管理単位スコープを使って Microsoft Entra ロールを割り当てる
Microsoft Entra ID でよりきめ細かく管理制御を行うには、1 つ以上の管理単位に制限されたスコープで Microsoft Entra ロールを割り当てることができます。 Microsoft Entra ロールが管理ユニットのスコープで割り当てられている場合、ロールのアクセス許可は管理ユニット自体のメンバーを管理する場合にのみ適用され、テナント全体の設定や構成には適用されません。
たとえば、管理ユニットのスコープでグループ管理者の役割が割り当てられている管理者は、管理ユニットのメンバーであるグループを管理できますが、テナント内の他のグループを管理することはできません。 また、有効期限やグループの名前付けポリシーなど、グループに関連するテナント レベルの設定を管理することはできません。
この記事では、Microsoft Entra ロールを管理単位スコープで割り当てる方法について説明します。
前提条件
- 管理単位の各管理者に対する Microsoft Entra ID P1 または P2 ライセンス
- 管理単位メンバーの Microsoft Entra ID Free ライセンス
- 特権ロール管理者
- PowerShell を使用する場合のMicrosoft Graph PowerShell モジュール
- 管理者の同意 (Microsoft Graph API の Graph エクスプローラーを使用する場合)
詳細については、「PowerShell または Graph エクスプローラーを使用するための前提条件」をご覧ください。
管理単位スコープを使用して割り当てることができるロール
次の Microsoft Entra ロールを、管理単位スコープを使って割り当てることができます。 さらに、カスタム ロールのアクセス許可に、ユーザー、グループ、またはデバイスに関連するアクセス許可が少なくとも 1 つ含まれている限り、任意のカスタム ロールを管理単位スコープで割り当てることができます。
| ロール | 説明 |
|---|---|
| 認証管理者 | 割り当てられた管理単位内でのみ、管理者以外のユーザーの認証方法の情報を表示、設定、リセットするためにアクセスできます。 |
| クラウド デバイス管理者 | Microsoft Entra ID でデバイスを管理するための制限付きアクセス。 |
| グループ管理者 | 割り当て*られたグループ*のアスペクト*を管理ユニット*においてのみ、管理することができます。 |
| ヘルプデスク管理者 | 割り当てられた管理単位内でのみ、管理者以外のユーザーのパスワードをリセットできます。 |
| ライセンス管理者 | 管理単位内でのみ、ライセンスの割り当て、削除、更新を行うことができます。 |
| パスワード管理者 | 割り当てられた管理単位内でのみ、管理者以外のユーザーのパスワードをリセットできます。 |
| プリンター管理者 | プリンターとプリンター コネクタを管理できます。 詳細については、ユニバーサル印刷でのプリンター管理の委任に関する記事を参照してください。 |
| 特権認証管理者 | 任意のユーザー (管理者でも管理者以外でも) の認証方法の情報を表示、設定、リセットするためにアクセスできます。 |
| SharePoint 管理者 | 割り当て*られた管理ユニット*においてのみ、Microsoft 365 グループ*を管理することができます。 管理ユニット*内の Microsoft 365* グループ*に関連付けられているSharePoint サイト*の場合は、Microsoft 365* 管理センター を使用してサイト*のプロパティ (サイト*名、URL*、外部共有*ポリシー*) を更新する*こともできます。 SharePoint 管理センターまたは SharePoint API* を使用してWeb サイト*を管理することはできません。 |
| Teams 管理者 | 割り当て*られた管理ユニット*においてのみ、Microsoft 365 グループ*を管理することができます。 割り当て*られた管理ユニット*内でのみ、グループ*に関連付けられているチーム*に対して、Microsoft 365* 管理センターのチーム* メンバー*を管理することができます。 Teams 管理センターは使用できません。 |
| Teams デバイス管理者 | Teams 認定デバイスで管理関連タスクを実行できます。 |
| ユーザー管理者 | 割り当てられた管理単位内でのみ、ユーザーとグループのすべての側面 (制限付き管理者のパスワードのリセットを含む) を管理できます。 現在、ユーザーのプロファイル写真を管理できません。 |
| <カスタム ロール> | カスタム ロールの定義に従って、ユーザー、グループ、またはデバイスに適用されるアクションを実行できます。 |
特定のロールのアクセス許可は、管理単位のスコープで割り当てられた管理者以外のユーザーにのみ適用されます。 つまり、管理単位スコープの ヘルプデスク管理者 は、それらのユーザーが管理者ロールを持っていない場合にのみ、管理単位内のユーザーのパスワードをリセットできます。 アクションのターゲットが別の管理者である場合、次の一連のアクセス許可が制限されます。
- ユーザー認証方法の読み取りおよび変更、またはユーザー パスワードのリセット
- 電話番号、代替メール アドレス、Open Authorization (OAuth) 秘密鍵などの機密性の高いユーザー プロパティを変更する
- ユーザー アカウントを削除または復元する
管理単位スコープを使用して割り当てることができるセキュリティ プリンシパル
次のセキュリティ プリンシパルは、管理単位スコープ付きのロールに割り当てることができます。
- ユーザー
- Microsoft Entra のロール割り当て可能なグループ
- サービス プリンシパル
サービス プリンシパルとゲスト ユーザー
サービス プリンシパルとゲスト ユーザーは、オブジェクトの読み取りに対応するアクセス許可も割り当てられている場合を除き、管理単位をスコープとしたロールの割り当てを使用できません。 これは、サービス プリンシパルとゲスト ユーザーは、管理アクションを実行するために必要なディレクトリ読み取りアクセス許可を既定で受け取らないためです。 サービス プリンシパルまたはゲスト ユーザーが管理単位をスコープとするロールの割り当てを使用できるようにするには、テナント スコープで ディレクトリ閲覧者 ロール (または読み取りアクセス許可を含む別のロール) を割り当てる必要があります。
現在、管理単位をスコープにしたディレクトリ読み取りアクセス許可を割り当てることはできません。 ユーザーの既定のアクセス許可の詳細については、「既定のユーザーのアクセス許可」を参照してください。
管理単位スコープを使用してロールを割り当てる
Microsoft Entra 管理センター、PowerShell、または Microsoft Graph を使って、管理単位スコープで Microsoft Entra ロールを割り当てることができます。
Microsoft Entra 管理センター
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
[ID]>[役割と管理者]>[管理単位] に移動します。
ユーザー ロール スコープを割り当てる管理単位を選択します。
左側のペインで、 [ロールと管理者] を選択して、利用可能なすべてのロールを一覧表示します。
![ロール スコープを割り当てる管理単位を選択するための [ロールと管理者] ペインのスクリーンショット。](media/admin-units-assign-roles/select-role-to-scope.png)
割り当てるロールを選択し、 [割り当ての追加] を選択します。
[割り当ての追加] ペインで、ロールに割り当てられる 1 人以上のユーザーを選択します。
![スコープを設定するロールを選択してから、[割り当ての追加] を選択する](media/admin-units-assign-roles/select-add-assignment.png)
Note
Microsoft Entra Privileged Identity Management (PIM) を使って管理単位でロールを割り当てるには、PIM での Microsoft Entra ロールの割り当てるに関する記事を参照してください。
PowerShell
New-MgRoleManagementDirectoryRoleAssignment コマンドと DirectoryScopeId パラメーターを使用して、管理単位スコープを持つロールを割り当てます。
$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Add a scopedRoleMember API を使用し、管理単位スコープを使用してロールを割り当てます。
要求
POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
本文
{
"roleId": "roleId-value",
"roleMemberInfo": {
"id": "id-value"
}
}
管理単位スコープを使用してロールの割り当てを一覧表示する
Microsoft Entra 管理センター、PowerShell、または Microsoft Graph を使って、管理単位スコープで Microsoft Entra ロール割り当ての一覧を表示できます。
Microsoft Entra 管理センター
Microsoft Entra 管理センターの [管理単位] セクションに、管理単位スコープを使用して作成されたすべてのロール割り当てを表示できます。
Microsoft Entra 管理センターにサインインします。
[ID]>[役割と管理者]>[管理単位] に移動します。
表示するロール割り当てのリストの管理単位を選択します。
[ロールと管理者] を選択し、ロールを開いて管理単位内の割り当てを表示します。
PowerShell
Get-MgDirectoryAdministrativeUnitScopedRoleMember コマンドを使用して、管理単位スコープを持つ役割の割り当てを一覧表示します。
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *
Microsoft Graph API
List scopedRoleMember API を使用し、管理単位スコープのあるロール割り当てを一覧表示します。
要求
GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers
本文
{}