Microsoft Entra ID では、すべてのユーザーに既定のアクセス許可のセットが付与されます。 ユーザーのアクセスは、ユーザーの種類、 ロールの割り当て、および個々のオブジェクトの所有権で構成されます。
この記事では、これらの既定のアクセス許可について説明し、メンバーとゲスト ユーザーの既定値を比較します。 既定のユーザー アクセス許可は、Microsoft Entra ID のユーザー設定のみで変更できます。
メンバーとゲスト ユーザー
既定のアクセス許可のセットは、ユーザーがテナントのネイティブ メンバー (メンバー ユーザー) かどうか、またはユーザーが企業間 (B2B) コラボレーション ゲスト (ゲスト ユーザー) のような別のディレクトリから移ってきたユーザーかどうかによって異なります。 ゲスト ユーザーの追加の詳細については、「 Microsoft Entra B2B コラボレーションとは」を参照してください。 既定のアクセス許可の権限を次に示します。
メンバー ユーザー は、アプリケーションの登録、自分のプロフィール写真と携帯電話番号の管理、自分のパスワードの変更、B2B ゲストの招待を行うことができます。 また、すべてのディレクトリ情報を読むこともできます (いくつか例外があります)。
ゲスト ユーザー には、ディレクトリのアクセス許可が制限されています。 自分のプロファイルの管理や自分のパスワードの変更、他のユーザー、グループ、アプリに関する情報の取得を行うことができる。 ただし、すべてのディレクトリ情報は読み取れません。
たとえば、ゲスト ユーザーは、ユーザー、グループ、およびその他のディレクトリ オブジェクトすべてが含まれる一覧を列挙できません。 ゲストを管理者ロールに追加することができ、追加すると、読み取りと書き込みのすべてのアクセス許可が付与されます。 また、ゲストは他のゲストを招待することもできます。
メンバーとゲストの既定のアクセス許可を比較する
| 面積 | メンバー ユーザーのアクセス許可 | 既定のゲスト ユーザーのアクセス許可 | 制限されたゲスト ユーザーのアクセス許可 |
|---|---|---|---|
| ユーザーと連絡先 |
|
|
|
| グループ |
|
|
|
| アプリケーション |
|
|
|
| デバイス |
|
アクセス許可なし | アクセス許可なし |
| 組織 |
|
|
|
| ロールとスコープ |
|
アクセス許可なし | アクセス許可なし |
| サブスクリプション |
|
アクセス許可なし | アクセス許可なし |
| ポリシー |
|
アクセス許可なし | アクセス許可なし |
| 使用条件 | ユーザーが同意した利用規約を読み取る。 | ユーザーが同意した利用規約を読み取る。 | ユーザーが同意した利用規約を読み取る。 |
メンバー ユーザーの既定のアクセス許可を制限する
ユーザーの既定のアクセス許可に制限を追加できます。
メンバー ユーザーの既定のアクセス許可は、次の方法で制限できます。
注意事項
Microsoft Entra 管理ポータルへのアクセスを制限するスイッチを使用することは、セキュリティ対策ではありません。 機能の詳細については、下記の表を参照してください。
| 権限 | 設定の説明 |
|---|---|
| アプリケーションを登録する | このオプションを [いいえ ] に設定すると、ユーザーはアプリケーションの登録を作成できなくなります。 その場合、特定のユーザーをアプリケーション開発者ロールに追加することで、そのユーザーにこの権限を付与できます。 |
| ユーザーが職場または学校アカウントを LinkedIn に接続できるようにする | このオプションを [いいえ ] に設定すると、ユーザーは職場または学校アカウントを LinkedIn アカウントに接続できなくなります。 詳細については、 LinkedIn アカウント接続のデータ共有と同意に関するページを参照してください。 |
| セキュリティ グループを作成する | このオプションを [いいえ] に設定すると、ユーザーはセキュリティ グループを作成できなくなります。 少なくともユーザー管理者ロールが割り当てられているユーザーは、引き続きセキュリティ グループを作成できます。 方法については、 グループ設定を構成するための Microsoft Entra コマンドレットを参照してください。 |
| Microsoft 365 グループを作成する | このオプションを [いいえ ] に設定すると、ユーザーは Microsoft 365 グループを作成できなくなります。 このオプションを [一部 ] に設定すると、一連のユーザーが Microsoft 365 グループを作成できます。 少なくとも ユーザー管理者 ロールが割り当てられているすべてのユーザーは、引き続き Microsoft 365 グループを作成できます。 方法については、 グループ設定を構成するための Microsoft Entra コマンドレットを参照してください。 |
| Microsoft Entra 管理ポータルへのアクセスを制限する |
このスイッチは何をしますか? 管理者 以外のユーザーが Microsoft Entra 管理ポータルを参照できない。 はい 管理者以外のユーザーが Microsoft Entra 管理ポータルを参照できないように制限します。 グループまたはアプリケーションの所有者である管理者以外のユーザーは、Azure portal を使用して所有しているリソースを管理することができません。
それは何をしないのか?
このスイッチを使用する必要がある場合
このスイッチを使用すべきでないのはいつですか?
特定の管理者以外のユーザーにのみ Microsoft Entra 管理ポータルを使用する権限を付与するにはどうすればよいですか?
Microsoft Entra 管理ポータルへのアクセスを制限する |
| 管理者以外のユーザーによるテナントの作成を制限する | ユーザーは、Microsoft Entra ID および Microsoft Entra 管理ポータルの [テナントの管理] でテナントを作成できます。 テナントの作成は、監査ログに DirectoryManagement カテゴリおよび Create Company アクティビティとして記録されます。 既定では、Microsoft Entra テナントを作成するユーザーには、 グローバル管理者 ロールが自動的に割り当てられます。 新しく作成されたテナントは設定や構成を継承しません。
このスイッチは何をしますか?
管理者以外の特定のユーザーにのみ新しいテナントを作成する権限を付与するにはどうすればよいですか? |
| 所有デバイスの BitLocker キーの回復をユーザーに制限する | この設定は、Microsoft Entra 管理センターの [デバイス設定] にあります。 このオプションを [はい ] に設定すると、ユーザーは所有デバイスの BitLocker キーをセルフサービスで回復できなくなります。 ユーザーが BitLocker キーを取得するには、組織のヘルプ デスクに問い合わせる必要があります。 このオプションを に設定すると、ユーザーは BitLocker キーを回復できます。 |
| 他のユーザーを読む | この設定は Microsoft Graph と PowerShell でのみ使用できます。 このフラグを $false に設定すると、管理者以外のすべてのユーザーはディレクトリからユーザー情報を読み取ることができなくなります。 このフラグを使用すると、Microsoft Teams などの他の Microsoft サービスのユーザー情報の読み取りを防ぐことができることがあります。この設定は特殊な状況を想定しているため、フラグを |
次のスクリーンショットには、[ 管理者以外のユーザーによるテナントの作成を制限 する] オプションが表示されています。
ゲスト ユーザーの既定のアクセス許可を制限する
ゲスト ユーザーの既定のアクセス許可は、次の方法で制限できます。
注意
ゲスト ユーザーのアクセス制限設定はゲスト ユーザーの権限が制限される設定に置き換えられました。 この機能の使用に関するガイダンスについては、「 Microsoft Entra ID でゲスト アクセス許可を制限する」を参照してください。
| 権限 | 設定の説明 |
|---|---|
| ゲスト ユーザーのアクセス制限 | このオプションを ゲスト ユーザーに設定すると、メンバーと同じアクセス権を持つ すべてのメンバー ユーザーのアクセス許可がゲスト ユーザーに既定で付与されます。 このオプションを ゲスト ユーザー アクセスに設定すると、独自のディレクトリ オブジェクトのプロパティとメンバーシップに制限 され、既定ではゲスト アクセスは独自のユーザー プロファイルのみに制限されます。 ユーザー プリンシパル名、オブジェクト ID、または表示名で検索する場合でも、他のユーザーへのアクセスは許可されなくなりました。 グループ メンバーシップを含むグループ情報へのアクセスも許可されなくなりました。 この設定では、Microsoft Teams など、一部の Microsoft 365 サービスの参加しているグループへのアクセスは禁止されません。 詳細については、Microsoft Teams ゲスト アクセスを参照してください。 このアクセス許可の設定に関係なく、ゲスト ユーザーを管理者の役割に追加できます。 |
| ゲストは招待できます | このオプションを [はい ] に設定すると、ゲストは他のゲストを招待できます。 詳細については、「 外部コラボレーション設定の構成」を参照してください。 |
オブジェクトの所有権
アプリケーション登録所有者のアクセス許可
ユーザーがアプリケーションを登録すると、そのユーザーはアプリケーションの所有者として自動的に追加されます。 所有者は、名前やアプリが要求するアクセス許可など、アプリケーションのメタデータを管理できます。 また、シングル サインオン (SSO) の構成やユーザーの割り当てなど、アプリケーションのテナント固有の構成も管理できます。
所有者は、他の所有者を追加または削除することもできます。 少なくともアプリケーション管理者ロールが割り当てられているユーザーとは異なり、所有者は、自分が所有するアプリケーションのみを管理できます。
エンタープライズ アプリケーション所有者のアクセス許可
ユーザーがエンタープライズ アプリケーションを追加すると、そのユーザーは自動的に所有者として追加されます。 所有者は、SSO の構成、プロビジョニング、ユーザーの割り当てなど、アプリケーションのテナント固有の構成を管理できます。
所有者は、他の所有者を追加または削除することもできます。 少なくともアプリケーション管理者ロールが割り当てられているユーザーとは異なり、所有者は、自分が所有するアプリケーションのみを管理できます。
グループ所有者のアクセス許可
グループを作成したユーザーは、そのグループの所有者として自動的に追加されます。 所有者は、名前などのグループのプロパティおよびグループ メンバーシップを管理できます。
所有者は、他の所有者を追加または削除することもできます。 少なくとも グループ管理者 ロールが割り当てられているユーザーとは異なり、所有者は自分が所有するグループのみを管理でき、グループのメンバーシップの種類が 割り当てられている場合にのみグループ メンバーを追加または削除できます。
グループ所有者を割り当てるには、「グループ の所有者の管理」を参照してください。
特権アクセス管理 (PIM) を使用してグループをロールの割り当ての対象にするには、「 Microsoft Entra グループを使用してロールの割り当てを管理する」を参照してください。
所有者のアクセス許可
次の表では、メンバー ユーザーが所有するオブジェクトに対して持つ Microsoft Entra ID の特定のアクセス許可について説明します。 ユーザーは、自分が所有するオブジェクトに対してのみこれらのアクセス許可を持っています。
所有しているアプリケーションの登録
ユーザーは、所有するアプリケーションの登録で次のアクションを実行できます。
| アクション | 説明 |
|---|---|
| microsoft.directory/applications/audience/update | Microsoft Entra ID の applications.audience プロパティを更新します。 |
| microsoft.ディレクトリ/アプリケーション/認証/更新 | Microsoft Entra ID の applications.authentication プロパティを更新します。 |
| microsoft.directory/applications/basic/update | Microsoft Entra ID でアプリケーションの基本プロパティを更新します。 |
| microsoft.directory/applications/credentials/update | Microsoft Entra ID の applications.credentials プロパティを更新します。 |
| microsoft.directory/applications/delete | Microsoft Entra ID でアプリケーションを削除します。 |
| microsoft.directory/applications/owners/update | Microsoft Entra ID の applications.owners プロパティを更新します。 |
| microsoft.directory/applications/permissions/update | Microsoft Entra ID の applications.permissions プロパティを更新します。 |
| microsoft.directory/applications/policies/update | Microsoft Entra ID の applications.policies プロパティを更新します。 |
| microsoft.directory/アプリケーション/復元 | Microsoft Entra ID でアプリケーションを復元します。 |
所有するエンタープライズ アプリケーション
ユーザーは、所有するエンタープライズ アプリケーションで次のアクションを実行できます。 エンタープライズ アプリケーションは、サービス プリンシパル、1 つまたは複数のアプリケーション ポリシー、および場合によってはサービス プリンシパルと同じテナント内のアプリケーション オブジェクトで構成されます。
| アクション | 説明 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Microsoft Entra ID で監査ログのすべてのプロパティ (特権プロパティを含む) を読み取ります。 |
| microsoft.directory/policies/basic/update | Microsoft Entra ID でポリシーの基本プロパティを更新します。 |
| microsoft.directory/policies/delete | Microsoft Entra ID でポリシーを削除します。 |
| microsoft.directory/policies/owners/update | Microsoft Entra ID の policies.owners プロパティを更新します。 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Microsoft Entra ID の servicePrincipals.appRoleAssignedTo プロパティを更新します。 |
| microsoft.directory/servicePrincipals/appRoleAssignments/update | Microsoft Entra ID の users.appRoleAssignments プロパティを更新します。 |
| microsoft.directory/servicePrincipals/audience/update | Microsoft Entra ID の servicePrincipals.audience プロパティを更新します。 |
| microsoft.directory/servicePrincipals/authentication/update | Microsoft Entra ID の servicePrincipals.authentication プロパティを更新します。 |
| microsoft.directory/servicePrincipals/basic/アップデート | Microsoft Entra ID でサービス プリンシパルの基本プロパティを更新します。 |
| microsoft.directory/servicePrincipals/credentials/update | Microsoft Entra ID の servicePrincipals.credentials プロパティを更新します。 |
| microsoft.directory/servicePrincipals/delete | Microsoft Entra ID でサービス プリンシパルを削除します。 |
| microsoft.directory/servicePrincipals/owners/update | Microsoft Entra ID の servicePrincipals.owners プロパティを更新します。 |
| microsoft.directory/servicePrincipals/permissions/update | Microsoft Entra ID の servicePrincipals.permissions プロパティを更新します。 |
| microsoft.directory/servicePrincipals/policies/update | Microsoft Entra ID の servicePrincipals.policies プロパティを更新します。 |
| microsoft.directory/signInReports/allProperties/read | Microsoft Entra ID のサインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取ります。 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | アプリケーション プロビジョニングのシークレットと資格情報を管理する |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | アプリケーション プロビジョニングの同期ジョブを開始、再開、および一時停止する |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage (管理) | アプリケーション プロビジョニングの同期ジョブとスキーマを作成、管理する |
| microsoft.directory/servicePrincipals/synchronization/standard/read | サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る |
所有するデバイス
ユーザーは、所有するデバイスで次のアクションを実行できます。
| アクション | 説明 |
|---|---|
| microsoft.directory/devices/bitLockerRecoveryKeys/read | Microsoft Entra ID の devices.bitLockerRecoveryKeys プロパティを読み取ります。 |
| microsoft.directory/devices/disable | Microsoft Entra ID でデバイスを無効にします。 |
所有するグループ
ユーザーは、所有するグループで次のアクションを実行できます。
注意
動的メンバーシップ グループの所有者は、動的メンバーシップ グループのルールを編集するには、グループ管理者、Intune 管理者、またはユーザー管理者のロールを持っている必要があります。 詳細については、「 Microsoft Entra ID で動的メンバーシップ グループを作成または更新する」を参照してください。
| アクション | 説明 |
|---|---|
| microsoft.directory/groups/appRoleAssignments/update | Microsoft Entra ID の groups.appRoleAssignments プロパティを更新します。 |
| microsoft.directory/グループ/基本/更新 | Microsoft Entra ID でグループの基本プロパティを更新します。 |
| microsoft.directory/groups/delete | Microsoft Entra ID でグループを削除します。 |
| microsoft.directory/groups/members/update | Microsoft Entra ID の groups.members プロパティを更新します。 |
| microsoft.directory/groups/owners/update | Microsoft Entra ID の groups.owners プロパティを更新します。 |
| microsoft.directory/groups/restore | Microsoft Entra ID でグループを復元します。 |
| microsoft.directory/groups/settings/update | Microsoft Entra ID の groups.settings プロパティを更新します。 |
次のステップ
ゲスト ユーザーのアクセス制限設定の詳細については、「Microsoft Entra ID でゲスト アクセス許可を制限する」を参照してください。
Microsoft Entra 管理者ロールを割り当てる方法の詳細については、「Microsoft Entra ID でユーザーを管理者ロールに割り当てる」を参照してください。
Microsoft Azure でのリソース アクセスの制御方法の詳細については、「Azure での リソース アクセスについて」を参照してください。