Microsoft Entra ID のユーザー アカウントとは
Microsoft Entra ID では、すべてのユーザー アカウントに既定のアクセス許可のセットが付与されます。 ユーザー アカウントのアクセス権は、ユーザーの種類、ユーザーのロールの割り当て、および個々のオブジェクトの所有権で構成されます。
Microsoft Entra ID にはさまざまな種類のユーザー アカウントがあります。 それぞれの種類には、各種類のユーザー アカウントでの実行が予想される作業範囲に、固有のアクセス レベルがあります。 管理者が最も高いレベルのアクセス権を持ち、Microsoft Entra 組織のメンバーのユーザー アカウントがそれに続きます。 ゲスト ユーザーのアクセス レベルは最も制限されています。
アクセス許可とロール
Microsoft Entra ID では、アクセス許可を使用して、ユーザーまたはグループに付与するアクセス権を制御できます。 これはロールを使用して行うことができます。 Microsoft Entra ID には、異なるアクセス許可が関連付けられた多数のロールがあります。 特定のロールを割り当てられたユーザーは、そのロールからアクセス許可を継承します。 たとえば、ユーザー管理者ロールに割り当てられたユーザーは、ユーザー アカウントの作成と削除ができます。
適切なユーザーに適切な種類のロールを割り当てるタイミングを理解することは、プライバシーとセキュリティのコンプライアンスを維持する上で基本的かつ重要な手順です。 不適切なユーザーに不適切なロールが割り当てられている場合、そのロールに含まれるアクセス許可によって、そのユーザーが組織に深刻な損害を与える可能性があります。
管理者ロール
Microsoft Entra ID の管理者ロールによって、誰が何を実行できるのかを制御するための、昇格されたアクセス権がユーザーに許可されます。 これらのロールは、Microsoft Entra 組織内の ID タスクを管理する限られたユーザーのグループに割り当てます。 管理者ロールを割り当てることで、ユーザーの作成または編集、他のユーザーへの管理者ロールの割り当て、ユーザー パスワードのリセット、ユーザー ライセンスの管理などをユーザーに許可できます。
お使いのユーザー アカウントにユーザー管理者または全体管理者ロールが割り当てられている場合は、Azure portal、Azure CLI、または PowerShell を使用して Microsoft Entra ID に新しいユーザーを作成できます。 PowerShell で、コマンドレット New-MgUser を実行します。 Azure CLI では、az ad user create を使用します。
メンバー ユーザー
メンバー ユーザー アカウントは、自分のプロファイル情報を管理できる権限など、一連の既定のアクセス許可を付与された Microsoft Entra 組織のネイティブ メンバーです。 新しいユーザーが組織に参加したとき、通常はこの種類のアカウントがそのユーザー用に作成されます。
ゲスト ユーザーではなく、管理者ロールも割り当てられていないユーザーは、この種類に分類されます。 メンバー ユーザー ロールは、組織内部のユーザーと見なされ、かつ Microsoft Entra 組織のメンバーであるユーザーを対象とします。 ただし、これらのユーザーは、ユーザーの作成や削除など、他のユーザーの管理をできないようにする必要があります。 メンバー ユーザーには、ゲスト ユーザーに通常設定されるのと同じ制限はありません。
ゲスト ユーザー
ゲスト ユーザーには、制限された Microsoft Entra 組織のアクセス許可が付与されます。 ご自身の組織と共同作業を行う他のユーザーを招待する場合は、そのユーザーをゲスト ユーザーとして Microsoft Entra 組織に追加します。 次に、招待の引き換えリンクを含む招待メールを送信するか、共有するアプリへの直接リンクを送信できます。 ゲスト ユーザーは、自分の職場、学校、またはソーシャル ID を使用してサインインします。 既定では、Microsoft Entra メンバー ユーザーはゲスト ユーザーを招待できます。 ユーザー管理者のロールを持つユーザーは、この既定値を無効にすることができます。
組織は、外部のパートナーと協力することが必要な場合があります。 ご自分の組織と共同作業を行う場合、そのようなパートナーに、特定のリソースに対する一定レベルのアクセス権を付与する必要があることがよくあります。 このような状況では、ゲスト ユーザー アカウントを使用することをお勧めします。 そのうえで、パートナーが作業を行うための適切なレベルのアクセス権を持ち、必要以上に高いレベルのアクセス権を持っていないことを確認します。
ユーザー アカウントの追加
Azure portal、Azure PowerShell、または Azure CLI を使用して、個々のユーザー アカウントを追加できます。
Azure CLI を使用する場合は、次のコマンドレットを実行します。
# create a new user
az ad user create
このコマンドでは、Azure CLI を使用して新しいユーザーが作成されます。
Azure PowerShell の場合は、次のコマンドレットを実行します。
# create a new user
New-MgUser
メンバー ユーザーとゲストのアカウントを一括作成できます。 次の例は、ゲスト ユーザーを一括招待する方法を示しています。
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
追加する必要のあるすべてのユーザーのリストを含む、コンマ区切り値 (CSV) ファイルを作成します。 その CSV ファイルに記載されている各ユーザーに対して招待が送信されます。
ユーザー アカウントの削除
Azure portal、Azure PowerShell、または Azure CLI を使用して、ユーザー アカウントを削除することもできます。 PowerShell で、コマンドレット Remove-MgUser を実行します。 Azure CLI で、コマンドレット az ad user delete を実行します。
ユーザーを削除すると、そのアカウントは 30 日間、中断状態のままになります。 その 30 日の期間中は、ユーザー アカウントを復元することができます。