Microsoft Entra ID の管理単位
この記事では、Microsoft Entra ID の管理単位について説明します。 管理単位は、他の Microsoft Entra リソースのコンテナーとして使用できる Microsoft Entra リソースです。 管理単位には、ユーザー、グループ、デバイスのみを含めることができます。
管理単位では、ロールのアクセス許可が、組織の任意の定義部分に限定されます。 たとえば、管理単位を使用して、ヘルプデスク管理者のロールを地域のサポート スペシャリストに委任できます。そうすれば、そのスペシャリストが自分のサポートするリージョンのユーザーのみを管理できます。 なお、管理単位のメンバーではないユーザーにロールを割り当てる場合、そのロールのスコープはテナント全体になります。
ユーザーは複数の管理単位のメンバーにすることができます。 たとえば、地域別や部門別で管理単位にユーザーを追加できます。Megan Bowen は、管理単位の "Seattle" や "Marketing" に属することがあります。
デプロイ シナリオ
あらゆる種類の独立した部門で構成される組織では、管理単位を使用して管理スコープを制限することが役立つ可能性があります。 多数の自律的な学部 (経営学部、工学部など) で構成される大きな大学の例を考えてみましょう。 各学部には、アクセスを制御し、ユーザーを管理し、学部のポリシーを設定する IT 管理者のチームがあります。
全体管理者は、以下を行うことができます。
- 経営学部の管理単位を作成する。
- 管理単位に経営学部内の学生とスタッフのみを設定する。
- 経営学部管理単位内の Microsoft Entra ユーザーのみを対象とする管理アクセス許可を含むロールを作成する。
- 経営学部の IT チームを役割とその範囲に追加します。
制約
管理単位の制約の一部を次に示します。
- 管理単位を入れ子にすることはできません。
- 現在、管理単位は Microsoft Entra ID ガバナンスでは使用できません。
グループ
管理単位にグループを追加すると、グループ自体は管理単位の管理スコープに入れられますが、グループのメンバーには入れられません。 つまり、管理単位をスコープとする管理者は、グループ名やメンバーシップなどのグループのプロパティを管理できますが、そのグループ内のユーザーやデバイスのプロパティは管理できません (それらのユーザーとデバイスが管理単位のメンバーとして個別に追加されている場合を除きます)。
たとえば、グループを含む管理単位をスコープとするユーザー管理者が実行できる操作と実行できない操作を次に示します。
アクセス許可 | できること |
---|---|
グループの名前を管理する | ✅ |
グループのメンバーシップを管理する | ✅ |
グループの個々のメンバーのユーザー プロパティを管理する | ❌ |
グループの個々のメンバーのユーザー認証方法を管理する | ❌ |
グループの個々のメンバーのパスワードをリセットする | ❌ |
ユーザー管理者がグループの個々のメンバーのユーザー プロパティまたはユーザー認証方法を管理するには、グループ メンバー (ユーザー) を管理単位のメンバーとして直接追加する必要があります。
ライセンスの要件
管理単位を使用するには、管理単位のスコープを介してロールを直接割り当てられている管理単位の各管理者に Microsoft Entra ID P1 ライセンスが必要です。また、管理単位の各メンバーには Microsoft Entra ID Free ライセンスが必要です。 管理単位の作成は、Microsoft Entra ID Free ライセンスで行うことができます。 管理単位に動的メンバーシップ グループのルールを使用している場合は、各管理単位メンバーに Microsoft Entra ID P1 ライセンスが必要です。 要件に合ったライセンスを見つけるには、「一般公開されている無料と Premium Edition の機能の比較」を参照してください。
管理単位を管理する
管理単位は、Microsoft Entra 管理センター、PowerShell コマンドレットとスクリプト、または Microsoft Graph API を使用して管理できます。 詳細については、以下を参照してください:
- 管理単位の作成または削除
- ユーザー、グループ、デバイスを管理単位に追加する
- 動的メンバーシップ グループの規則を使用して管理単位のユーザーまたはデバイスを管理する
- 管理単位スコープを使って Microsoft Entra ロールを割り当てる
- 管理単位を使用する: PowerShell を使用して管理単位を操作する方法が記載されています。
- 管理単位での Graph のサポート: Microsoft Graph で管理単位を使用するための詳細なドキュメントが提供されています。
管理単位を計画する
管理単位を使用して、Microsoft Entra リソースを論理的にグループ化できます。 IT 部門がグローバルに分散している組織では、適切な地理的境界を定義する管理単位を作成するでしょう。 グローバルな組織に、業務において半自律的なサブ組織がある別のシナリオでは、管理単位でサブ組織を表すことができます。
管理単位を作成する条件は、組織固有の要件によって決まります。 管理単位は、Microsoft 365 サービスをまたがる構造を定義するための一般的な方法です。 Microsoft 365 サービスをまたがる使用を考慮して管理単位を準備することをお勧めします。 管理単位の下にある Microsoft 365 間で共通のリソースを関連付けることができる場合は、管理単位から最大の価値を得ることができます。
次の段階に進むには、組織内の管理単位の作成が予想されます。
- 初期導入: 組織は初期条件に基づいて管理単位の作成を開始しますが、条件の適用範囲を絞り込むにつれて管理単位の数が増加していきます。
- 排除: 条件を定義すると、不要になった管理単位が削除されます。
- 安定化: 組織の構造が定義されており、管理単位の数が短期間で大幅に変更されることはありません。
現在サポートされているシナリオ
特権ロール管理者は、Microsoft Entra 管理センターを使って次のことができます。
- 管理単位を管理する
- ユーザー、グループ、デバイスを管理単位のメンバーとして追加する
- 動的メンバーシップ グループの規則を使用して管理単位のユーザーまたはデバイスを管理する
- 管理単位を対象範囲とする管理者の役割に IT スタッフを割り当てます。
管理単位スコープの管理者は、Microsoft 365 管理センターを使用して、管理単位内のユーザーの基本的な管理を行うことができます。 管理単位のスコープであるグループ管理者は、PowerShell、Microsoft Graph、および Microsoft 365 管理センターを使用してグループを管理できます。
管理単位では、管理アクセス許可にのみスコープが適用されます。 メンバーまたは管理者が既定のユーザー アクセス許可を使用して管理単位外の他のユーザー、グループ、またはリソースを参照するのを妨げられることはありません。 Microsoft 365 管理センターでは、スコープ管理者の管理単位外のユーザーは除外されます。ただし、Microsoft Entra 管理センター、PowerShell、およびその他の Microsoft サービスで他のユーザーを参照することはできます。
Note
Microsoft 365 管理センターでは、このセクションで説明されている機能のみを使用できます。 管理単位のスコープである Microsoft Entra ロールでは、組織レベルの機能は使用できません。
以下のセクションでは、さまざまな管理単位シナリオに対する現在のサポート状況について説明しています。
管理単位管理
アクセス許可 | Microsoft Graph/PowerShell | Microsoft Entra 管理センター | Microsoft 365 管理センター |
---|---|---|---|
管理単位を作成または削除する | ✅ | ✅ | ✅ |
メンバーの追加または削除 | ✅ | ✅ | ✅ |
管理単位を対象範囲とする管理者を割り当てる | ✅ | ✅ | ✅ |
ルールに基づいた動的なユーザーまたはデバイスの追加または削除 | ✅ | ✅ | ❌ |
グループをルールに基づいてダイナミックに追加または削除する | ❌ | ❌ | ❌ |
[ユーザー管理]
アクセス許可 | Microsoft Graph/PowerShell | Microsoft Entra 管理センター | Microsoft 365 管理センター |
---|---|---|---|
管理単位を対象範囲とするユーザー プロパティ、パスワードの管理 | ✅ | ✅ | ✅ |
管理単位を対象範囲とするユーザー ライセンスの管理 | ✅ | ✅ | ✅ |
管理単位を対象範囲とするユーザー サインインのブロックとブロック解除 | ✅ | ✅ | ✅ |
ユーザーの多要素認証資格情報に対する、管理単位スコープでの管理 | ✅ | ✅ | ❌ |
グループの管理
アクセス許可 | Microsoft Graph/PowerShell | Microsoft Entra 管理センター | Microsoft 365 管理センター |
---|---|---|---|
グループの管理単位スコープでの作成と削除 | ✅ | ✅ | ✅ |
Microsoft 365 グループのグループ プロパティおよびメンバーシップの管理単位スコープでの管理 | ✅ | ✅ | ✅ |
他のすべてのグループのグループ プロパティおよびメンバーシップの管理単位スコープでの管理 | ✅ | ✅ | ❌ |
管理単位を対象範囲とするグループ ライセンスの管理 | ✅ | ✅ | ❌ |
デバイス管理
アクセス許可 | Microsoft Graph/PowerShell | Microsoft Entra 管理センター | Microsoft 365 管理センター |
---|---|---|---|
デバイスを有効化、無効化、または削除する | ✅ | ✅ | ❌ |
BitLocker 回復キーを読む | ✅ | ✅ | ❌ |
現時点では、Intune でのデバイスの管理はサポートされていません。