管理者アカウントを追加して管理する
適用対象: 
従業員テナント 
外部テナント (詳細情報)
Microsoft Entra 外部 ID で、外部テナントは、コンシューマーおよびゲストのアカウントのディレクトリを表します。 管理者ロールを使用すると、職場およびゲストのアカウントでテナントを管理できます。
前提条件
- まだ独自の Microsoft Entra 外部テナントを作成していない場合は、ここで作成してください。
- Microsoft Entra 外部 ID でのユーザー アカウントについて理解している。
- リソース アクセスを制御するユーザー ロールについて理解する。
管理者アカウントを追加する
新しい管理者アカウントを作成するには、次の手順に従います。
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン
を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
[新しいユーザー]>[新しいユーザーの作成] を選択します。
[新しいユーザー] ページの [テンプレートの選択] で、[ユーザーの作成] を選択します。
[ID] で、この管理者の情報を入力します。
- ユーザー名。 [必須] 。 新しいユーザーのユーザー名です。 たとえば、「
mary@contoso.com」のように入力します。 - 名前。 [必須] 。 新しいユーザーの氏名です。 たとえば、Mary Parker にします。
- 名。 新しいユーザーの名。 たとえば、Mary です。
- 姓。 新しいユーザーの姓。 たとえば、Parker です。
- グループ。 オプション。 1 つまたは複数の既存のグループにユーザーを追加できます。 後でグループにユーザーを追加することもできます。
- ロール: ユーザーの管理アクセス許可を追加するには、Microsoft Entra ロールに追加します。 Microsoft Entra ID の 1 つ以上の管理者の役割にユーザーを割り当てることができます。
- 設定: [はい] または [いいえ] トグルを使用して [サインインのブロック] を設定し、[使用状況の場所] の一覧で管理者のプライマリの場所を選択します。
- ジョブ情報:こちらにはユーザーに関する詳細情報を追加できます。これは後で行うこともできます。
- ユーザー名。 [必須] 。 新しいユーザーのユーザー名です。 たとえば、「
[パスワード] ボックスに表示されている自動生成されたパスワードをコピーします。 初めてサインインする管理者にこのパスワードを渡す必要があります。
[作成] を選択します
管理者が作成され、外部テナントに追加されます。
管理者 (ゲスト アカウント) を招待する
テナントを管理するために、新しいゲスト ユーザーを招待することもできます。 管理者を招待するには、次の手順に従います。
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン
を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
[新しいユーザー]>[外部ユーザーの招待] を選択します。
[新しいユーザー] ページの [テンプレートの選択] で、[ユーザーの招待] を選択します。
[ID] で、管理者の情報を入力します。
- 名前. [必須] 。 新しいユーザーの氏名です。 たとえば、Mary Parker にします。
- 電子メール アドレス。 [必須] 。 招待するユーザーの電子メール アドレス。
- 名。 新しいユーザーの名。 たとえば、Mary です。
- 姓。 新しいユーザーの姓。 たとえば、Parker です。
- 個人用メッセージ: 招待メールに含める個人用メッセージを追加します。
- グループ。 オプション。 1 つまたは複数の既存のグループにユーザーを追加できます。 後でグループにユーザーを追加することもできます。
- ロール: ユーザーの管理アクセス許可を追加するには、Microsoft Entra ロールに追加します。 Microsoft Entra ID の 1 つ以上の管理者の役割にユーザーを割り当てることができます。
- 設定: [はい] または [いいえ] トグルを使用して [サインインのブロック] を設定し、[使用状況の場所] の一覧で管理者のプライマリの場所を選択します。
- ジョブ情報:こちらにはユーザーに関する詳細情報を追加できます。これは後で行うこともできます。
[招待] を選択します。
招待メールがユーザーに送信されます。 ユーザーは、招待に同意すると、サインインできるようになります。
ロールの割り当てを追加する
ユーザーを作成するか、ゲスト ユーザーを招待するときにロールを割り当てることができます。 ユーザーに対してロールの追加、変更、または削除を実行できます。
- Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
- 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- ロールを変更するユーザーを選択します。 次に、 [割り当てられたロール] を選択します。
- [割り当ての追加] を選び、割り当てるロール ("アプリケーション管理者" など) を選んでから、[追加] を選びます。
ロールの割り当てを削除する
ユーザーに割り当てたロールを削除する必要がある場合は、次の手順を実行します。
- Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
- 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- ロールを変更するユーザーを選択します。 次に、 [割り当てられたロール] を選択します。
- 削除するロール ("アプリケーション管理者" など) を選び、[割り当ての削除] を選びます。
管理者アカウントのロールの割り当てを確認する
監査プロセスの一環として、通常は、顧客ディレクトリ内の特定のロールにどのユーザーが割り当てられているかを確認します。 現在、どのユーザーに特権ロールが割り当てられているかを監査するには、次の手順に従います。
- Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
- 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。
- [Identity] (ID)>[役割と管理者]>[役割と管理者] の順に移動します。
- [ユーザー管理者] などのロールを選択します。 [割り当て] ページには、そのロールのユーザーが一覧表示されます。
管理者アカウントを削除する
既存のユーザーを削除するには、少なくともユーザー管理者ロールの割り当てがある必要があります。 特権認証管理者は、他の管理者を含むすべてのユーザーを削除できます。 "ユーザー管理者" は、管理者以外のユーザーを削除できます。
- 少なくとも特権認証管理者として Microsoft Entra 管理センターにサインインします。
- 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 削除するユーザーを選びます。
- [削除] を選択し、 [はい] を選択して削除を確定します。
ユーザーが削除され、[すべてのユーザー] ページに表示されなくなります。 ユーザーは、削除後 30 日間は [削除済みのユーザー] ページに表示され、その期間内であれば復元できます。 ユーザーの復元の詳細については、Microsoft Entra ID を使用した最近削除されたユーザーの復元または削除に関するページを参照してください。
管理アカウントを保護する
セキュリティを強化するために、すべての管理者アカウントを多要素認証 (MFA) で保護することをお勧めします。 MFA は、ワンタイム パスコードをユーザーに求める、サインイン時の ID 検証プロセスです。
Microsoft は、組織が全体管理者ロールが永続的に割り当てられる 2 つのクラウド専用緊急アクセス アカウントを作成することを推奨しています。 このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。 これらのアカウントは、通常のアカウントを使用できない、または他のすべての管理者が誤ってロックアウトされたという緊急または "break glass" のシナリオに限定されます。これらのアカウントは、緊急アクセス アカウントに関する推奨事項に従って作成する必要があります。