsoft Entra エンタイトルメント管理などのMicrosoft Entra ID ガバナンス機能では管理できません。
- 制限付き管理の管理単位に追加されたロール割り当て可能なグループは、メンバーシップを変更できません。 グループ所有者は、制限付き管理の管理単位でグループを管理することはできず、全体管理者と特権ロール管理者 (どちらも管理単位のスコープで割り当てることはできません) のみがメンバーシップを変更できます。
- オブジェクトが制限付き管理の管理単位にあり、必要なロールが管理単位のスコープで割り当てることができるロールの 1 つではない場合、特定のアクションを実行できないことがあります。 たとえば、制限付き管理の管理単位の全体管理者は、システム内の他の管理者にパスワードをリセットさせることはできません。全体管理者のパスワードをリセットできる管理単位スコープで割り当てられる管理者ロールがないためです。 このようなシナリオでは、全体管理者は、まず制限付き管理の管理単位から削除してから、別の全体管理者または特権ロール管理者によりパスワードをリセットする必要があります。
- 制限付き管理の管理単位を削除する場合、以前のメンバーからすべての保護を削除するまでに最大 30 分かかる場合があります。
プログラミング
既定では、アプリケーションは、制限付き管理の管理単位内のオブジェクトを変更できません。 制限付き管理の管理単位内でオブジェクトを管理するためのアクセス権をアプリケーションに付与するには、Microsoft Graph で Directory.Write.Restrictedアクセス許可を割り当てる必要があります。
ライセンス要件
制限付き管理の管理単位には、それぞれの管理単位管理者用の Microsoft Entra ID P1 ライセンスと、管理単位メンバー用の Microsoft Entra ID Free ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般公開されている Free および Premium エディションの機能比較に関するページをご覧ください。