管理者アカウントを追加する

  • 10 分

演習 - 管理者アカウントを追加する

Microsoft Entra 外部 ID で、外部テナントは、コンシューマーおよびゲストのアカウントのディレクトリを表します。 管理者の役割を使うと、職場アカウントとゲスト アカウントでテナントを管理できます。

Note

管理者アカウントを作成するには、少なくともユーザー管理者ディレクトリ ロールが必要です。

このロールは特権ロールです特権ロールを使用するためのベスト プラクティスについてお読みください

フィードバックがありますか? ご自身の概念実証プロジェクトがどのように進んでいるかをお知らせください。 ご意見をお聞かせください!

警告

管理者アカウントを作成するときは、ユーザーに必要最小限の特権ロールを割り当て、タスクを完了するために必要なアクセス許可のみを付与することをお勧めします。

  1. 管理者アカウントを追加するには、少なくとも特権ロール管理者のアクセス許可で Microsoft Entra 管理センターにサインインして、[ID]>[ユーザー]>[すべてのユーザー] に移動します。 次に、[新しいユーザー]>[新しいユーザーの作成] を選びます。

    [ユーザー] ブレードのスクリーンショット。[新しいユーザー] というタイトルのボタンと、ドロップダウン メニュー オプションの 1 つである、組織内に新しい内部ユーザーを作成できる [新しいユーザーの作成] が強調されています。

  2. [新しいユーザーの作成] ページで、次の情報を入力してください。

    • [基本] で、この管理者の情報を入力します。
      1. [ユーザー プリンシパル名] (必須): 新しいユーザーのユーザー名。 たとえば、emily@woodgrovelive.com のようにします。
      2. [表示名]: 新しいユーザーの名前。 Emily Doe はその例です。
    • [パスワード] で、パスワード ボックス提供される自動生成されたパスワードをコピーします。 初めてサインインする管理者にこのパスワードを渡す必要があります。

    [新しいユーザーの作成] ブレードのスクリーンショット。必須のフィールド [ユーザー プリンシパル名]、[メール ニックネーム]、[表示名]、[パスワード] が設定されています。

  3. [プロパティ] では、他のプロパティと共に [名][姓] も入力できます。

    ウィザード ナビゲーションの [プロパティ] というタイトルのタブの 1 つが選ばれている [新しいユーザーの作成] ブレードのスクリーンショット。ユーザーに関して入力できる名、姓、その他の情報などのプロパティが示されています。

  4. ユーザーに対して管理アクセス許可を追加するには、Microsoft Entra ID の 1 つ以上の管理者ロールに追加します。 [割り当て] で、[ロールの追加] を選びます。 次に、このユーザーに割り当てるロールを見つけて、[選択] を選びます。

    警告

    管理者アカウントを作成するときは、ユーザーに必要最小限の特権ロールを割り当て、タスクを完了するために必要なアクセス許可のみを付与することをお勧めします。

    ウィザード ナビゲーションの [割り当て] というタイトルの次のタブが選ばれている [新しいユーザーの作成] ブレードのスクリーンショット。[ロールの追加] というタイトルのボタンが強調されています。右側に開いた [ディレクトリ ロール] ウィンドウで、セキュリティ管理者ロールが強調されています。

  5. アカウントを作成するには、[作成] を選びます。

    ウィザード ナビゲーションの [確認と作成] というタイトルの最後のタブが選ばれている [新しいユーザーの作成] ブレードのスクリーンショット。このユーザーについて構成と割り当てが済んだ [基本]、[プロパティ]、[割り当て] の概要が示されています。

    "お疲れさまでした。管理者が作成されて、外部テナントに追加されます。"

1. ユーザーを作成する

ユーザーを作成するには、Microsoft Graph の要求で次の値を置き換えます。

  • displayName: ユーザーの表示名。
  • mailNickname: ユーザーのメール別名。 このプロパティは、ユーザーの作成時に指定する必要があります。
  • userPrincipalName: ユーザーのプリンシパル名 (UPN)。 一般的な形式は alias@domain です。ここで、domain はテナントの確認済みドメインのコレクションに存在している必要があります。
  • password: ユーザーと共有する一時的なパスワード。 最初のサインイン時に、ユーザーは自分のパスワードの変更を求められます。

次の例では、Adele Vance の新しいユーザー アカウントを作成する方法を示します。

POST https://graph.microsoft.com/v1.0/applications
{
    "accountEnabled": true,
    "displayName": "Adele Vance",
    "mailNickname": "AdeleV",
    "userPrincipalName": "AdeleV@wggdemo.onmicrosoft.com",
    "passwordProfile": {
        "forceChangePasswordNextSignIn": true,
        "password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
    }
}
1.1 ユーザー ID をコピーする

応答から、id の値をコピーします。次に例を示します。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
    ...
}

2. 管理者ロールを割り当てる

新しいユーザーが作成されたら、(統合) ロールの割り当てを作成します。 以下の Microsoft Graph 要求で、次の値を置き換えます。

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "{user-id}",
    "roleDefinitionId": "{role-id}",
    "directoryScopeId": "/"
}

次の例では、セキュリティ管理者ロールを Adele Vance に割り当てています

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
    "directoryScopeId": "/"
}

フィードバックを送信する