Azure ADでOUを作成

皆さんこんにちは。国井です。

以前、Azure ADではAU (Administrative Unit) という名のOU的なものが作れますよ、という話をしました。

「OU的なもの」って言い方をするのには理由があります。
Active Directoryの時代、OUを作成する目的は次の2つでした。

1.ユーザー/グループを分類し、
     特定OUの中だけの部分的な管理ができるようにしたい
2.グループポリシーを割り当てる単位として利用したい

AUは1.の目的で利用することができるけど、Azure ADではのグループポリシーの機能はないので、2.の目的で利用することができません。そのため、AUとOUは全く同じものではないけれど、少なくとも1.で行っていたことをAzure ADでもやりたいという人には朗報でしょう。

1.を図で示すとこんな感じになると思います。

昔からとても望まれていた機能だったのですが、以前はPowerShellからすべての設定を行う必要があると解説しました。ところが最近になって、やっとGUIから操作できるようになりました!早速ですが、

1. AUの作成
2. AUのメンバーの定義
3. AUの管理者と管理権限の定義

のステップで行う作業を確認してみましょう。

1.AUの作成

AUの管理はAzure AD管理センターの[管理単位]から行います。

image

[追加]ボタンをクリックして、AUの名前を設定するだけ。簡単ですね。

2.AUのメンバーの定義

1.で作成したAUをクリックし、[ユーザー]または[グループ]をクリックすると、ユーザーまたはグループを追加できます。ユーザーをCSVファイルから一括登録する方法も利用できます。

image

3.AUの管理者と管理権限の定義

AUのメンバーを管理する管理者は1.で作成したAUから[ロールと管理者]の項目で設定します。AUの管理者となるユーザーに割り当て可能なロールはご覧のとおりです。
だから冒頭に書いた「AUの全体管理者」っていうのは実はできないんですね..

image

以上の設定を行い、ロールが割り当てられたユーザーでAzure AD管理センターにサインインするとAU内のユーザーに対するプロパティの変更や、ユーザーそのものの削除、ライセンス割り当てなどの操作が行えるようになります。

また、Microsoft 365管理センターからもドロップダウンリストボックスでAUを選択し、AU内のユーザー/グループに対する設定を行うことができます。

image

Azure AD管理センターの[すべてのユーザー]でユーザー一覧を見ると、従業員のユーザーだけでなく、ゲストユーザーなども入り乱れて目的のユーザーにアクセスするのに苦労することもあると思いますが、AUを使えばユーザー管理の面倒が劇的に改善すると思います。

■ ■ ■

一方、実際の運用を考えた場合、AUの単位は事業所だったり、会社・部署だったり、教育機関であれば、学校や学年、クラスといった単位で分類することになります。しかし、動的グループのようにユーザーの属性に合わせて自動的に、誰がどのAUに所属するかを設定してくれるような機能はないため、Windows PowerShellでAUのメンバーを登録するコマンドレット
Add-AzureADAdministrativeUnitMemberは使い方を覚えておくとよいと思います。

前述のブログページで紹介していますので、ぜひご参考ください。