管理者アカウントを追加して管理する
適用対象: 
従業員テナント 
外部テナント (詳細情報)
Microsoft Entra 外部 ID で、外部テナントは、コンシューマーおよびゲストのアカウントのディレクトリを表します。 管理者ロールを使用すると、職場およびゲストのアカウントでテナントを管理できます。
前提条件
- まだ独自の Microsoft Entra 外部テナントを作成していない場合は、ここで作成してください。
- Microsoft Entra 外部 ID でのユーザー アカウントについて理解している。
- リソース アクセスを制御するユーザー ロールについて理解する。
管理者アカウントを追加する
新しいユーザー アカウントを作成し、Microsoft Entra ロールを追加してアカウントに管理者アクセス許可を付与するには、次の手順に従います。 (ここでは、必要な手順のみを説明します。すべてのプロパティの詳細については、Microsoft Entra ID に関する記事「ユーザーを作成する方法を参照してください。)
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン
を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
[新しいユーザー]>[新しいユーザーの作成] を選択します。
[基本] タブの [IDで、この管理者の情報を入力します。
- ユーザー プリンシパル名: 一意のユーザー名を入力し、@ 記号の後のメニューからドメインを選択します。
- 表示名: Chris Green や Chris A. Green などのユーザーの名前を入力します。
- パスワード: 自動生成されたパスワードをコピーするか、[パスワード を自動生成]オプションをオフにして別のパスワードを入力します。 初めてサインインするには、管理者にこのパスワードを指定する必要があります。
[割り当て] タブを選択し、次の手順に従ってロールをユーザーに割り当てます。 (グループの追加は省略可能です)。
- [+ ロールの追加] を選択します。
- 表示されるメニューから、一覧から最大 20 個のロールを選択します。 Microsoft Entra ID の 1 つ以上の管理者の役割にユーザーを割り当てることができます。
- 「Select」ボタンを選択します。
[確認および作成] ボタンを選択します。
管理者が作成され、外部テナントに追加されます。
管理者 (ゲスト アカウント) を招待する
テナントを管理するために、新しいゲスト ユーザーを招待することもできます。 管理者アクセス許可を持つ新しいゲスト ユーザーを招待するには、次の手順に従います。
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン
を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
[新しいユーザー]>[外部ユーザーの招待 (プレビュー)]を選択します。
[基本] タブで、ユーザーの情報を入力します。
- 電子メール。 [必須] 。 招待するユーザーの電子メール アドレス。
- 表示名。 新しいユーザーの氏名です。 たとえば、Mary Parker にします。
- [招待メッセージ] で:
- 招待メールをユーザーに送信する場合は、[招待メッセージ 送信する] チェック ボックスをオンにします。 それ以外の場合は、チェック ボックスをオフにします。
- メッセージで、招待メールに含める個人用メッセージを追加します。
- 招待メールのコピーを他のユーザーに送信するには、cc 受信者のテキスト ボックスにメール アドレス 追加します。
- 招待リダイレクト URL 既定で MyApplications に設定されます。この URL は、招待を利用するときにユーザーがリダイレクトされます。 別の URL に変更できます。
[割り当て] タブを選択し、次の手順に従ってロールをユーザーに割り当てます。 (グループの追加は省略可能です)。
- [+ ロールの追加] を選択します。
- 表示されるメニューから、一覧から最大 20 個のロールを選択します。 Microsoft Entra ID の 1 つ以上の管理者の役割にユーザーを割り当てることができます。
- [選択] ボタンを選択します。
[確認と招待] ボタンを選択します。
招待メールがユーザーに送信されます。 ユーザーは、招待に同意すると、サインインできるようになります。
ロールの割り当てを変更または追加する
ユーザーを作成するか、ゲスト ユーザーを招待するときにロールを割り当てることができます。 ユーザーに対してロールの追加、変更、または削除を実行できます。
- Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
- 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- ロールを変更するユーザーを選択します。 次に、 [割り当てられたロール] を選択します。
- [割り当ての追加] を選び、割り当てるロール ("アプリケーション管理者" など) を選んでから、[追加] を選びます。
ロールの割り当てを削除する
ユーザーに割り当てたロールを削除する必要がある場合は、次の手順を実行します。
- Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
- 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- ロールを変更するユーザーを選択します。 次に、 [割り当てられたロール] を選択します。
- 削除するロール ("アプリケーション管理者" など) を選び、[割り当ての削除] を選びます。
管理者アカウントのロールの割り当てを確認する
監査プロセスの一環として、通常は、顧客ディレクトリ内の特定のロールにどのユーザーが割り当てられているかを確認します。 現在、どのユーザーに特権ロールが割り当てられているかを監査するには、次の手順に従います。
- Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
- 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。
- [Identity] (ID)>[役割と管理者]>[役割と管理者] の順に移動します。
- [ユーザー管理者] などのロールを選択します。 [割り当て] ページには、そのロールのユーザーが一覧表示されます。
管理者アカウントを削除する
既存のユーザーを削除するには、少なくともユーザー管理者ロールの割り当てがある必要があります。 特権認証管理者は、他の管理者を含むすべてのユーザーを削除できます。 "ユーザー管理者" は、管理者以外のユーザーを削除できます。
- 少なくとも特権認証管理者として Microsoft Entra 管理センターにサインインします。
- 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 削除するユーザーを選びます。
- [削除] を選択し、 [はい] を選択して削除を確定します。
ユーザーが削除され、[すべてのユーザー] ページに表示されなくなります。 ユーザーは、削除後 30 日間は [削除済みのユーザー] ページに表示され、その期間内であれば復元できます。 ユーザーの復元の詳細については、Microsoft Entra ID を使用した最近削除されたユーザーの復元または削除に関するページを参照してください。
管理アカウントを保護する
セキュリティを強化するために、多要素認証 (MFA) ですべての管理者アカウントを保護することをお勧めします。 MFA は、ワンタイム パスコードをユーザーに求める、サインイン時の ID 検証プロセスです。
Microsoft は、組織が全体管理者ロールが永続的に割り当てられる 2 つのクラウド専用緊急アクセス アカウントを作成することを推奨しています。 このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。 これらのアカウントは、通常のアカウントを使用できない、または他のすべての管理者が誤ってロックアウトされたという緊急または "break glass" のシナリオに限定されます。これらのアカウントは、緊急アクセス アカウントに関する推奨事項に従って作成する必要があります。