ユーザーの作成と管理

完了

Azure リソースへのアクセスを必要とするすべてのユーザーには、Azure ユーザー アカウントが必要です。 ユーザー アカウントには、サインイン プロセス中にユーザーを認証するために必要なすべての情報が含まれます。 認証が完了すると、承認し、どのリソースにアクセスできるのか、また、それらのリソースに対して何を実行できるのかを決定するアクセス トークンが Azure AD によって作成されます。

ユーザー オブジェクトを操作するには、Azure portal で Azure Active Directory ダッシュボードを使用します。 一度に 1 つのディレクトリだけを操作できることに注意してください。ただし、[Directory + Subscription](ディレクトリ + サブスクリプション) ペインを使用してディレクトリを切り替えることができます。 ダッシュボードには、ツールバーに [ディレクトリの切り替え] ボタンもあり、別の使用可能なディレクトリに簡単に切り替えることができます。

ユーザーを表示する

Azure AD ユーザーを表示するには、左側のメニュー ペインで、[管理] の下の [ユーザー] を選択します。 [すべてのユーザー] ペインが表示されます。 時間を取って、ポータルにアクセスし、ユーザーを表示します。 次のスクリーンショットに示されている、[ユーザーの種類][ID の発行者] の列に注目してください。

[ユーザー タイプ] と [Identity issuer](ID 発行者) 列がある [すべてのユーザー] ペインを示すスクリーンショット。

通常、Azure AD は次の 3 つの方法でユーザーを定義します。

  • クラウド ID - これらのユーザーは Azure AD にのみ存在します。 例として、自分で管理する管理者アカウントとユーザーがあります。 別の Azure AD インスタンスで定義されているユーザーが、このディレクトリによって制御されるサブスクリプション リソースにアクセスする必要がある場合、そのソースは Azure Active Directory または External Azure Active Directory です。 これらのアカウントは、プライマリ ディレクトリからなくなると、削除されます。

  • ディレクトリ同期 ID - これらのユーザーはオンプレミスの Active Directory に存在します。 Azure AD Connect を介して実行される同期アクティビティにより、これらのユーザーは Azure に提供されます。 そのソースは、Windows Server AD です。

  • Guest ユーザー - これらのユーザーは Azure の外部に存在します。 例として、他のクラウド プロバイダーのアカウント、Xbox LIVE アカウントなどの Microsoft アカウントがあります。 そのソースは、招待されたユーザー です。 この種類のアカウントは、外部ベンダーや請負業者が Azure リソースへのアクセスを必要とする場合に便利です。 ヘルプが不要になったら、アカウントとすべてのアクセス権を削除できます。

ユーザーの追加

Azure AD にクラウド ID を追加するには、複数の方法があります。

  • オンプレミスの Windows Server Active Directory を同期する
  • Azure ポータルの使用
  • コマンド ラインの使用
  • その他のオプション

オンプレミスの Windows Server Active Directory を同期する

Azure AD Connect は、従来の Active Directory を Azure AD インスタンスと同期できるようにする別のサービスです。 これは、ほとんどの企業ユーザーがディレクトリにユーザーを追加する際に使用する方法です。 このアプローチの利点は、シングル サインオン (SSO) を使用してローカルおよびクラウドベースのリソースにアクセスできることです。

Azure portal を使用する

Azure portal を使用して、新しいユーザーを手動で追加できます。 これは、少数のユーザーを追加する最も簡単な方法です。 この機能を実行するには、ユーザー管理者 ロールに属する必要があります。

  1. Azure portal で新しいユーザーを追加するには、上部のメニュー バーで [新しいユーザー] を選択します。

    Azure AD ポータルの [新規ユーザー] ボタンが強調表示されているスクリーンショット。

  2. [名前] および [ユーザー名] に加え、[役職][部署] などのプロファイル情報を追加できます。

    [新規ユーザー] ダイアログのスクリーンショット。

    既定の動作では、新しいユーザーが組織に作成されます。 ユーザーは、alice@staracoustics.onmicrosoft.com のように、ディレクトリに割り当てられた既定のドメイン名を含むユーザー名を持つことになります。

  3. また、ディレクトリにユーザーを "招待" することもできます。 この場合は、招待に同意すると、既知のメール アドレスにメールが送信され、アカウントが作成されて、そのメール アドレスに関連付けられます。

    招待画面のスクリーンショット。

    招待されたユーザーは、特定のメール アドレスが関連付けられていない場合は、関連付けられた Microsoft アカウント (MSA) を作成する必要があります。このアカウントは、ゲストユーザーとして Azure AD に追加されます。

コマンド ラインを使用する

追加するユーザーが多い場合は、コマンドライン ツールを使用することをお勧めします。 New-AzureADUser Azure PowerShell コマンドを実行して、クラウドベースのユーザーを追加できます。

# Create a password object
$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile

# Assign the password
$PasswordProfile.Password = "<Password>"

# Create the new user
New-AzureADUser -AccountEnabled $True -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com"

このコマンドでは、作成した新しいユーザー オブジェクトが返されます。

ObjectId                             DisplayName UserPrincipalName UserType
--------                             ----------- ----------------- --------
f36634c8-8a93-4909-9248-0845548bc515 Abby Brown  AbbyB@contoso.com Member

より従来型のコマンドラインを利用したい場合は、Azure CLI を使用できます。

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

コマンドライン ツールを使用すると、スクリプトからユーザーを一括で追加できます。 この場合の最も一般的なアプローチは、コンマ区切り値 (CSV) ファイルを使用することです。 このファイルは手動で作成するか、既存のデータ ソースからファイルをエクスポートすることができます。

CSV の使用を計画している場合は、次の点を考慮する必要があります。

  • 名前付け規則。 ユーザー名、表示名、別名の名前付け規則を制定または実装します。 たとえば、ユーザー名は、姓、ピリオド (.)、名の順に連結して構成します (Smith.John@contoso.com など)。

  • パスワード。 新しく作成されたユーザーの初期パスワードの規則を実装します。 新しいユーザーがセキュリティが強化された方法でパスワードを受信する方法を決定します。 一般的に使用される方法は、ランダムなパスワードを生成し、新しいユーザーまたはその管理者にメールで送信します。

Azure PowerShell で CSV を使用するには、次のようにします。

  1. Connect-AzureAD コマンドを実行して、ディレクトリへの Azure PowerShell 接続を作成します。 ディレクトリに対する権限を持つ管理者アカウントを使用して接続します。

  2. 新しいユーザーの新しいパスワード プロファイルを作成します。 新しいユーザーのパスワードは、ディレクトリに設定したパスワードの複雑性の規則に準拠する必要があります。

  3. Import-CSV を使用して、CSV をインポートします。 CSV のパスとファイル名を指定する必要があります。

  4. ファイル内のユーザーをループし、各ユーザーに必要なユーザー パラメーターを構築します。 パラメーターの例としては、ユーザー プリンシパル名、表示名、名、部署、役職などがあります。

  5. New-AzureADUser コマンドを実行して、各ユーザーを作成します。 各アカウントは必ず有効にしてください。

その他のオプション

また、プログラムで Azure AD Graph API を使用する、または同じディレクトリを共有している場合は Microsoft 365 管理センターと Microsoft Intune 管理コンソールを使用して、Azure AD にユーザーを追加することもできます。