前提条件
クラウドで従業員の ID 管理をしたいと題して、前回の記事では Azure AD のカスタムドメイン (プライマリードメイン) を設定しました。
今回はその続きでカスタムドメイン (プライマリードメイン) をもつグローバル管理者アカウントを作成したいと思います。
グローバル管理者とは
グローバル管理者は、組織の設定とそのほとんどのデータにほぼ無制限にアクセスできます。 グローバル管理者の数はできるだけ制限することをお勧めします。 グローバル 管理が誤ってアカウントをロックし、パスワードのリセットが必要になる場合があります。 別のグローバル 管理または特権認証管理は、グローバル 管理のパスワードをリセットできます。 そのため、グローバル 管理によってアカウントがロックされた場合は、少なくとも 1 つ以上のグローバル 管理または特権認証管理を使用することをお勧めします。
Microsoft 365 管理センターの管理者ロールについて – Microsoft 365 admin | Microsoft Learn
グローバル管理者は組織内の Azure の設定やデータに対して様々な変更を加えることのできる、いわば最高特権のアカウントであるといえます。すなわち、そのアカウントの取り扱いにも注意が必要であるといえます。今後の記事では、多要素認証の設定やユーザーリスク/サインインリスクへの対応についても取り上げていきたいと思います。
グローバル管理者を作成しよう
1. 当初から使用していた outlook.jp のアカウントで Azure ポータル https://portal.azure.com/ にログインします。
2. Azure サービスから [Azure Active Directory] を選択します。
![](https://smejpsec.com/wp-content/uploads/2023/04/0302_select_aad_icon-1024x268.png)
3. Azure AD の管理画面が表示されたのち、左ペインの [管理 | ユーザー] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/04/0303_click_aad_users.png)
4. ユーザー一覧が表示され、ログイン中の #EXT# がついたアカウントが確認できます。#EXT# は組織外から招待されたユーザーを意味します。続いて、組織内のグローバル管理者を作成するため、[新しいユーザー] から [新しいユーザーの作成] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/04/0304_current_aad_users-1024x402.png)
5. 新しいユーザーの画面が表示され、以下の通り設定し、[作成] をクリックします。
・テンプレートの選択:ユーザーの作成
・ID > ユーザー名:[任意の名前] @ [取得したカスタムドメイン]
・ID > 名前:[任意の名前] ※
・初期パスワード:[自分でパスワードを作成する] を選択し、一時パスワードを入力します。※※
・グループとロール > 役割:グローバル管理者
※ Teams などの表示名になるので、例えば YAMADA Taro (山田 太郎) のようにつけると今後わかりやすいと思います。
※※ 後ほどパスワード変更が強制されます。
![](https://smejpsec.com/wp-content/uploads/2023/04/0305_01_create_admin_user.png)
![](https://smejpsec.com/wp-content/uploads/2023/04/0305_02_create_admin_user-1024x509.png)
6. Azure ポータル右上のアイコンマークを選択し、[サインアウト] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/04/0306_signout_outlook_admin_user.png)
7. アカウントを選択する画面が表示されるので、[別のアカウントを使用する] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/04/0307_select_signin_others.png)
8. サインインの画面が表示されるので、作成した [任意の名前] @ [取得したカスタムドメイン] を入力します。
![](https://smejpsec.com/wp-content/uploads/2023/04/0308_enter_signin_account.png)
9. パスワードの入力画面が表示されるので、作成した初期パスワードを入力します。
![](https://smejpsec.com/wp-content/uploads/2023/04/0309_enter_temp_password-1.png)
10. パスワードの更新画面が表示されるので、[現在のパスワード] に初期パスワードを、[新しいパスワード] と [パスワードの確認入力] に使用する新しいパスワードを入力します。
![](https://smejpsec.com/wp-content/uploads/2023/04/0310_update_password-1.png)
11. アクションが必要の画面が表示されるので、[次へ] をクリックし、画面の指示に従って、Microsoft Authenticator アプリをセットアップします。
![](https://smejpsec.com/wp-content/uploads/2023/04/0311_setup_MFA.png)
12. Authenticator の登録が完了したのち、Azure ポータルにログインできます。ツアーの開始は [後で行う] を選択してください。
![](https://smejpsec.com/wp-content/uploads/2023/04/0312_finish_setup_MFA-1024x422.png)
13. 一番上の [リソース、サービス、ドキュメントの検索] に [Azure Active Directory] と入力し、Azure Active Directory を選択します。
![](https://smejpsec.com/wp-content/uploads/2023/04/0313_search_aad_portal-1024x296.png)
14. Azure AD 管理画面が開くので、左ペインの [管理 | プロパティ] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/04/0314_select_aad_profile.png)
15. テナントのプロパティが開くので、Azure リソースのアクセス管理を [はい] に変更し、[保存] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/04/0315_change_aad_profile.png)
不要なグローバル管理者アカウントは削除しよう
1. 当初から使用していた outlook.jp の Azure アカウントは不要になるので削除します。左ペインの [管理 | プロパティ] をクリックします。
(2023/04/24 追記)
当初から使用していた outlook.jp の Azure アカウントは、「アカウント管理者」として課金情報と紐づいているので削除してはいけません。
![](https://smejpsec.com/wp-content/uploads/2023/04/0316_select_aad_users.png)
2. 当初から使用していた outlook.jp の Azure アカウントにチェックを入れて、[削除] を選択したのち [OK] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/04/0317_delete_initial_aad_user-1024x453.png)
3. ユーザーを完全削除するために、左ペインの [管理 | 削除されたユーザー (プレビュー)] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/04/0318_select_complete_delete_users.png)
4. 削除されたユーザーが表示され、全選択したのち [完全に削除] を選択し、[OK] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/04/0319_complete_delete_users-1024x458.png)
Microsoft 365 管理センターにアクセスしよう
1. 作成した組織ドメインのグローバル管理者アカウントで Microsoft 365 管理センター https://admin.microsoft.com/ にログインします。
2. Microsoft 365 管理センターのホーム画面が表示されることが確認できます。
![](https://smejpsec.com/wp-content/uploads/2023/04/0321_access_m365_admin_portal-1024x510.png)
終わりに
組織ドメインを持ったグローバル管理者アカウントを作成でき、Microsoft 365 管理センターにもアクセスできるようになりました。今後、この Microsoft 365 管理センターから Microsoft 社が提供する様々なサービスにアクセスすることになります。次回は、Exchange Online を使った独自ドメインメールの設定方法について紹介していきたいと思います。
コメント