Entra IDには「管理単位」という機能があります。
この機能を利用することで、例えば部門を管理するユーザーに対して、部門内のメンバーのユーザーを管理する権限を委任することが出来ます。
例として下記の権限を委任することが出来ます。
- ユーザーのパスワードリセット
- ユーザーのサインインブロック解除
- ライセンス割り当て
- MFA等の認証情報の設定
これらの権限を各部門に委任することでヘルプデスクの負荷が減ります。
今回は Entra IDの管理単位を利用してユーザー管理を委任する方法を紹介します。
1.管理単位の作成
1.Azure AD管理センターを開きます。
2.「管理単位」-「追加」をクリックします。
3.任意の名前を指定し、「次へ:ロールの割り当て」をクリックします。
4.割り当てたいロールを選択します。今回は「ヘルプデスク管理者」を選択します。
5.管理者ロールを割り当てるユーザーを選択し、「追加」をクリックします。
※管理者ロールを割り当てるユーザーには、Microsoft Entra ID P1またはP2が必要です
6.「割り当て済み」に反映されたことを確認し、「次へ:確認および作成」をクリックします。
7.「作成」をクリックします。
8.管理単位が作成されたことを確認します。
2.管理対象ユーザーを追加
先ほど作成した管理単位に管理対象のユーザーを追加します。
1.先ほど作成した管理単位を開き、「ユーザー」-「メンバーの追加」をクリックします。
※グループを追加してもメンバーには適用されないので、ユーザーを直接追加する必要があります
2.管理対象ユーザーを選択し、「選択」をクリックします。
3.メンバーが追加されたことを確認します。
3.パスワードリセットの実施
それでは実際にパスワードをリセットしてみます。
1.管理者ロールを割り当てたユーザーでAzure AD管理センターにログインします。
2.パスワードをリセットする対象ユーザーのプロファイル画面を開き、「パスワードリセット」をクリックします。
管理者ロールが正常に割り当てられている場合はパスワードのリセットが可能です。
管理者ロールが割り当てられていない場合はリセットが出来ません。
4.管理単位をマイスタッフで管理
管理単位のユーザーを管理するには Entra管理センターにログインが必要ですが、「マイスタッフ」というページでも管理することが出来ます。
セキュリティ上、Entra管理センターにログインさせたくない場合などは「マイスタッフ」ページから管理するように構成します。
4.1.マイスタッフの有効
1.Azure AD管理センターにログインします。
2.「ユーザー設定」-「ユーザー機能設定の管理」
3.下記の通り設定し、「保存」をクリックします。
- 管理者はマイスタッフにアクセスできます:選択済み or すべて
4.2.マイスタッフにアクセス
1.管理者ロールを割り当てたユーザーで下記にログインします。
2.権限を持っている管理単位が表示されることを確認し、管理単位をクリックします。
3.管理単位のメンバーが表示されることを確認し、管理するユーザーをクリックします。
4.このページでパスワードリセットなどのユーザー管理が行えます。
管理単位を利用したユーザー管理の委任方法は以上です。
コメント