組織には、CEO のユーザー アカウントなど、厳密なセキュリティを必要とするリソースがあります。 現時点では、ヘルプデスク管理者はパスワードをリセットすることで CEO のアカウントにアクセスできる可能性があり、テナント レベルのグループ管理者は、SharePoint の財務データ アクセス権を持つセキュリティ グループにユーザーを追加できます。
制限付き管理単位を使用すると、指定した特定のユーザー セット以外のユーザーによる変更から、テナント内の特定のオブジェクトを保護できます。 これにより、管理者からテナント レベルのロールの割り当てを削除しなくても、セキュリティまたはコンプライアンスの要件を満たせます。
制限付き管理の管理単位をなぜ使用するのですか。
テナント内のアクセス管理に制限付き管理の管理単位を使用する理由をいくつか示します。
エグゼクティブ アカウントとそのデバイスを保護する
パスワードをリセットしたり、BitLocker 回復キーにアクセスしたりができるヘルプデスク管理者から、C レベルのエグゼクティブ アカウントとそのデバイスを保護する必要があります。 制限付き管理管理単位に C レベルのユーザー アカウントを追加し、パスワードをリセットし、必要に応じて BitLocker 回復キーにアクセスできる特定の信頼された管理者のセットを有効にすることができます。
ローカル管理者のみにコンプライアンス制御を実装する
特定のリソースを特定の国/地域の管理者のみが管理できるように、コンプライアンスコントロールを実装する必要があります。 これらのリソースを制限付き管理の管理単位に追加し、ローカル管理者を割り当ててそれらのオブジェクトを管理できます。 グローバル管理者でも、制限付き管理の管理ユニット (監査可能なイベント) をスコープとするロールに明示的に割り当てられない限り、オブジェクトを変更することはできません。
機密性の高いセキュリティ グループの管理を特定の管理者に制限する
セキュリティ グループを使用して、組織内の機密性の高いアプリケーションへのアクセスを制御していますが、グループを変更できるテナント スコープの管理者が、アプリケーションにアクセスできるユーザーを制御できるようにしたくないと考えています。 これらのセキュリティ グループを制限付き管理の管理単位に追加し、割り当てた特定の管理者のみがそれらを管理できるようにすることができます。
サンプル シナリオ
次の図は、役員サポートによってのみ変更できるオブジェクトを含むエグゼクティブ制限付き管理単位 (紫色のボックスに表示) の例を示しています。 テナント レベルの管理者とローカル管理者は、Executive 管理単位のオブジェクトを変更できません。
注
制限付き管理管理単位にオブジェクトを配置すると、オブジェクトに変更を加えることができるユーザーが厳しく制限されます。 この制限により、既存のワークフローが中断する可能性があります。
メンバーにできるオブジェクトはどれですか?
制限付き管理の管理単位のメンバーにできるオブジェクトを次に示します。
| Microsoft Entra オブジェクトの種類 | 管理単位 | 制限付き管理管理単位 |
|---|---|---|
| ユーザー | あり | あり |
| デバイス | あり | あり |
| グループ (セキュリティ) | あり | あり |
| グループ (Microsoft 365) | あり | いいえ |
| グループ (メールが有効なセキュリティ) | あり | いいえ |
| グループ (配布) | あり | いいえ |
ブロックされる操作の種類は何ですか?
制限付き管理の管理単位のスコープで、明示的に割り当てられていない管理者の場合、制限付き管理の管理単位内でオブジェクトの Microsoft Entra プロパティを直接変更する操作はブロックされます。その一方で、Microsoft 365 サービス内での関連オブジェクトに対する操作は影響を受けません。
| 操作の種類 | ブロックされました | 許可されます。 |
|---|---|---|
| ユーザー プリンシパル名、ユーザー写真などの標準プロパティを読み取る | ✅ | |
| ユーザー、グループ、またはデバイスの任意の Microsoft Entra プロパティを変更する | ❌ | |
| ユーザー、グループ、またはデバイスを削除する | ❌ | |
| ユーザーのパスワードを更新する | ❌ | |
| 制限付き管理の管理単位でグループの所有者またはメンバーを変更する | ❌ | |
| 制限付き管理の管理単位内のユーザー、グループ、またはデバイスを、Microsoft Entra ID 内のグループに追加する | ✅ | |
| 制限付き管理の管理単位のユーザーの Exchange のメールとメールボックス設定を変更する | ✅ | |
| Intune を使用して、制限付き管理の管理単位のデバイスにポリシーを適用する | ✅ | |
| SharePoint でグループをサイト所有者として追加または削除する | ✅ | |
| 制限付き管理単位でライセンスを割り当て、ユーザーの使用場所を更新する | ✅ |
オブジェクトを変更できるユーザーは誰ですか?
制限付き管理の管理単位のスコープで明示的に割り当てられている管理者のみが、制限付き管理の管理単位内でオブジェクトの Microsoft Entra プロパティを変更できます。
| 役割 | Scope | ブロックされました | 許可されます。 |
|---|---|---|---|
| グローバル管理者 | テナント | ❌ | |
| 特権ロール管理者 | テナント | ❌ | |
| グループ管理者、ユーザー管理者、またはその他のロール | リソース | ❌ | |
| 制限付き管理の管理単位に追加されたグループまたはデバイスの所有者 | ❌ | ||
| 組み込みロールまたはカスタム ロール | テナント | ❌ | |
| 管理単位スコープで割り当てることができるロール | 制限付き管理管理単位 | ✅ | |
| 管理単位スコープで割り当てることができるロール | オブジェクトがメンバーである別の制限付き管理管理単位 | ✅ | |
| 管理単位スコープで割り当てることができるロール | オブジェクトがメンバーである別の通常の管理単位 | ❌ |
テナント スコープを持つ管理者が、制限付き管理管理単位内のオブジェクトを変更しようとすると、次のようなメッセージが表示されます。
This user is a member of a restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
制限付き管理単位を管理できるのは誰ですか?
テナント スコープの次のロール は、 制限付き管理管理単位内のオブジェクトを変更できませんが、制限付き管理単位自体を管理 できます 。
| 役割 | Scope | 制限付き管理管理単位のオブジェクトを変更する | 制限付き管理管理単位の管理 |
|---|---|---|---|
| グローバル管理者 | テナント | いいえ | あり |
| 特権ロール管理者 | テナント | いいえ | あり |
この管理には、次のタスクが含まれます。
- 制限付き管理管理単位を作成または削除する
- 制限付き管理管理単位のメンバーを追加または削除する
- 管理単位のスコープが制限されている場合のロール割り当てやロール割り当ての解除
- 制限付き管理の管理単位のスコープを持つロールを自分自身に割り当てる
管理単位のスコープが制限されている管理者がジョブを変更したり、組織を離れたりした場合、アクセスを回復するために、グローバル管理者または特権ロール管理者は、制限付き管理単位に別の管理者または自分自身を割り当てることができます。
監査ログ
制限付き管理管理単位に変更が加えられたタイミングを追跡するために、これらのアクティビティは Microsoft Entra 監査ログに記録されます。
| 活動 | カテゴリ | 詳細 |
|---|---|---|
| 管理単位の追加 | AdministrativeUnit |
IsMemberManagementRestricted = 真 |
| 制限付き管理の管理単位にメンバーを追加する | AdministrativeUnit | |
| 制限付き管理の管理単位からメンバーを削除する | AdministrativeUnit | |
| 制限付き管理の管理単位をスコープとするロールにメンバーを追加する | 役割管理 | |
| 制限付き管理の管理単位をスコープとするロールからメンバーを削除する | 役割管理 |
制限事項
制限付き管理の管理単位における制限と制約の一部を次に示します。
- 制限付き管理の設定は管理単位の作成時に適用する必要があり、管理単位を作成した後は変更できません。
- 制限付き管理単位のグループとユーザーは、 Privileged Identity Management、 エンタイトルメント管理、 ライフサイクル ワークフロー 、 アクセス レビューなどの Microsoft Entra ID ガバナンス機能では管理できません。
- グループがパブリック メンバーシップを持つように構成されている場合 ( visibility プロパティを
Publicに設定することで)、ユーザーは セルフサービス グループ メンバーシップを使用してグループに参加できます。 この構成は既定の設定ではなく、パブリック メンバーシップを許可するように制限付き管理単位のグループを構成することはお勧めしません。 これは一時的な制限であり、削除されます。 - 制限付き管理の管理単位に追加されたロール割り当て可能なグループは、メンバーシップを変更できません。 グループ所有者は、制限付き管理の管理単位でグループを管理することはできず、グローバル管理者と特権ロール管理者 (どちらも管理単位のスコープで割り当てることはできません) のみがメンバーシップを変更できます。
- オブジェクトが制限付き管理の管理単位にあり、必要なロールが管理単位のスコープで割り当てることができるロールの 1 つではない場合、特定のアクションを実行できないことがあります。 たとえば、制限付き管理単位のグローバル管理者は、グローバル管理者のパスワードをリセットできる管理者ロールが管理単位スコープで割り当てられないため、システム内の他の管理者がパスワードをリセットすることはできません。 このようなシナリオでは、グローバル管理者は、まず制限付き管理の管理単位から削除してから、別の全体管理者または特権ロール管理者によりパスワードをリセットする必要があります。
- 制限付き管理の管理単位を削除する場合、以前のメンバーからすべての保護を削除するまでに最大 30 分かかる場合があります。
- テナント内の制限付き管理単位は最大 100 個です。
プログラミング
既定では、アプリケーションは、制限付き管理の管理単位内のオブジェクトを変更できません。 制限付き管理の管理単位内でオブジェクトを管理するための権限をアプリケーションに付与するには、制限付き管理の管理単位のスコープで、Microsoft Entra ロールをアプリケーションに割り当てる必要があります。 Microsoft Graph アプリケーションのアクセス許可 をアプリケーションに割り当てた場合、それらのアクセス許可は制限されているため適用されません。
ライセンスの要件
制限付き管理管理単位では、管理単位管理者ごとに Microsoft Entra ID P1 ライセンスが必要であり、管理単位メンバーごとに Microsoft Entra ID Free ライセンスが必要です。 ご自分の要件に対して適切なライセンスを探すには、一般公開されている Free および Premium エディションの機能比較に関するページをご覧ください。