マイ スタッフを使用してユーザーを管理する
マイ スタッフを使用すると、ストア マネージャーやチーム リーダーなどの権限のある人に、スタッフ メンバーが Microsoft Entra アカウントにアクセスできるようにするためのアクセス許可を委任することができます。 組織では、パスワードのリセットや電話番号の変更などの一般的なタスクを、中央のヘルプデスクに頼るのではなく、現場のチーム マネージャーに任せることができます。 マイ スタッフを使用すると、自分のアカウントにアクセスできないユーザーは、数回のクリックでアクセスを回復することができ、ヘルプデスクや IT スタッフは必要ありません。
組織のためにマイ スタッフを構成する前に、このドキュメントとユーザー ドキュメントを確認し、この機能と、それがユーザーに及ぼす影響を、理解することをお勧めします。 ユーザーのドキュメントを利用して、新しいエクスペリエンスに備えてユーザーを訓練し、準備することで、ロールアウトを成功させることができます。
マイ スタッフのしくみ
マイ スタッフの基になっている管理単位は、ロール割り当ての管理制御の範囲を制限するために使用できるリソースのコンテナーです。 詳細については、「Microsoft Entra ID の管理単位」を参照してください。 マイ スタッフでは、店舗や部署のユーザーのグループで管理単位を構成できます。 これにより、1 つまたは複数の単位のスコープの管理者ロールにチーム マネージャーを割り当てることができます。
開始する前に
この記事を完了するには、以下のリソースと特権が必要です。
有効な Azure サブスクリプション
- Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
サブスクリプションに関連付けられている Microsoft Entra テナント。
- 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
SMS ベースの認証を有効にするには、Microsoft Entra テナントの認証ポリシー管理者特権が必要です。
テキスト メッセージ認証方法ポリシーで有効になっている各ユーザーは、その方法を使用しない場合でも、ライセンスを取得している必要があります。 有効な各ユーザーは、次の Microsoft Entra ID または Microsoft 365 ライセンスのいずれかを保持している必要があります。
マイ スタッフを有効にする方法
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
管理単位を構成した後は、マイ スタッフにアクセスするユーザーにこのスコープを適用できます。 管理者ロールを割り当てられたユーザーだけが、マイ スタッフにアクセスできます。 マイ スタッフを有効にするには、次の手順のようにします。
Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
[Identity] (ID)>[ユーザー]>[ユーザー設定] の順に移動します。
[ユーザー機能] で、[ユーザー機能設定の管理] を選択します。
[管理者はマイ スタッフにアクセスできます] では、すべてのユーザーまたは選択したユーザーにアクセスを許可したり、すべてのユーザーにアクセスを禁止したりできます。
注意
管理者ロールを割り当てられたユーザーだけが、マイ スタッフにアクセスできます。 管理者ロールが割り当てられていないユーザーに対してマイ スタッフを有効にすると、そのユーザーはマイ スタッフにアクセスできなくなります。
条件付きアクセス
Microsoft Entra 条件付きアクセス ポリシーを使用して、マイ スタッフ ポータルを保護することができます。 これは、マイ スタッフにアクセスする前に多要素認証を要求するなどのタスクに使用します。
Microsoft では、Microsoft Entra 条件付きアクセス ポリシーを使用してマイ スタッフを保護することを強くお勧めします。 マイ スタッフに条件付きアクセス ポリシーを適用するには、まずマイ スタッフ サイトに 1 回アクセスする必要があります。その際、条件付きアクセスで使用するためにテナントのサービス プリンシパルを自動的にプロビジョニングするのに数分かかります。
マイ スタッフ クラウド アプリケーションに適用する条件付きアクセス ポリシーを作成すると、サービス プリンシパルが表示されます。
マイ スタッフの使用
ユーザーがマイ スタッフに移動すると、自分が管理者アクセス許可を持つ管理単位の名前が表示されます。 マイ スタッフのユーザー ドキュメントでは、"場所" という用語を使用して管理単位が示されています。 管理者のアクセス許可に管理単位スコープがない場合、アクセス許可は組織全体に適用されます。 マイ スタッフが有効にされた後、有効にされて管理者ロールが割り当てられているユーザーは、https://mystaff.microsoft.com を使用してマイ スタッフにアクセスできます。 管理単位を選択してその管理単位内のユーザーを表示したり、ユーザーを選択してプロファイルを開いたりすることができます。
ユーザーのパスワードのリセット
オンプレミスのユーザーのパスワードをリセットする前に、次の前提条件を満たす必要があります。 詳細な手順については、「セルフサービス パスワード リセットを有効にする」のチュートリアルを参照してください。
- パスワード ライトバックのアクセス許可を構成する
- Microsoft Entra Connect でパスワード ライトバックを有効にする
- Microsoft Entra セルフサービス パスワード リセット (SSPR) でパスワード ライトバックを有効にする
次のロールには、ユーザーのパスワードをリセットするアクセス許可があります。
[マイ スタッフ] で、ユーザーのプロファイルを開きます。 [パスワードのリセット] を選択します。
ユーザーがクラウドのみの場合は、ユーザーに提供できる一時的なパスワードを確認できます。
ユーザーがオンプレミスの Active Directory から同期されている場合は、オンプレミスの AD ポリシーを満たすパスワードを入力できます。 その後、そのパスワードをユーザーに提供できます。
ユーザーは、次にサインインしたときに、パスワードの変更を要求されます。
電話番号を管理する
[マイ スタッフ] で、ユーザーのプロファイルを開きます。
- ユーザーに電話番号を追加するには、 [電話番号の追加] セクションを選択します
- 電話番号を変更するには、 [電話番号の編集] を選択します
- ユーザーの電話番号を削除するには、 [電話番号の削除] を選択します
設定に応じて、ユーザーは、設定された電話番号を使用して SMS でサインインし、多要素認証を実行して、セルフサービス パスワード リセットを実行できます。
ユーザーの電話番号を管理するには、次のいずれかのロールが割り当てられている必要があります。
検索する
マイ スタッフの検索バーを使用して、組織内の管理単位やユーザーを検索できます。 組織内のすべての管理単位やユーザーを検索できますが、変更できるのは、自分が管理者アクセス許可を付与されている管理単位内のユーザーだけです。
監査ログ
Microsoft Entra 管理センターでは、マイ スタッフにおいて行われた操作の監査ログを見ることができます。 マイ スタッフで行われた操作によって監査ログが生成された場合、監査イベントの [ADDITIONAL DETAILS](追加の詳細) の下にこのことが示されます。