テナント全体の設定を構成する
テナント全体の設定とは、その名のとおり、テナント内のすべてのリソースに適用される構成オプションです。 このようなテナント全体のオプションは、テナントとそのメンバーの外観、雰囲気、構成を制御するために、特定の場所で構成されます。 以下のメニュー オプションは、Microsoft Entra 管理センターに基づいています。
テナント全体のオプション
テナントのプロパティ
- [ID] - [概要] ページ - [プロパティ]
- ここでは、ディレクトリに名前を付け、主要連絡先などの値を設定します
[ユーザー設定]
- [ID] - [ユーザー] - [ユーザー設定]
- ここでは、アプリケーションの登録など、ユーザーが持つグローバル権限を定義します。
外部コラボレーションの設定
- [ID] - [外部 ID] - [ユーザー設定] - [外部コラボレーションを管理する]
- ここでは、外部ゲスト ユーザーが実行できるタスク (他のゲスト ユーザーの招待など) を定義します
テナント全体のユーザー設定を構成する
Microsoft Entra ID では、すべてのユーザーに既定のアクセス許可のセットが付与されます。 ユーザーのアクセスは、ユーザーの種類、ユーザーのロールの割り当て、および個々のオブジェクトの所有権で構成されます。 既定のユーザー アクセス許可は、Microsoft Entra ID のユーザー設定のみで変更できます。
メンバーとゲスト ユーザー
受け取られる既定のアクセス許可セットは、ユーザーがテナントのネイティブ メンバー (メンバー ユーザー) かどうかに依存します。 または、ユーザーが B2B コラボレーション ゲスト (ゲスト ユーザー) として別のディレクトリから招待されている場合。
- メンバー ユーザーは、アプリケーションの登録、自分のプロファイル写真と携帯電話番号の管理、自分のパスワードの変更、B2B ゲストの招待を行うことができます。 さらに、すべてのディレクトリ情報を読むことができます (いくつか例外があります)。
- ゲスト ユーザーは、ディレクトリ アクセス許可を制限されています。 自分のプロファイルの管理や自分のパスワードの変更、他のユーザー、グループ、アプリに関する情報の取得を行うことができますが、すべてのディレクトリ情報を読み取ることはできません。 たとえば、ゲスト ユーザーは、ユーザー、グループ、およびその他のディレクトリ オブジェクトすべてが含まれる一覧を列挙できません。 ゲストを管理者ロールに追加することができ、追加すると、ロールに含まれる読み取りと書き込みのすべてのアクセス許可が付与されます。 また、ゲストは他のゲストを招待することもできます。
以下に示すメンバー ユーザーの既定のアクセス許可は、次の方法で制限できます。
権限 | 設定の説明 |
---|---|
ユーザーはアプリケーションを登録できる | 既定では、メンバー ユーザーはアプリケーションを登録できます。 |
このオプションを [いいえ] に設定すると、ユーザーはアプリケーション登録を作成できません。 この場合、特定のユーザーをアプリケーション開発者ロールに追加することで、そのユーザーにこの機能を付与できます。 | |
Microsoft Entra 管理ポータルへのアクセスを制限する | このオプションを [いいえ] に設定すると、管理者以外は Microsoft Entra 管理ポータルを使用して、Microsoft Entra リソースの読み取りと管理を行うことができます。 [はい] の場合、管理者以外はすべて、管理ポータルでの Microsoft Entra データへのアクセスが制限されます。 |
この設定では、PowerShell または他のクライアント (Visual Studio など) を使用した Microsoft Entra データへのアクセスは制限されません。 [はい] に設定した場合、特定の非管理者ユーザーに Microsoft Entra 管理ポータルを使用する権限を付与するには、ディレクトリ閲覧者ロールなどの管理ロールを割り当てます。 | |
このロールでは、メンバー ユーザーが既定で所有している (ゲストとサービス プリンシパルは所有していない) 基本的なディレクトリ情報を読み取ることができます。 |
LinkedIn でサインインする
LinkedIn は、世界中に 5 億を超えるメンバーが存在する、最大かつ最も信頼性の高い専門家 ID のソースです。 この力を使ってサイトとアプリケーションのサインイン エクスペリエンスを強化します。
LinkedIn を使用したサインインには、次の目的があります。
- メンバーが LinkedIn でサインインできるようにし、新しいアカウントを作成しなくてもよくすることで、摩擦を減らし、より多くのサインアップを獲得します。
- 独自のサインイン、ID、プロファイル管理、パスワード管理の実装に伴うコストと時間を最小限に抑えます。
- 最新のメンバー プロファイルを使用してサイトとアプリケーションをカスタマイズします。
セキュリティの既定値群の管理
パスワード スプレー、リプレイ、フィッシングなど、ID 関連の一般的な攻撃が広まる中で、セキュリティの管理に困難をきたす場合があります。 セキュリティの既定値群では、次のような構成済みのセキュリティ設定を使用して、これらの攻撃から組織を容易に保護できます。
- すべてのユーザーに多要素認証 (MFA) の登録を要求する。
- 管理者に多要素認証の実行を要求します。
- レガシ認証プロトコルをブロックします。
- 必要に応じてユーザーに多要素認証の実行を要求します。
- Azure portal へのアクセスなどの特権が必要な作業を保護します。
可用性
Microsoft は、誰もがセキュリティの既定値を利用できるよう努めています。 目標は、すべての組織が追加の費用なしで基本レベルのセキュリティを確実に有効にできるようにすることです。
外部ユーザーのオプションを構成する
ここでは、外部ユーザーがテナントのクラウド リソースを使用する際に実行できるアクションを構成します。
- [ゲスト ユーザーのアクセス] - ゲスト ユーザーには、フル アクセスのユーザーとほぼ同等の操作ができる権限から、自分のコンテンツのみを表示できるという制限まで与えることができます。
- [ゲスト招待の設定] - 組織に参加させるゲストを誰が招待できるのかを指定します (ゲスト本人から管理者のみまで)。
- [ユーザー フローによるゲスト セルフサービス サインアップを有効にする] - ゲストがユーザーのセルフサービス オプションに参加できるようにします。
ディレクトリのテナントのプロパティを構成する
Microsoft Entra ID 内のテナントの外観を定義する基本的な値を設定します。
- [名前] - Azure portal で使用されるテナントのフレンド名前
- [国または地域] - 主要な会社と使用する Azure データセンターの場所
- [通知言語] - 通知とアラートの送信に使用される言語
- テナント ID - プログラムで使用されるテナントの一意識別子
- [技術部連絡先] - テナントの第一連絡先担当者 (既定ではテナントを作成したユーザーです)
- [グローバル プライバシー連絡先] - プライバシーに関する懸念や問題について問い合わせる際のユーザーまたは別名
- [プライバシーに関する声明の URL] - クラウド ソリューションのプライバシー規則を含む PDF または Web ページのリンク