Azure Active Directory のユーザー アカウントとは

完了

Azure Active Directory (Azure AD) では、すべてのユーザー アカウントに既定のアクセス許可のセットが付与されます。 ユーザー アカウントのアクセス権は、ユーザーの種類、ユーザーのロールの割り当て、および個々のオブジェクトの所有権で構成されます。

Azure AD のユーザー アカウントには、さまざまな種類があります。 それぞれの種類には、各種類のユーザー アカウントで実行されると予想される作業範囲に固有のアクセス レベルがあります。 管理者が最も高いレベルのアクセス権を持ち、Azure AD 組織のメンバーのユーザー アカウントがそれに続きます。 ゲスト ユーザーのアクセス レベルは最も制限されています。

アクセス許可とロール

Azure AD では、アクセス許可を使用して、ユーザーまたはグループに付与するアクセス権を制御できます。 これはロールを使用して行うことができます。 Azure AD には、異なるアクセス許可が関連付けられた多数のロールがあります。 特定のロールを割り当てられたユーザーは、そのロールからアクセス許可を継承します。 たとえば、ユーザー管理者ロールに割り当てられたユーザーは、ユーザー アカウントの作成と削除ができます。

適切なユーザーに適切な種類のロールをいつ割り当てるかを理解することは、プライバシーとセキュリティのコンプライアンスを維持するための基本的で重要な手順です。 不適切なユーザーに不適切なロールが割り当てられている場合、そのロールに含まれるアクセス許可によって、そのユーザーが組織に深刻な損害を与える可能性があります。

管理者ロール

Azure AD の管理者ロールによって、だれが何を実行できるのかを制御するための、昇格されたアクセス権がユーザーに許可されます。 これらのロールは、Azure AD 組織内の ID タスクを管理する、限られたユーザーのグループに割り当てます。 管理者ロールを割り当てることで、ユーザーの作成または編集、他のユーザーへの管理者ロールの割り当て、ユーザー パスワードのリセット、ユーザー ライセンスの管理などをユーザーに許可できます。

お使いのユーザー アカウントにユーザー管理者または全体管理者ロールが割り当てられている場合は、Azure portal、Azure CLI、または PowerShell を使用して Azure AD に新しいユーザーを作成できます。 PowerShell で、コマンドレット New-AzureADUser を実行します。 Azure CLI では、az ad user create を使用します。

メンバー ユーザー

メンバー ユーザー アカウントは、自分のプロファイル情報を管理できる権限など、一連の既定のアクセス許可を付与された Azure AD 組織のネイティブ メンバーです。 新しいユーザーが組織に参加したとき、通常はこの種類のアカウントがそのユーザー用に作成されます。

ゲスト ユーザーではなく、管理者ロールも割り当てられていないユーザーは、この種類に分類されます。 メンバー ユーザーは、組織の内部にいると考えられる、Azure AD 組織のメンバーであるユーザーを想定しています。 ただし、これらのユーザーが (たとえばユーザーの作成や削除を行うことによって) 他のユーザーを管理できないようにする必要があります。 メンバー ユーザーには、ゲスト ユーザーに通常設定されるのと同じ制限はありません。

ゲスト ユーザー

ゲスト ユーザーには、制限された Azure AD 組織のアクセス許可が付与されます。 ご自身の組織と共同作業を行う他のユーザーを招待する場合は、そのユーザーをゲスト ユーザーとして Azure AD 組織に追加します。 次に、受諾リンクを含む招待メールを送信するか、共有するアプリへの直接リンクを送信できます。 ゲスト ユーザーは、自分の職場、学校、またはソーシャル ID を使用してサインインします。 既定では、Azure AD のメンバー ユーザーはゲスト ユーザーを招待できます。 この既定値は、ユーザー管理者ロールを持つユーザーが無効にすることができます。

組織は、外部のパートナーと協力しなければならない場合があります。 ご自分の組織と共同作業を行う場合、そのようなパートナーに、特定のリソースに対する一定レベルのアクセス権を付与する必要があることがよくあります。 このような状況では、ゲスト ユーザー アカウントを使用することをお勧めします。 そのうえで、パートナーが作業を行うための適切なレベルのアクセス権を持ち、必要以上に高いレベルのアクセス権を持っていないことを確認します。

ユーザー アカウントの追加

Azure portal、Azure PowerShell、または Azure CLI を使用して、個々のユーザー アカウントを追加できます。

Azure CLI を使用する場合は、次のコマンドレットを実行します。

# create a new user
az ad user create

このコマンドでは、Azure CLI を使用して新しいユーザーが作成されます。

Azure PowerShell の場合は、次のコマンドレットを実行します。

# create a new user
New-AzureADUser

メンバー ユーザーとゲストのアカウントを一括作成できます。 次の例は、ゲスト ユーザーを一括招待する方法を示しています。

$invitations = import-csv c:\bulkinvite\invitations.csv

$messageInfo = New-Object Microsoft.Open.MSGraph.Model.InvitedUserMessageInfo

$messageInfo.customizedMessageBody = "Hello. You are invited to the Contoso organization."

foreach ($email in $invitations)
   {New-AzureADMSInvitation `
      -InvitedUserEmailAddress $email.InvitedUserEmailAddress `
      -InvitedUserDisplayName $email.Name `
      -InviteRedirectUrl https://myapps.microsoft.com `
      -InvitedUserMessageInfo $messageInfo `
      -SendInvitationMessage $true
   }

追加する必要のあるすべてのユーザーのリストを含む、コンマ区切り値 (CSV) ファイルを作成します。 その CSV ファイルに記載されている各ユーザーに対して招待が送信されます。

ユーザー アカウントの削除

Azure portal、Azure PowerShell、または Azure CLI を使用して、ユーザー アカウントを削除することもできます。 PowerShell で、コマンドレット Remove-AzureADUser を実行します。 Azure CLI で、コマンドレット az ad user delete を実行します。

ユーザーを削除すると、そのアカウントは 30 日間、中断状態のままになります。 その 30 日の期間中は、ユーザー アカウントを復元することができます。

自分の知識をチェックする

1.

ユーザー アカウントを誤って削除した場合、それを復元することは可能ですか?

2.

外部の組織が簡単にアクセスできるようにするには、どのような種類のアカウントを作成しますか?