ユーザーの作成と管理
Azure リソースへのアクセスを必要とするすべてのユーザーには、Azure ユーザー アカウントが必要です。 ユーザー アカウントには、サインイン プロセス中の認証に必要なすべての情報が含まれます。 認証が完了すると、Microsoft Entra ID では、アクセス トークンを構築してユーザーを認可し、ユーザーがアクセスできるリソースとそれらのリソースに対して実行できる操作を決定します。
Azure portal の Microsoft Entra ID ダッシュボードを使って、ユーザー オブジェクトを操作できます。 一度に 1 つのディレクトリだけを操作できることに注意してください。ただし、[ディレクトリ + サブスクリプション] ペインを使用してディレクトリを切り替えることができます。 ダッシュボードのツールバーには [テナントの管理] ボタンもあり、そこから簡単にすべてのディレクトリを表示したり、別の使用可能なディレクトリに切り替えたりできます。
ユーザーを表示する
Microsoft Entra ユーザーを表示するには、左側のメニュー ペインで、[管理] の下の [ユーザー] を選びます。 [すべてのユーザー] ペインが表示されます。 次のスクリーンショットに示されている、[ユーザーの種類] と [ID] の列に注目してください。
通常、Microsoft Entra ID は次の 3 つの方法でユーザーを定義します。
クラウド ID:これらのユーザーは Microsoft Entra ID にのみ存在します。 例として、自分で管理する管理者アカウントとユーザーがあります。 別の Microsoft Entra ID インスタンスで定義されているユーザーが、このディレクトリによって制御されるサブスクリプション リソースにアクセスする必要がある場合、そのソースは Microsoft Entra ID または外部 Microsoft Entra ID です。 これらのアカウントは、プライマリ ディレクトリから取り外されると、削除されます。
ディレクトリ同期 ID: これらのユーザーはオンプレミスの Active Directory に存在します。 Microsoft Entra Connect を介して発生する同期アクティビティは、これらのユーザーを Azure に移動します。 そのソースは、Windows Server AD です。
ゲスト ユーザー - これらのユーザーは Azure の外部に存在します。 例として、他のクラウド プロバイダーのアカウント、Xbox LIVE アカウントなどの Microsoft アカウントがあります。 そのソースは、招待されたユーザーです。 この種類のアカウントは、外部ベンダーや請負業者が Azure リソースへのアクセスを必要とする場合に便利です。 ヘルプが不要になったら、アカウントとすべてのアクセス権を削除できます。
ユーザーの追加
クラウド ID は、複数の方法で Microsoft Entra ID に追加できます。
- オンプレミスの Windows Server Active Directory を同期する
- Azure ポータルの使用
- コマンド ラインの使用
- その他のオプション
オンプレミスの Windows Server Active Directory を同期する
Microsoft Entra Connect は、従来の Active Directory を Microsoft Entra インスタンスと同期できるようにする別のサービスです。 これは、ほとんどの企業ユーザーがディレクトリにユーザーを追加する際に使用する方法です。 このアプローチの利点は、シングル サインオン (SSO) を使用してローカルおよびクラウドベースのリソースにアクセスできることです。
Azure portal を使用する
Azure portal を使用して、新しいユーザーを手動で追加できます。 これは、少数のユーザーを追加する最も簡単な方法です。 この機能を実行するには、ユーザー管理者ロールに属する必要があります。
Azure portal で新しいユーザーを追加するには、上部のメニュー バーで [新しいユーザー] を選択し、[新規ユーザーの作成] を選択します。
[名前] および [ユーザー名] に加え、[役職]、[部署]、[プロパティ] などのプロファイル情報を追加できます。
既定の動作では、新しいユーザーが組織に作成されます。 ユーザーは、alice@staracoustics.onmicrosoft.com のように、ディレクトリに割り当てられた既定のドメイン名を含むユーザー名を持つことになります。
また、ディレクトリにユーザーを "招待" することもできます。 この場合は、ユーザーが招待に同意すると、既知のメール アドレスにメールが送信され、アカウントが作成されて、そのメール アドレスに関連付けられます。
招待されたユーザーは、特定のメール アドレスが関連付けられていない場合は、関連付けられた Microsoft アカウント (MSA) を作成する必要があります。このアカウントは、ゲストユーザーとして Microsoft Entra ID に追加されます。
コマンド ラインを使用する
追加するユーザーが多い場合は、コマンドライン ツールを使用することをお勧めします。 New-MgUser PowerShell コマンドを実行して、クラウドベースのユーザーを追加できます。
# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }
# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled
このコマンドでは、作成した新しいユーザー オブジェクトが返されます。
DisplayName Id UserPrincipalName
----------- -- -----------------
Abby Brown f36634c8-8a93-4909-9248-0845548bc515 AbbyB@contoso.com
より標準的なコマンド ライン インターフェイスを利用したい場合は、Azure CLI を使用できます。
az ad user create --display-name "Abby Brown" \
--password "<password>" \
--user-principal-name "AbbyB@contoso.com" \
--force-change-password-next-login true \
--mail-nickname "AbbyB"
コマンドライン ツールを使用すると、スクリプトからユーザーを一括で追加できます。 この場合の最も一般的なアプローチは、コンマ区切り値 (CSV) ファイルを使用することです。 このファイルは手動で作成するか、既存のデータ ソースからファイルをエクスポートすることができます。
CSV の使用を計画している場合は、次の点を考慮する必要があります。
名前付け規則: ユーザー名、表示名、エイリアスの命名規則を確立または導入します。 たとえば、ユーザー名は、姓、ピリオド (.)、名の順に連結して構成します (Smith.John@contoso.com など)。
パスワード: 新しく作成されたユーザーの初期パスワードの規則を実装します。 新しいユーザーがセキュリティが強化された方法でパスワードを受信する方法を決定します。 一般的に使用される方法は、ランダムなパスワードを生成し、新しいユーザーまたはその管理者にメールで送信します。
Azure PowerShell で CSV を使用するには、次のようにします。
Connect-MgGraph コマンドを実行して、ディレクトリへの PowerShell 接続を作成します。 ディレクトリに対する権限を持つ管理者アカウントを使用して接続します。
新しいユーザーの新しいパスワード プロファイルを作成します。 新しいユーザーのパスワードは、ディレクトリに設定したパスワードの複雑性の規則に準拠する必要があります。
Import-CSVを使用して、CSV をインポートします。 CSV のパスとファイル名を指定する必要があります。ファイル内のユーザーをループし、各ユーザーに必要なユーザー パラメーターを構築します。 パラメーターの例としては、ユーザー プリンシパル名、表示名、名前、部署、役職などがあります。
New-MgUserコマンドを実行して、各ユーザーを作成します。 各アカウントは必ず有効にしてください。
その他のオプション
また、Microsoft Graph API を使って、または同じディレクトリを共有している場合は Microsoft 365 管理センターと Microsoft Intune 管理コンソールを使って、Microsoft Entra ID にプログラムでユーザーを追加することもできます。