皆さんこんにちは。国井です。
以前、Azure ADではAU (Administrative Unit) という名のOU的なものが作れますよ、という話をしました。
「OU的なもの」って言い方をするのには理由があります。
Active Directoryの時代、OUを作成する目的は次の2つでした。
1.ユーザー/グループを分類し、
特定OUの中だけの部分的な管理ができるようにしたい
2.グループポリシーを割り当てる単位として利用したい
AUは1.の目的で利用することができるけど、Azure ADではのグループポリシーの機能はないので、2.の目的で利用することができません。そのため、AUとOUは全く同じものではないけれど、少なくとも1.で行っていたことをAzure ADでもやりたいという人には朗報でしょう。
1.を図で示すとこんな感じになると思います。
昔からとても望まれていた機能だったのですが、以前はPowerShellからすべての設定を行う必要があると解説しました。ところが最近になって、やっとGUIから操作できるようになりました!早速ですが、
1. AUの作成
2. AUのメンバーの定義
3. AUの管理者と管理権限の定義
のステップで行う作業を確認してみましょう。
1.AUの作成
AUの管理はAzure AD管理センターの[管理単位]から行います。
[追加]ボタンをクリックして、AUの名前を設定するだけ。簡単ですね。
2.AUのメンバーの定義
1.で作成したAUをクリックし、[ユーザー]または[グループ]をクリックすると、ユーザーまたはグループを追加できます。ユーザーをCSVファイルから一括登録する方法も利用できます。
3.AUの管理者と管理権限の定義
AUのメンバーを管理する管理者は1.で作成したAUから[ロールと管理者]の項目で設定します。AUの管理者となるユーザーに割り当て可能なロールはご覧のとおりです。
だから冒頭に書いた「AUの全体管理者」っていうのは実はできないんですね..
以上の設定を行い、ロールが割り当てられたユーザーでAzure AD管理センターにサインインするとAU内のユーザーに対するプロパティの変更や、ユーザーそのものの削除、ライセンス割り当てなどの操作が行えるようになります。
また、Microsoft 365管理センターからもドロップダウンリストボックスでAUを選択し、AU内のユーザー/グループに対する設定を行うことができます。
Azure AD管理センターの[すべてのユーザー]でユーザー一覧を見ると、従業員のユーザーだけでなく、ゲストユーザーなども入り乱れて目的のユーザーにアクセスするのに苦労することもあると思いますが、AUを使えばユーザー管理の面倒が劇的に改善すると思います。
■ ■ ■
一方、実際の運用を考えた場合、AUの単位は事業所だったり、会社・部署だったり、教育機関であれば、学校や学年、クラスといった単位で分類することになります。しかし、動的グループのようにユーザーの属性に合わせて自動的に、誰がどのAUに所属するかを設定してくれるような機能はないため、Windows PowerShellでAUのメンバーを登録するコマンドレット
Add-AzureADAdministrativeUnitMemberは使い方を覚えておくとよいと思います。
前述のブログページで紹介していますので、ぜひご参考ください。
