マイ スタッフを使用してユーザーを管理する

マイ スタッフを使用すると、ストア マネージャーやチーム リーダーなどの権限のある人に、スタッフ メンバーが Azure AD アカウントにアクセスできるようにするためのアクセス許可を委任することができます。 組織では、パスワードのリセットや電話番号の変更などの一般的なタスクを、中央のヘルプデスクに頼るのではなく、現場のチーム マネージャーに任せることができます。 マイ スタッフを使用すると、自分のアカウントにアクセスできないユーザーは、数回のクリックでアクセスを回復することができ、ヘルプデスクや IT スタッフは必要ありません。

組織のためにマイ スタッフを構成する前に、このドキュメントとユーザー ドキュメントを確認し、この機能と、それがユーザーに及ぼす影響を、理解することをお勧めします。 ユーザーのドキュメントを利用して、新しいエクスペリエンスに備えてユーザーを訓練し、準備することで、ロールアウトを成功させることができます。

マイ スタッフのしくみ

マイ スタッフの基になっている管理単位は、ロール割り当ての管理制御の範囲を制限するために使用できるリソースのコンテナーです。 詳細については、Azure Active Directory での管理単位の管理に関するページをご覧ください。 マイ スタッフでは、店舗や部署のユーザーのグループで管理単位を構成できます。 これにより、1 つまたは複数の単位のスコープの管理者ロールにチーム マネージャーを割り当てることができます。

開始する前に

この記事を完了するには、以下のリソースと特権が必要です。

マイ スタッフを有効にする方法

管理単位を構成した後は、マイ スタッフにアクセスするユーザーにこのスコープを適用できます。 管理者ロールを割り当てられたユーザーだけが、マイ スタッフにアクセスできます。 マイ スタッフを有効にするには、次の手順のようにします。

  1. Azure portal または Azure AD 管理センターにユーザー管理者としてサインインします。

  2. [Azure Active Directory] > [ユーザー設定] > [ユーザー機能プレビュー] > [ユーザー機能プレビュー設定の管理] の順に選択します。

  3. [管理者はマイ スタッフにアクセスできます] では、すべてのユーザーまたは選択したユーザーにアクセスを許可したり、すべてのユーザーにアクセスを禁止したりできます。

注意

管理者ロールを割り当てられたユーザーだけが、マイ スタッフにアクセスできます。 管理者ロールが割り当てられていないユーザーに対してマイ スタッフを有効にすると、そのユーザーはマイ スタッフにアクセスできなくなります。

条件付きアクセス

Azure AD 条件付きアクセス ポリシーを使用して、マイ スタッフ ポータルを保護することができます。 これは、マイ スタッフにアクセスする前に多要素認証を要求するなどのタスクに使用します。

Microsoft では、Azure AD 条件付きアクセス ポリシーを使用してマイ スタッフを保護することを強くお勧めします。 マイ スタッフに条件付きアクセス ポリシーを適用するには、まずマイ スタッフ サイトに 1 回アクセスする必要があります。その際、条件付きアクセスで使用するためにテナントのサービス プリンシパルを自動的にプロビジョニングするのに数分かかります。

マイ スタッフ クラウド アプリケーションに適用する条件付きアクセス ポリシーを作成すると、サービス プリンシパルが表示されます。

マイ スタッフ アプリの条件付きアクセス ポリシーを作成する

マイ スタッフの使用

ユーザーがマイ スタッフに移動すると、自分が管理者アクセス許可を持つ管理単位の名前が表示されます。 マイ スタッフのユーザー ドキュメントでは、"場所" という用語を使用して管理単位が示されています。 管理者のアクセス許可に管理単位スコープがない場合、アクセス許可は組織全体に適用されます。 マイ スタッフが有効にされた後、有効にされて管理者ロールが割り当てられているユーザーは、https://mystaff.microsoft.com を使用してマイ スタッフにアクセスできます。 管理単位を選択してその管理単位内のユーザーを表示したり、ユーザーを選択してプロファイルを開いたりすることができます。

ユーザーのパスワードのリセット

オンプレミスのユーザーのパスワードをリセットする前に、次の前提条件を満たす必要があります。 詳細な手順については、「セルフサービス パスワード リセットを有効にする」のチュートリアルを参照してください。

  • パスワード ライトバックのアクセス許可を構成する
  • Azure AD Connect でパスワード ライトバックを有効にする
  • Azure AD セルフサービス パスワード リセット (SSPR) でパスワード ライトバックを有効にする

次のロールには、ユーザーのパスワードをリセットするアクセス許可があります。

[マイ スタッフ] で、ユーザーのプロファイルを開きます。 [パスワードのリセット] を選択します。

  • ユーザーがクラウドのみの場合は、ユーザーに提供できる一時的なパスワードを確認できます。

  • ユーザーがオンプレミスの Active Directory から同期されている場合は、オンプレミスの AD ポリシーを満たすパスワードを入力できます。 その後、そのパスワードをユーザーに提供できます。

    パスワード リセット進行状況インジケーターと成功通知

ユーザーは、次にサインインしたときに、パスワードの変更を要求されます。

電話番号を管理する

[マイ スタッフ] で、ユーザーのプロファイルを開きます。

  • ユーザーに電話番号を追加するには、 [電話番号の追加] セクションを選択します
  • 電話番号を変更するには、 [電話番号の編集] を選択します
  • ユーザーの電話番号を削除するには、 [電話番号の削除] を選択します

設定に応じて、ユーザーは、設定された電話番号を使用して SMS でサインインし、多要素認証を実行して、セルフサービス パスワード リセットを実行できます。

ユーザーの電話番号を管理するには、次のいずれかのロールが割り当てられている必要があります。

マイ スタッフの検索バーを使用して、組織内の管理単位やユーザーを検索できます。 組織内のすべての管理単位やユーザーを検索できますが、変更できるのは、自分が管理者アクセス許可を付与されている管理単位内のユーザーだけです。

管理単位内のユーザーを検索することもできます。 これを行うには、ユーザー一覧の上部にある検索バーを使用します。

監査ログ

Azure Active Directory ポータルでは、マイ スタッフにおいて行われた操作の監査ログを見ることができます。 マイ スタッフで行われた操作によって監査ログが生成された場合、監査イベントの [ADDITIONAL DETAILS](追加の詳細) の下にこのことが示されます。

次のステップ

マイ スタッフのユーザー ドキュメント 管理単位のドキュメント