Azure AD ディレクトリの管理
更新日: 2015 年 9 月 15 日
適用対象: Azure、Office 365、Windows Intune
注意
このトピックでは、ID サービスとディレクトリ サービスにMicrosoft Azure Active Directoryに依存する、Microsoft IntuneやOffice 365などのクラウド サービスのオンライン ヘルプ コンテンツを提供します。
Azure Active Directory (AD) は、Microsoft のほとんどのクラウド サービスの背後にあるコア ディレクトリと ID 管理機能を提供します。 これらのサービスには次のものが含まれますが、これらに限定されません。
Azure
Microsoft Office 365
Microsoft Dynamics CRM オンライン
Windows Intune
ディレクトリ データの管理
1 つ以上の Microsoft クラウド サービス サブスクリプションの管理者は、Microsoft Azure 管理ポータル、Microsoft Intune アカウント ポータル、または Office 365 管理センターを使用して、組織のディレクトリ データを管理できます。 Windows PowerShell コマンドレット用のダウンロード可能なMicrosoft Azure Active Directory モジュールを使用して、Azure AD に格納されているデータを管理することもできます。 ディレクトリの詳細については、「 Azure AD ディレクトリとは」を参照してください。
これらのポータル (またはコマンドレット) から、次の操作が可能です。
ユーザーとグループのアカウントを作成および管理する
組織がサブスクライブしている関連クラウド サービスを管理する
ディレクトリ サービスとのオンプレミス統合をセットアップする
次の図に示すように、Azure 管理ポータル、Office 365 Admin センター、Microsoft Intune アカウント ポータル、およびコマンドレットはすべて、組織のディレクトリに関連付けられている Azure AD の単一の共有インスタンスから読み取りおよび書き込みを行います。 このようにして、ポータル (またはコマンドレット) はディレクトリ データを取得または変更するフロントエンド インターフェイスとして機能します。
.png "How portals work with Windows Azure AD")
上記のアカウント ポータルと、ユーザーとグループの管理に使用される関連する Azure AD PowerShell コマンドレットは、Azure AD プラットフォーム上に構築されています。
警告
これらのサービスのいずれかのコンテキストでサインインしているときに、いずれかのポータル (またはコマンドレット) を使用して組織のデータを変更した場合、このデータはサブスクライブしている Microsoft クラウド サービス間で共有されるため、そのサービスのコンテキストで次回サインインしたときに、他のポータルでも変更が表示されます。
たとえば、Office 365 管理センターを使用して、ユーザーがサインインできないようにブロックした場合、そのユーザーは組織が現在サブスクライブしている他のどのサービスにもサインインできなくなります。 Microsoft Intune アカウント ポータルのコンテキストで、その同じユーザーのアカウントを取得すると、そのユーザーがブロックされていることがわかります。Azure の管理ポータルの使用
通常、Azure の管理ポータルは、Azure サブスクリプションと関連付けられているサービスを管理するために使用されます。 ID 管理およびディレクトリ テナント機能に使用できる新しい Azure サービスの 1 つは、Active Directory サービスです。 管理者は、管理ポータルで [Active Directory] 拡張機能をクリックすることによって、これらの機能を管理できます。
Microsoft アカウントを使用する既存の Azure サブスクリプションがある場合、管理ポータルを使用してディレクトリを管理することもできます。 管理ポータルで新しいディレクトリ テナントを作成するには、[Active Directory] をクリックし、[追加] をクリックして、使用する [ドメイン名]、[国]、[組織名] を指定します。
Azure サブスクリプションをお持ちでない場合は、 組織として Azure にサインアップして、Azure 管理ポータルを使用して、組織で使用するユーザー アカウントやその他の ID 管理機能の作成、配布、管理を開始できます。 組織として Azure にサインアップする場合、サインアップ中に指定した組織名フィールドの値に基づいてディレクトリが自動的に作成されます。
Office 365またはMicrosoft Intune アカウント ポータルの使用
アカウント ポータルを使用して、Office 365またはMicrosoft Intuneサブスクリプションを管理し、さまざまなサービスにアクセスできるユーザーを指定できます。 アカウント ポータルからは、ユーザー アカウントとセキュリティ グループの手動追加、サービス設定のセットアップと管理、サービスのステータスの確認、オンライン ヘルプへのアクセスなどのタスクを実行できます。
Azure AD は現在、対応するサービスをサブスクライブしているかどうかに応じて、次のアカウント ポータルの 1 つ以上を使用して、組織のサブスクリプション データへのフロントエンド アクセスをサポートしています。
Office 365 アカウント ポータル
Microsoft Intune アカウント ポータル
ユーザーもこれらのアカウント ポータルにアクセスできますが、できることは、パスワードの変更、またはライセンスを割り当てられているさまざまなサービスへのアクセスだけです。
Windows Intune と Office 365 の両方を使用する場合のライセンスに関する考慮事項
現在、Microsoft IntuneまたはOffice 365サービスにサインアップすると、そのサービスのアカウント ポータルでサービス固有のライセンスをユーザーに割り当てることができます。 つまり、ある時点で両方のサービスを最終的に同じディレクトリに追加する場合は、Microsoft Intune アカウント ポータルに移動してMicrosoft Intune ライセンスを管理する必要があります。Office 365 ライセンスは、Office 365 アカウント ポータル内で個別に管理する必要があります。
状況によっては、以前に異なるサービスのコンテキスト内からライセンスを割り当てられたユーザー アカウントを削除できない場合があります。 このような場合にユーザー アカウントを削除するには、削除を試みたときに使用したアカウント ポータルからサインアウトし、ライセンスを最初に割り当てた適切なアカウント ポータルにサインインして、関連付けられているライセンスを削除した後、再度ユーザーの削除を試みる必要があります。
Azure AD PowerShell コマンドレットの使用
Azure Active Directory Module for Windows PowerShell コマンドレットを使用して、Azure AD テナント全体のさまざまな管理タスクを実行できます。 詳細については、「Windows PowerShellを使用したAzure Active Directoryの管理」を参照してください。
ディレクトリ管理者の責任とは
ディレクトリの管理に使用する方法に関係なく、ユーザーの作成と編集、請求操作の管理、パスワードのリセットなどのさまざまなタスクの実行に、異なる種類の管理者を割り当てることができます。 グローバル管理者は、管理者ロールに基づいて組織内の異なる管理者に権限を付与します。 詳細については、「 管理者ロールの割り当て」を参照してください。
すべての管理者は、役割に関係した特定のタスクを実行することに加えて、以下の領域に関する経験を持つ人物であることをお勧めします。
組織の IT 環境、ネットワーク、インターネット接続に関する知識
パーソナル コンピューター用のオペレーティング システムやアプリケーションをサポートおよび管理した経験
ユーザーの支援またはトレーニングを実施した経験
ユーザーの問題のトラブルシューティングを行う能力
管理者の責任として考えられる例を以下に示します。
ユーザー アカウントを作成、変更、または削除する
サービス ライセンスとサービスの正常性を監視する
パスワードの管理
電子メールなどのサービスに関するユーザーの問題を解決する
サイトおよびサイト コレクションを管理する
サブスクリプション料金を支払う
既存の組織環境からクラウドに移行する
クラウド サービスの使用方法に関してワーカーをトレーニングおよびサポートする
Microsoft サポートに問題を報告する
コミュニティのリソース
参照
概念
Active Directory と Azure AD の類似点