Microsoft Entra ID では、テナントにいくつかの種類のユーザーを作成できます。これにより、組織のユーザーをより柔軟に管理することができます。
この記事では、従業員テナント内で新しいユーザーの作成、外部ゲストの招待、ユーザーの削除を行う方法について説明します。 また、 Microsoft Entra 外部 ID シナリオの外部テナントにユーザーを作成する方法についても説明します。
メモ
個人データの表示または削除の詳細については、GDPR サイトに 対する Windows データ主体の要求 に関する Microsoft のガイダンスを確認してください。 GDPR に関する一般的な情報については、 Microsoft セキュリティ センターの GDPR セクション と Service Trust ポータルの GDPR セクションを参照してください。
ユーザーの種類
新しいユーザーを作成または招待する前に、少し時間をかけて、Microsoft Entra 従業員テナント内のユーザーの種類、認証方法、アクセス権を確認します。 たとえば、内部ゲスト、内部ユーザー、外部ゲストを作成する必要がありますか。 新しいユーザーにはゲストまたはメンバーの特権が必要でしょうか。
従業員テナントのユーザー
Microsoft Entra 従業員テナントには、次のユーザーの種類があります。
- 内部メンバー: これらのユーザーは、組織内の正社員である可能性が最も高いです。
- 内部ゲスト: これらのユーザーはテナントにアカウントを持っていますが、ゲスト レベルの特権を持っています。 これらは B2B Collaboration が利用できるようになる前にテナント内で作成された可能性があります。
- 外部メンバー: これらのユーザーは外部アカウントを使用して認証しますが、テナントへのメンバー アクセス権を持っています。 これらの種類のユーザーは、 マルチテナント組織で一般的です。
- 外部ゲスト: これらのユーザーは、外部メソッドを使用して認証し、ゲスト レベルの特権を持つテナントの真のゲストです。
内部ゲストと外部ゲストとメンバーの違いの詳細については、 B2B コラボレーション プロパティを参照してください。
認証方法は、作成するユーザーの種類によって異なります。 内部ゲストと内部メンバーは、管理者によって管理できるご使用の Microsoft Entra テナント内に資格情報があります。 これらのユーザーは、自分のパスワードをリセットすることもできます。 外部メンバーは、自分のホームの Microsoft Entra テナントに対して認証を行います。ご使用の Microsoft Entra テナントでは、外部メンバーの Microsoft Entra テナントとのフェデレーション サインインを通じてユーザーが認証されます。 外部メンバーがパスワードを忘れた場合、そのメンバーの Microsoft Entra テナントの管理者がパスワードをリセットできます。 外部ゲストは、自分のアカウントが作成されるときにメールで受信するリンクを使って自分のパスワードを設定します。
作成する必要があるユーザーの種類を決定するときに、既定のユーザー アクセス許可を確認すると役立つこともあります。 詳細については、「既定の ユーザーアクセス許可を設定する」を参照してください。
外部テナントのユーザー
外部構成の Microsoft Entra テナントは、Microsoft Entra External ID シナリオ専用に使用されます。 外部テナントには、次のユーザーの種類を含めることができます。
- 内部ユーザー: これらのユーザーは内部認証を行い、通常は外部テナントで Microsoft Entra ロール が割り当てられている管理者です。
- 外部ユーザー: これらのユーザーは、外部テナントに登録されているアプリのコンシューマーおよびビジネス ユーザーです。 既定のユーザー特権を持つローカル アカウントを持ち、ローカル アカウントまたは外部 ID プロバイダーを介して認証します。 新しい外部ユーザーを作成する方法を参照してください。
- 外部ゲスト: これらのユーザーは、独自の外部資格情報を使用してサインインし、通常は外部テナントに割り当てられた Microsoft Entra ロール を持つ管理者です。
詳細については、「外部テナントの 既定のユーザーアクセス許可 」を参照してください。
前提条件
必要な最小特権のロールは、追加するユーザーの種類と、Microsoft Entra ロールを同時に割り当てる必要があるかどうかによって変わります。 可能な限り、最小限の特権ロールを使用する必要があります。
| タスク | 役割 |
|---|---|
| 新しいユーザーを作成する | ユーザー管理者 |
| 外部ゲストを招待する | ゲスト招待元 |
| Microsoft Entra ロールを割り当てる | 特権ロール管理者 |
新しいユーザーを作成する
次の手順に従います。
Microsoft Entra 管理センターに、少なくともユーザー管理者としてサインインします。
Entra ID>Users に移動します。
![Microsoft Entra ID の [すべてのユーザー] ページのスクリーンショット。](media/how-to-create-delete-users/all-users-page.png)
[新しいユーザー] を選択>新しいユーザーを作成します。
![Microsoft Entra ID の [新しいユーザーの作成] メニューのスクリーンショット。](media/how-to-create-delete-users/create-new-user-menu.png)
[新しいユーザー] ページの残りのタブに入力します。
基本情報
[ 基本 ] タブには、新しいユーザーを作成するために必要なコア フィールドが含まれています。 開始する前 に、ユーザー名のプロパティに関するガイダンスを確認してください。
- ユーザー プリンシパル名: 一意のユーザー名を入力し、@ 記号の後のメニューからドメインを選択します。 新しいドメインを作成する必要がある場合は、[ドメイン が表示されません ] を選択します。 詳細については、「 カスタム ドメイン名の追加」を参照してください。
- メール ニックネーム: 入力したユーザー プリンシパル名とは異なるメール ニックネームを入力する必要がある場合は、[ ユーザー プリンシパル名から派生 ] オプションをオフにしてから、メールのニックネームを入力します。
- 表示名: Chris Green や Chris A. Green など、ユーザーの名前を入力します。
- パスワード: ユーザーが最初のサインイン時に使用するパスワードを指定します。 [ パスワードの自動生成 ] オプションをオフにして、別のパスワードを入力します。
- アカウントが有効: このオプションは既定でオンになっています。 これをオフにすると、新しいユーザーがサインインできなくなります。 この設定は、ユーザーの作成後に変更できます。 この設定は、レガシ作成ユーザー プロセスでの サインインのブロック と呼ばれます。
[ 確認と作成 ] ボタンを選択して新しいユーザーを作成するか、[ 次へ: プロパティ ] を選択して次のセクションを完了します。
![[Create new user Basics]\(新しいユーザーの作成の基本\) タブのスクリーンショット。](media/how-to-create-delete-users/create-new-user-basics-tab.png)
[ 確認と作成 ] ボタンを選択して新しいユーザーを作成するか、[ 次へ: プロパティ ] を選択して次のセクションを完了します。
プロパティ
指定できるユーザー プロパティには、6 つのカテゴリがあります。 これらのプロパティは、ユーザーの作成後に追加または更新できます。 これらの詳細を管理するには、 Entra ID>Users に移動し、更新するユーザーを選択します。
- 同一性: ユーザーの姓と名を入力します。 [ユーザーの種類] を [メンバー] または [ゲスト] に設定します。
- ジョブ情報: ユーザーの役職、部署、マネージャーなど、ジョブ関連の情報を追加します。
- 連絡先情報: ユーザーに関連する連絡先情報を追加します。
- 保護者によるコントロール: K-12 学区などの組織では、ユーザーの年齢グループを指定する必要がある場合があります。 未成年者 は12歳未満、 大人 は13~18歳、 大人 は18歳以上です。 年齢グループと親オプションによって提供される同意を組み合わせることによって、法的年齢グループの分類が決まります。 法的年齢グループの分類により、ユーザーのアクセス権と権限が制限される場合があります。
- 設定: ユーザーのグローバルな場所を指定します。
[ 確認と作成 ] ボタンを選択して新しいユーザーを作成するか、[ 次へ: 割り当て] を選択して次のセクションを完了します。
割り当て
アカウントの作成時に、ユーザーを管理単位、グループ、または Microsoft Entra ロールに割り当てることができます。 ユーザーを最大 20 のグループまたはロールに割り当てることができます。 ユーザーは 1 つの管理単位にのみ割り当てることができます。 ユーザーの作成後に割り当てを追加できます。
新しいユーザーにグループを割り当てるには:
- [ + グループの追加] を選択します。
- 表示されるメニューから、リストから最大 20 個のグループを選択し、[選択] ボタンを 選択 します。
- [ 確認と作成 ] ボタンを選択します。
新しいユーザーにロールを割り当てるには:
- [ + ロールの追加] を選択します。
- 表示されるメニューから、一覧から最大 20 個のロールを選択し、[選択] ボタンを 選択 します。
- [ 確認と作成 ] ボタンを選択します。
新しいユーザーに管理単位を追加するには:
- [ + 管理単位の追加] を選択します。
- 表示されたメニューから、一覧から 1 つの管理単位を選択し、[ 選択 ] ボタンを選択します。
- [ 確認と作成 ] ボタンを選択します。
確認と作成
最後のタブでは、ユーザー作成プロセスからいくつかの重要な詳細がキャプチャされます。 詳細を確認し、すべてが適切な場合は [作成 ] ボタンを選択します。
新しい外部ユーザーを作成する
重要
これらの手順は 、Microsoft Entra 外部 ID 外部 テナントにのみ適用されます。
Microsoft Entra 管理センターに、少なくともユーザー管理者としてサインインします。
外部テナントにサインインしていることを確認します。 上部のメニュー
設定アイコンを使用して、[ディレクトリ + サブスクリプション] メニューから外部テナントに切り替えます。Entra ID>Users に移動します。
[新しいユーザー] を選択>新しい外部ユーザーを作成します。
![Microsoft Entra ID の [Create new external user]\(新しい外部ユーザーの作成\) メニューのスクリーンショット。](media/how-to-create-delete-users/create-new-external-user-menu.png)
[ 新しいユーザーの作成 ] ページで、この記事で前述したように [ 基本 ] タブを完了しますが、次のバリエーションがあります。
- ユーザー プリンシパル名とメール ニックネームの代わりに、サインイン用のユーザーのメール アドレスを指定します。 [ID] の横にある [サインイン方法] で 、[電子メール] を選択します。 [ 値] に、ユーザーのメール アドレスを入力します。
- ユーザーに複数のメールを追加するには、[ 追加 ] ボタンを選択します。
(省略可能)[ 次へ: プロパティ] を選択します。 この記事で前述したように[ プロパティ ]タブを完了しますが、次のバリエーションに注意してください。
- [ ID ] セクションの [ ユーザーの種類 ] 設定は外部ユーザーには影響せず、既定の メンバー 設定のままにすることができます。
- [ 承認情報 ] フィールドは、外部ユーザーには使用できません。
- [ ジョブ情報] では、従業員とマネージャーに関連する情報は外部ユーザーには使用できません。
(省略可能) [次へ: 割り当て] を選択します。 この記事で前述したように [ 割り当て ] タブを完了しますが、[ 管理単位の追加] オプションと [ロールの追加] オプションは外部ユーザーには使用できないことに注意してください。
[ 確認と作成 ] ボタンを選択して、新しいユーザーを作成します。
外部ユーザーを招待する
外部ゲスト ユーザーを招待するための全体的なプロセスは似ていますが、[ 基本 ] タブと電子メールの招待プロセスに関するいくつかの詳細を除きます。 外部ユーザーを管理単位に割り当てることはできません。
メモ
この機能は、従業員と外部の両方のテナントに適用されますが、現在、外部テナントではプレビュー段階です。
Microsoft Entra 管理センターに、少なくともユーザー管理者としてサインインします。
Entra ID>Users に移動します。
[ 新しいユーザー>外部ユーザーを招待する] を選択します。
![[外部ユーザーの招待] メニュー オプションのスクリーンショット。](media/how-to-create-delete-users/invite-external-user-menu.png)
次に示すように、[ 新しいユーザー ] ページの残りのタブを完了します。
外部ユーザーについての基本情報
このセクションでは、ゲストの メール アドレスを使用して、ゲストをテナントに招待します。 ドメイン アカウントでゲスト ユーザーを作成する必要がある場合は、 新しいユーザーの作成プロセス を使用しますが、[ ユーザーの種類] を [ゲスト] に変更します。
- 電子メール: 招待するゲスト ユーザーのメール アドレスを入力します。
- 表示名: 表示名を指定します。
- 招待メッセージ: ゲストに簡単なメッセージをカスタマイズするには、[ 招待メッセージの送信 ] チェック ボックスをオンにします。 必要に応じて CC 受信者を指定します。
![外部ユーザーの招待の [基本] タブのスクリーンショット。](media/how-to-create-delete-users/invite-external-user-basics-tab.png)
ゲスト ユーザーの招待
招待メールを送信して外部ゲスト ユーザーを招待したとき、ユーザーの詳細から招待の状態をチェックできます。
- Entra ID>Users に移動します。
- 招待されたゲスト ユーザーを選択します。
- [ マイ フィード ] セクションで、 B2B コラボレーション タイルを見つけます。
- 招待の状態が PendingAcceptance の場合は、[ 招待の再送信 ] リンクを選択して別のメールを送信します。
- ユーザーの プロパティ を選択し、 招待の状態を表示することもできます。
他のユーザーを追加する
Azure Active Directory B2C (Azure AD B2C) ディレクトリにコンシューマー アカウントを手動で作成することが必要になるシナリオも考えられます。 コンシューマー アカウントの作成の詳細については、「 Azure AD B2C でのコンシューマー ユーザーの作成と削除」を参照してください。
重要
2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ で Azure AD B2C を引き続き購入できますか ? を参照してください。
Microsoft Entra ID (クラウド) と Windows Server Active Directory (オンプレミス) の両方の環境がある場合は、既存のユーザー アカウントのデータを同期することによって新しいユーザーを追加できます。 ハイブリッド環境とユーザーの詳細については、「 オンプレミスのディレクトリを Microsoft Entra ID と統合する」を参照してください。
ユーザーの削除
Microsoft Entra 管理センターを使用して、既存のユーザーを削除できます。
組織内のユーザーを削除するには、少なくともユーザー管理者ロールの割り当てが必要です。
特権認証管理者ロールを持つユーザーは、他の管理者を含むすべてのユーザーを削除できます。
ユーザー管理者は、管理者以外のユーザー、ヘルプデスク管理者、その他のユーザー管理者を削除できます。
詳細については、「 Microsoft Entra ID の管理者ロールのアクセス許可」を参照してください。
ユーザーを削除するには、次の手順に従います。
- Microsoft Entra 管理センターに、少なくともユーザー管理者としてサインインします。
- Entra ID>Users に移動します。
- 削除するユーザーを検索して選択します。
- [ ユーザーの削除] を選択します。
![ユーザーが選択され、[削除] ボタンが強調表示されている [すべてのユーザー] ページのスクリーンショット。](media/how-to-create-delete-users/delete-existing-user.png)
ユーザーは削除され、[ すべてのユーザー ] ページに表示されなくなります。 ユーザーは、次の 30 日間、[ 削除されたユーザー ] ページに表示され、その間に復元できます。 ユーザーの復元の詳細については、「 Microsoft Entra ID を使用して最近削除されたユーザーを復元または削除する」を参照してください。
ユーザーが削除されると、そのユーザーによって使用されていたライセンスは、他のユーザーが使用できるようになります。
メモ
権限ソースが Windows Server Active Directory であるユーザーの ID、連絡先情報、または仕事情報を更新するには、Windows Server Active Directory を使用する必要があります。 更新を完了した後、次の同期サイクルが完了するのを待ってから変更を確認する必要があります。