Office 365 Identity & Access:ユーザーと権限の管理

チュートリアル

Office 365 Identity & Access: ユーザーと権限の管理。この記事では、IdentityおよびAccess Managementツールを使用して、Office 365でユーザーアカウントと権限を管理する方法を示します。

最初に、Office 365 IdentityおよびAccess Managementソリューションの概要を探ります。このセクションでは、Office 365 IdentityおよびAccess Managementでさまざまなタイプのユーザーを作成し、それらにリソースへのアクセス権を付与する方法について説明します。

特に、このセクションでは、Microsoft 365、Azure ADポータル、またはAzure AD PowerShellを使用して内部および外部ユーザーを作成する方法に焦点を当てます。さらに、これらの3つのツールを使用してユーザーに必要なリソースへのアクセスを付与する方法を示します。

ユーザーパスワードをリセットすることも、ユーザーアカウントと権限を管理する重要な作業です。この記事では、Office 365ユーザーのパスワードを3つの方法でリセットする方法について説明します。

また、Office 365でのフィッシング攻撃からの保護については、次の記事を参照してください。Office 365でのフィッシング攻撃に対する保護

Office 365アイデンティティとアクセス管理の概要

Office 365アイデンティティおよびアクセス管理(IAM)ツールを使用すると、管理者はユーザーアカウントと権限を管理できます。Microsoft 365では、内部ユーザーと外部ユーザーの2種類のユーザーが提供されています。

内部ユーザーは組織の一部であり、外部ユーザーは協力目的でOffice 365テナントに追加された別の組織に所属しています。

内部または外部ユーザーを作成したら、役割またはグループを介してリソースへのアクセス権を付与します。役割を介してアクセス権を付与するには、ユーザーをその役割に追加します。

ユーザーをグループメンバーシップ経由でリソースにアクセスできるようにする場合、ユーザーをグループに追加することをお勧めします。次に、グループを適切なAzure ADロールに追加します。

このアプローチにより、ユーザーはグループに割り当てられたパーミッションを継承します。

グループをロールに追加するには、グループを作成するときに最初にロールの割り当てを有効にする必要があることに注意してください。ただし、この設定を有効にすると、グループに対して永続的になります。

または、ロール割り当て可能なグループに組み込みロールへのアクセスを許可し、グループにユーザーを追加します。

関連記事 Office 365 でのロールベースのアクセス制御を実装する方法

方法 1:

M365 ポータルを使用して Office 365 の ID とアクセス管理でユーザーアカウントとパーミッションを管理する

さらに、Microsoft 365 グループを作成し、グループにユーザーを追加し、ユーザーまたはグループをロールに割り当てる方法について段階的なガイダンスを提供します。

手順 1 オプション 2: Microsoft 365 ポータルで Office 365 の内部ユーザーを作成する

1. Microsoft 365でユーザーと権限を管理するには、適切な権限を持つアカウントでadmin.microsoft.comにアクセスします。

2. 次に、アクティブユーザーページにアクセスします。ナビゲーションメニューアイコンをクリックし(展開されていない場合)、ユーザーノードから「アクティブユーザー」を選択します。

3. 「アクティブユーザー」ページで、「ユーザーの追加」をクリックして、新しいユーザー作成ワークフローを開始します。これにより、必要なユーザーの詳細を追加し、必要に応じてライセンスと役割を割り当てるプロセスが案内されます。

また、セキュリティの向上のためにOffice 365アクティビティログを監視する方法もご覧ください。

ステップ1オプション2:Microsoft 365ポータルでOffice 365外部ユーザーを作成する

他のユーザーが外部ユーザーのカレンダーを自分のカレンダーに追加できるようにするには、まずExchange Onlineでユーザーのメール連絡先としてユーザーを追加してから、Microsoft 365で外部ユーザーを作成することをお勧めします。

私の経験では、この手順をスキップすると、他のユーザーが外部ユーザーのカレンダーを自分のカレンダーに追加する際に問題が発生する場合があります。

ただし、内部ユーザーが外部ユーザーを自分のカレンダーに追加する必要がない場合は、この手順をスキップして以下のステージ2に移動できます:ステージ1:Exchange Onlineでユーザーのメール連絡先を追加します(任意)。

ステージ1:Exchange Onlineでユーザーのメール連絡先を追加(オプション)。

Exchange Onlineの連絡先ページを開くには、管理者資格情報を使用してadmin.exchange.microsoft.comにサインインします。サインインしたら、受信者 -> 連絡先ページに移動します。

最後に、「メール連絡先を追加」をクリックして手順を完了します。デモで使用するためにGmailアカウントを追加しました。

ステージ2:メール連絡先をゲストユーザーとして追加します。

admin.microsoft.comにサインインし、ユーザータブ内の「ゲストユーザー」セクションに移動します。次に、「ゲストユーザーを追加」をクリックして新しいゲストユーザーの追加を開始します。

この操作により、新しいブラウザータブでAzure ADの「新しいユーザー」ページが開きます。Azure ADページで、ユーザーを招待オプションを選択し、必要な情報を追加し、招待ボタンをクリックします。

アカウントを有効にするために、外部ユーザーはMicrosoftからのメールを確認し、メッセージに記載されたリンクをクリックする必要があります。

さらに読むOffice 365セキュリティを強化するための条件付きアクセスポリシーの使用

ステップ2オプション1:Office 365ポータルで役割を通じてユーザーアカウントに権限を付与します。

Office 365で役割をユーザーに割り当てるには、Microsoft 365ポータルに移動して、以下の手順に従ってください。

Microsoft 365の役割に内部および外部のユーザーを割り当てます。

1. メニューで役割を展開し、役割の割り当てをクリックします。

2. 次に、ユーザーを割り当てるためにAzure AD役割をクリックします。たとえば、「ヘルプデスク管理者」を割り当てます。

3. 役割のフライアウトで、割り当て済みタブをクリックします。その後、「ユーザーを追加」をクリックします。最後に、割り当てるユーザーを選択して、追加をクリックします。

追加されたら、「割り当て済み」タブを確認して、正常に追加されたことを確認します。

さらに読む:Office 365ユーザーレポートをチェック

ステップ2オプション2:Microsoft 365ポータルでグループを介してユーザーアカウントの権限を付与する

ユーザーにアクセス権をグループを介して割り当てるには、2段階のプロセスに従います。

最初に、ユーザーをグループに追加します。次に、役割管理インターフェースを使用してグループに役割を割り当てます。

前述のように、グループに役割を割り当てるオプションを選択するには、グループを作成する際に行う必要があります。したがって、ユーザーの役割を割り当てるためにグループを使用するには、グループを作成し、作成プロセス中に役割割り当て機能を有効にします。

1. これを行うには、Microsoft 365 ポータルで「Teams & groups」を展開し、「Active teams & groups」を選択します。

2. 次に、「グループを追加」ワークフローを開くには、グループを追加をクリックします。

新しいグループを作成する際には、ワークフローの「メンバー」セクションにユーザーをグループに追加できます。さらに、「このグループに管理者ロールを割り当てることを許可」チェックボックスを「設定」セクションで確認できます。

構成については、以下の2番目のスクリーンショットを参照してください。

3. グループに役割を割り当てるには、メニューを移動し、役割を展開し、役割割り当てをクリックします。

4. 役割割り当てをクリックした後、割り当てたいAzure AD役割を選択します。「ヘルプデスク管理者」など。

5. 次に、役割のフライアウトで割り当て済みタブをクリックします。その後、「グループを追加」をクリックします。

6. 最後に、役割を割り当てたいグループを選択し、「追加」をクリックします。

グループを役割に追加したら、「割り当て済み」タブを確認して追加されたことを確認します。

さらに読むトップ10 IAMツール – アイデンティティアクセス管理(長所と短所)

Microsoft 365ポータルでOffice 365ユーザーパスワードをリセットする

1. Microsoft 365ポータルでユーザーパスワードをリセットするには、ナビゲーションパネルで「ユーザー」メニューを展開します。次に、「アクティブなユーザー」を選択し、ユーザーアカウントの上にカーソルを置き、パスワードのリセットが必要なアカウントを選択します。

2. アカウントの上にカーソルを置くと表示される鍵のシンボルをクリックします。これによりパスワードリセットプロセスが開始されます。

3. 最後に、「パスワードをリセット」フライアウトで必要なオプションを選択し、「パスワードをリセット」をクリックします。Microsoft 365ポータルには、新しいパスワードが表示される確認メッセージが表示されます。

ユーザーサインイン(成功/失敗)のためのAzure AD監査ログを確認する方法

方法2:

Azure ADポータルを使用してOffice 365 IAMでユーザーアカウントと権限を管理する

このポータルには、管理者がユーザーアカウントを管理し、権限を構成するなどの機能やツールが提供されています。このセクションでは、Azure ADポータルでユーザーアカウントを管理するための重要な手順について説明します。

ステップ1オプション1:Azure ADポータルでOffice 365内部ユーザーを作成する

1. まず、portal.azure.comにサインインし、メニューでUsersオプションに移動します。

2. 次に、「+追加」をクリックし、ユーザーを選択します。最後に、作成 ユーザーテンプレートを選択し、必要な詳細を提供し、作成をクリックします。

PowerShellを使用してAzure ADグループにユーザーを追加するNew-MgGroupMemberByRef

ステップ1オプション2:Azure ADポータルでOffice 365外部ユーザーを作成

以前、外部ユーザーを作成する前に、ユーザーのためにメール連絡先を追加することをお勧めしました。これは、内部ユーザーが外部ユーザーのカレンダーを自分のものに追加する必要がある場合にお勧めされます。

メール連絡先を作成するには、admin.exchange.microsoft.comのExchange Onlineの連絡先ページにサインインします。サインインしたら、受信者 -> 連絡先ページに移動します。その後、「メール連絡先を追加」をクリックし、必要な手順を完了します。

上記のオプションの手順を完了した後、外部ユーザーAzure ADから招待状を送信するには、以下の手順に従います。

1. まず、「ステップ1 of 2」のガイドラインに従って、ステップ2に到達します。

2. 次に、ユーザーを招待テンプレートを選択します。最後に、必要な情報を提供し、招待をクリックします。

上記の手順を完了すると、ユーザーはMicrosoftからメールを受け取ります。

それには、Azure AD登録を完了するためのリンクが含まれています。ユーザーはそのリンクをクリックしてプロセスを完了する必要があります。

また読むGet-MgUser – PowerShellスクリプトを使用してAzure ADユーザーを見つけてフィルタリングする

ステップ2オプション1:Azure ADポータルで役割を使用してユーザーアカウントの権限を付与する

1. ユーザーを作成したら、Azure ADポータルを使用してユーザーに役割を割り当てします。このタスクを完了するには、Azure Active Directoryメニューで「役割と管理者」をクリックします。

2. 次に、ユーザーに割り当てる役割を選択します。必要に応じて検索機能を使用します。

3. 次に、「+割り当ての追加」をクリックしてプロセスを完了します。

また読むAzure AD Connectでパスワードの書き戻しを有効にする方法

ステップ2オプション2:Azure ADポータルでグループを使用してユーザーアカウントの権限を付与

ステップ1の3で、Azure ADの役割を通じてユーザーに権限を割り当てる方法を示しました。しかし、より良い方法は、グループメンバーシップに基づいてユーザーの役割を割り当てることです。

Azure ADでタスクを完了するためにこれらの手順に従ってください:

まず、グループを作成し、ADの役割を割り当てるように有効にします。次に、ユーザーを新しいグループのメンバーとして追加します。

最後に、ユーザーに割り当てたい役割を、Azure ADグループに役割を割り当てることで割り当てます。

以下は実践的な手順です:

1. メニューで「グループ」をクリックし、「新しいグループ」をクリックします。

2. 「Azure ADの役割がグループに割り当てられている」をオンにし、以下のスクリーンショットのオプションを選択し、「作成」をクリックしてグループの作成を完了します。

次に、以下の手順に従ってユーザーを追加し、役割を割り当てるためにグループに割り当てます:

3. グループノードでグループをクリックし、グループのページで「メンバー」をクリックします。次に、「+ メンバーを追加」をクリックしてユーザーをAzure ADグループに追加します。

4. Azure Active Directoryのメニューで「役割と管理者」をクリックして、グループに役割を割り当てるには、Azure Active Directoryロールを選択します。最後に、「+割り当ての追加」をクリックします。


また、PowerShellを使用してOffice 365に接続する方法をご覧ください

Azure ADポータルでOffice 365ユーザーパスワードをリセットする

管理者は、Office 365 パスワードおよびアカウント、アクセス権を管理するためにユーザーパスワードをリセットできる必要があります。したがって、Azure ADポータルでユーザーパスワードをリセットできることを知っておくと良いでしょう。

1. Azure Active Directoryポータルでユーザーアカウントをリセットするには、ユーザーノードをクリックします。

2. ユーザーを選択するために検索機能を利用し、その後、ユーザーの詳細の上にある「パスワードをリセット」をクリックしてプロセスを完了します。

また、ユーザーのOffice 365でMFAが有効になっているかを確認する方法を読んでください

方法3:

PowerShellを使用してOffice 365のアイデンティティとアクセス管理でユーザーアカウントと権限を管理する

さて、3つ目の最後の方法に移りましょう。この方法では、同じタスクを達成するためにPowerShellを使用します。

まず、手元のタスクに必要なPowerShellモジュールインストールする必要があります。

ステップ1: 必要なモジュールをインストールする:AzureAD、ExchangePowerShell、Az.Accounts、Az.Resources

1. 管理者としてPowerShellを開きます。 PowerShellを検索して、「管理者として実行」をクリックします。

2. ダウンロードしたモジュールからコマンドを実行する新しいインスタンスを開くには、管理者としてPowerShellを開いた後に、以下のコマンドを実行します。

powershell.exe -ExecutionPolicy "RemoteSigned"

3. 次に、必要なPowerShellモジュールをインストールするには、次のコマンドを実行します。最初のコマンドはモジュールをインストールし、2番目のコマンドはそれらを現在のPowerShellセッションにインポートします。

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

また読むPowerShellを使用してActive Directoryグループのメンバーを取得し、CSVにエクスポートする

ステップ2オプション1:PowerShellでOffice 365内部ユーザーを作成する

1. このコマンドを実行してAzure ADテナントに接続します。これにより、PowerShellはログインの詳細を要求します。

Connect-AzureAD

2. 接続したら、新しいOffice 365ユーザーを作成するには、次のコマンドを実行します。

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

また読むGet-AzureADAuditSignInLogs – 最後の30日のサインインログを検索するPowerShell

ステップ2オプション2:PowerShellでOffice 365外部ユーザーを作成

前の2つの方法で述べたように、外部ユーザーは最初にメール連絡先として作成することで追加できます。これは任意の手順です。

内部ユーザーが外部ユーザーのカレンダーを自分のものに追加する必要がある場合は、PowerShellを使用してメール連絡先を追加するために1から2の手順に従ってください。または、ステップ3にスキップしてください。

1. ステップ2オプション1で開かれたPowerShellコンソールでExchange Onlineに接続するには、以下のコマンドを実行し、PowerShellによってプロンプトが表示されたらログインの詳細を入力してください。

Connect-ExchangeOnline

2. このコマンドを使用して招待する外部ユーザーのためのメール連絡先を追加します。コマンドの一部を必要に応じて変更してください。

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. 次に、提供されたコマンドを実行して招待状を送信します:コマンドを実行する前にパラメータを変更してください。

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

また、0xc000006a – ユーザーログオンのスペルミスまたは誤ったパスワードを読んでください

ステップ3オプション1:PowerShellで役割を使用してユーザーアカウントに権限を付与

次のコマンドを実行してユーザーに役割を割り当てます。コマンドを要件に合わせて変更してください。

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#ステップ1役割に追加したいユーザーのIDを取得します:

#ステップ2ユーザーに割り当てたい役割のIDを取得します

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#ステップ3ユーザーに役割を割り当てます

ステップ3オプション2:PowerShellでグループを介してユーザーアカウントの権限を付与します

役割をユーザーに割り当てるには、以下のスクリプト内のコマンドを実行してください。

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#ステップ1: Azure Active Directoryで役割-割り当て可能なグループを作成する – 既存の役割割り当て可能なグループがある場合はこのステップをスキップ

#ステップ2: ユーザーのID取得する:

#ステップ3: ユーザーをAADグループに追加

#ステップ4: AzureADグループをAzureADロールに追加

さらに読むSSPR: Azure Active Directory セルフサービス パスワードリセットの有効化

PowerShellでOffice 365 ユーザーパスワードをリセット

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/