Microsoft Entra ID の既定のユーザー アクセス許可とは

Microsoft Entra ID では、すべてのユーザーに既定のアクセス許可のセットが付与されます。 ユーザーのアクセスは、ユーザーの種類、ユーザーのロールの割り当て、および個々のオブジェクトの所有権で構成されます。

この記事では、これらの既定のアクセス許可について説明し、メンバーとゲスト ユーザーの既定値を比較します。 既定のユーザー アクセス許可は、Microsoft Entra ID のユーザー設定のみで変更できます。

メンバーとゲスト ユーザー

既定の許可のセットは、ユーザーがテナントのネイティブ メンバー (メンバー ユーザー) かどうか、または企業間 (B2B) コラボレーション ゲスト (ゲスト ユーザー) などの別のディレクトリから持ち込まれたかどうかによって異なります。 ゲスト ユーザーの追加の詳細については、「Microsoft Entra B2B コラボレーションとは」を参照してください。 既定のアクセス許可の権限を次に示します。

  • メンバー ユーザーは、アプリケーションの登録、自分のプロファイル写真と携帯電話番号の管理、自分のパスワードの変更、B2B ゲストの招待を行うことができます。 また、すべてのディレクトリ情報を読むこともできます (いくつか例外があります)。

  • ゲスト ユーザーは、ディレクトリ アクセス許可を制限されています。 自分のプロファイルの管理や自分のパスワードの変更、他のユーザー、グループ、アプリに関する情報の取得を行うことができます。 ただし、すべてのディレクトリ情報は読み取れません。

    たとえば、ゲスト ユーザーは、ユーザー、グループ、およびその他のディレクトリ オブジェクトすべてが含まれる一覧を列挙できません。 ゲストを管理者ロールに追加することができ、追加すると、読み取りと書き込みのすべてのアクセス許可が付与されます。 また、ゲストは他のゲストを招待することもできます。

メンバーとゲストの既定のアクセス許可を比較する

領域 メンバー ユーザーのアクセス許可 既定のゲスト ユーザーのアクセス許可 制限されたゲスト ユーザーのアクセス許可
ユーザーと連絡先
  • すべてのユーザーと連絡先の一覧を列挙する
  • ユーザーと連絡先のすべてのパブリック プロパティを読み取る
  • ゲストを招待する
  • 自分のパスワードを変更する
  • 自分の携帯電話番号を管理する
  • 独自の写真を管理する
  • 自分の更新トークンを無効にする
  • 独自のプロパティを読み取る
  • 他のユーザーと連絡先の表示名、メール アドレス、サインイン名、写真、ユーザー プリンシパル名、ユーザーの種類の各プロパティを読み取る
  • 自分のパスワードを変更する
  • 別のユーザーをオブジェクト ID で検索する (許可されている場合)
  • 他のユーザーの上司と直属の部下の情報を読み取る
  • 独自のプロパティを読み取る
  • 自分のパスワードを変更する
  • 自分の携帯電話番号を管理する
グループ
  • セキュリティ グループを作成する
  • Microsoft 365 グループを作成する
  • すべてのグループの一覧を列挙する
  • グループのすべてのプロパティを読み取る
  • 非表示でないグループのメンバーシップを読み取る
  • 参加しているグループで非表示にされている Microsoft 365 グループのメンバーシップを読み取る
  • ユーザーが所有するグループのプロパティ、所有権、メンバーシップを管理する
  • 所有するグループにゲストを追加する
  • グループ メンバーシップの設定を管理する
  • 所有するグループを削除する
  • 所有する Microsoft 365 グループを復元する
  • メンバーシップおよび所有権を含む (不参加のグループも含む) 非表示でないグループのプロパティを読み取る
  • 参加しているグループで非表示にされている Microsoft 365 グループのメンバーシップを読み取る
  • 表示名またはオブジェクト ID でグループを検索する (許可されている場合)
  • 参加しているグループのオブジェクト ID を読み取る
  • 一部の Microsoft 365 アプリで参加しているグループのメンバーシップと所有権を読み取る (許可されている場合)
アプリケーション
  • 新しいアプリケーションを登録 (作成) する
  • すべてのアプリケーションの一覧を列挙する
  • 登録済みアプリケーションとエンタープライズ アプリケーションのプロパティを読み取る
  • 所有するアプリケーションのプロパティ、割り当て、資格情報を管理する
  • ユーザーのアプリケーション パスワードを作成または削除する
  • 所有するアプリケーションを削除する
  • 所有するアプリケーションを復元する
  • アプリケーションに付与されるアクセス許可を一覧表示する
  • 登録済みアプリケーションとエンタープライズ アプリケーションのプロパティを読み取る
  • アプリケーションに付与されるアクセス許可を一覧表示する
  • 登録済みアプリケーションとエンタープライズ アプリケーションのプロパティを読み取る
  • アプリケーションに付与されるアクセス許可を一覧表示する
デバイス
  • すべてのデバイスの一覧を列挙する
  • デバイスのすべてのプロパティを読み取る
  • 所有するデバイスのすべてのプロパティを管理する
アクセス許可なし アクセス許可なし
組織
  • 会社のすべての情報を読み取る
  • すべてのドメインを読み取る
  • 証明書ベースの認証の構成を読み取る
  • すべてのパートナー契約を読み取る
  • マルチテナント組織の基本的な詳細とアクティブなテナントを読み取る
  • 会社の表示名を読み取る
  • すべてのドメインを読み取る
  • 証明書ベースの認証の構成を読み取る
  • 会社の表示名を読み取る
  • すべてのドメインを読み取る
ロールとスコープ
  • すべての管理者ロールとメンバーシップを読み取る
  • 管理単位のすべてのプロパティとメンバーシップを読み取る
アクセス許可なし アクセス許可なし
サブスクリプション
  • すべてのライセンス サブスクリプションを読み取る
  • サービス プランのメンバーシップを有効にする
アクセス許可なし アクセス許可なし
ポリシー
  • ポリシーのすべてのプロパティを読み取る
  • 所有するポリシーのすべてのプロパティを管理する
アクセス許可なし アクセス許可なし

メンバー ユーザーの既定のアクセス許可を制限する

ユーザーの既定のアクセス許可に制限を追加できます。

メンバー ユーザーの既定のアクセス許可は、次の方法で制限できます。

注意事項

[Restrict access to Microsoft Entra administration portal](Microsoft Entra 管理ポータルへのアクセスを制限する) スイッチを使用することは、セキュリティ対策ではありません。 機能の詳細については、下記の表を参照してください。

権限 設定の説明
アプリケーションの登録 このオプションを [いいえ] に設定すると、ユーザーはアプリケーション登録を作成できません。 その場合、特定のユーザーをアプリケーション開発者ロールに追加することで、そのユーザーにこの権限を付与できます。
ユーザーが LinkedIn で職場または学校アカウントに接続できるようにする このオプションを [いいえ] に設定すると、ユーザーは、自身の LinkedIn アカウントで職場または学校のアカウントに接続できなくなります。 詳細については、「LinkedIn アカウント接続のデータ共有と同意」を参照してください。
セキュリティ グループを作成する このオプションを [いいえ] に設定すると、ユーザーはセキュリティ グループを作成できません。 少なくともユーザー管理者ロールが割り当てられているユーザーは、引き続きセキュリティ グループを作成できます。 方法については、「グループの設定を構成するための Microsoft Entra コマンドレット」を参照してください。
Microsoft 365 グループを作成する このオプションを [いいえ] に設定すると、ユーザーは Microsoft 365 グループを作成できません。 このオプションを [一部] に設定すると、ユーザーのセットは Microsoft 365 グループを作成できます。 少なくともユーザー管理者ロールが割り当てられているユーザーは、引き続き Microsoft 365 グループを作成できます。 方法については、「グループの設定を構成するための Microsoft Entra コマンドレット」を参照してください。
Microsoft Entra 管理ポータルへのアクセスを制限する このスイッチでは何が行われますか?
[いいえ] に設定すると、非管理者ユーザーが Microsoft Entra 管理ポータルを参照できます。
[はい] に設定すると、非管理者ユーザーは Microsoft Entra 管理ポータルを参照できないように制限されます。 グループまたはアプリケーションの所有者であるが管理者ではない者は、Azure portal を使用して所有しているリソースを管理することができません。

行われないことは何ですか?
PowerShell、Microsoft GraphAPI または他のクライアント (Visual Studio など) を使用した Microsoft Entra データへのアクセスは制限されません。
ユーザーにカスタム ロール (またはいずれかのロール) が割り当てられていない限り、アクセスは制限されま す。

このスイッチはいつ使用する必要がありますか?
このオプションは、ユーザーが自分の所有するリソースを誤って構成するのを防ぐために使用します。

このスイッチを使用するべきでないのはどのような場合ですか?
このスイッチをセキュリティ対策として使用することは避けてください。 代わりに、Windows Azure Service Management API を対象とする条件付きアクセス ポリシーを作成して、管理者でないユーザーが Windows Azure Service Management APIl にアクセスできないようにします。

特定の非管理者ユーザーにのみ Microsoft Entra 管理ポータルを使用する権限を付与するには、どのようにしますか?
このオプションを [はい] に設定し、グローバル リーダーなどのロールを割り当てます。

Microsoft Entra 管理ポータルへのアクセスを制限する
Windows Azure Service Management API を対象とする条件付きアクセス ポリシーでは、すべての Azure 管理へのアクセスが対象となります。

管理者以外のユーザーによるテナントの作成を制限する ユーザーは、Microsoft Entra ID および Microsoft Entra 管理ポータルの [テナントの管理] でテナントを作成できます。 テナントの作成は、監査ログに DirectoryManagement カテゴリおよび Create Company アクティビティとして記録されます。 テナントを作成するすべてのユーザーは、そのテナントのグローバル管理者になります。 新しく作成されたテナントは設定や構成を継承しません。

このスイッチでは何が行われますか?
このオプションを [はい] に設定すると、Microsoft Entra テナントの作成は、少なくともテナント作成者ロールが割り当てられているユーザーに制限されます。 このオプションを [いいえ] に設定すると、非管理者ユーザーが Microsoft Entra テナントを作成できます。 テナントの作成は引き続き監査ログに記録されます。

管理者でない特定のユーザーにのみ新しいテナントを作成する権限を付与するにはどうすればいいですか?
このオプションを [はい] に設定し、ユーザーにテナント作成者ロールを割り当てます。

ユーザーによる所有デバイスの BitLocker キーの回復を制限する この設定は、Microsoft Entra 管理センターの [デバイス設定] にあります。 このオプションを [はい] に設定すると、ユーザーは所有デバイスの BitLocker キーをセルフサービスで回復できなくなります。 ユーザーが BitLocker キーを取得するには、組織のヘルプ デスクに問い合わせる必要があります。 このオプションを [いいえ] に設定すると、ユーザーは BitLocker キーを回復できます。
他のユーザーの読み取り この設定は Microsoft Graph と PowerShell でのみ使用できます。 このフラグを $false に設定すると、管理者以外のすべてのユーザーはディレクトリからユーザー情報を読み取ることができなくなります。 このフラグを使用すると、Microsoft Teams などの他の Microsoft サービスのユーザー情報の読み取りを防ぐことができることがあります。

この設定は特殊な状況を想定しているため、フラグを $false に設定しないことをお勧めします。

[管理者以外のユーザーによるテナントの作成を制限する] オプションが次のスクリーンショットに示されています。

(管理者以外のユーザーによるテナントの作成を制限する)オプションを示すスクリーンショット。

ゲスト ユーザーの既定のアクセス許可を制限する

ゲスト ユーザーの既定のアクセス許可は、次の方法で制限できます。

[ゲスト ユーザーのアクセス制限] 設定によって、[ゲストのアクセス許可を制限する] 設定が置き換えられました。 この機能の使用に関するガイダンスについては、「Microsoft Entra ID でゲスト アクセス許可を制限する」を参照してください。

権限 設定の説明
ゲスト ユーザーのアクセス制限 このオプションを [Guest users have the same access as members](ゲスト ユーザーにメンバーと同じアクセス権を付与する) に設定すると、メンバー ユーザーのアクセス許可すべてがゲスト ユーザーに既定で付与されます。

このオプションを [Guest user access is restricted to properties and memberships of their own directory objects](ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する) に設定すると、ゲスト アクセスは既定で自分のユーザー プロファイルのみに制限されます。 ユーザー プリンシパル名、オブジェクト ID、または表示名で検索する場合でも、他のユーザーへのアクセスは許可されなくなりました。 グループ メンバーシップを含むグループ情報へのアクセスも許可されなくなりました。

この設定では、Microsoft Teams など、一部の Microsoft 365 サービスの参加しているグループへのアクセスは禁止されません。 詳細については、Microsoft Teams のゲストのアクセスに関する記事を参照してください。

このアクセス許可の設定に関係なく、ゲスト ユーザーを管理者の役割に追加できます。

ゲストは招待ができる このオプションを [はい] に設定すると、ゲストは他のゲストを招待できます。 詳細については、外部コラボレーション設定の構成に関するページを参照してください。

オブジェクトの所有権

アプリケーション登録所有者のアクセス許可

ユーザーがアプリケーションを登録すると、そのユーザーはアプリケーションの所有者として自動的に追加されます。 所有者は、名前やアプリが要求するアクセス許可など、アプリケーションのメタデータを管理できます。 また、シングル サインオン (SSO) の構成やユーザーの割り当てなど、アプリケーションのテナント固有の構成も管理できます。

所有者は、他の所有者を追加または削除することもできます。 少なくともアプリケーション管理者ロールが割り当てられているユーザーとは異なり、所有者は、自分が所有するアプリケーションのみを管理できます。

エンタープライズ アプリケーション所有者のアクセス許可

ユーザーがエンタープライズ アプリケーションを追加すると、そのユーザーは自動的に所有者として追加されます。 所有者は、SSO の構成、プロビジョニング、ユーザーの割り当てなど、アプリケーションのテナント固有の構成を管理できます。

所有者は、他の所有者を追加または削除することもできます。 少なくともアプリケーション管理者ロールが割り当てられているユーザーとは異なり、所有者は、自分が所有するアプリケーションのみを管理できます。

グループ所有者のアクセス許可

グループを作成したユーザーは、そのグループの所有者として自動的に追加されます。 所有者は、名前などのグループのプロパティおよびグループ メンバーシップを管理できます。

所有者は、他の所有者を追加または削除することもできます。 少なくともグループ管理者ロールが割り当てられている所有者とは異なり、所有者は自分が所有するグループのみを管理でき、グループのメンバーシップの種類が [割り当て済み] の場合にのみ、グループ メンバーを追加または削除できます。

グループ所有者の割り当てについては、「グループの所有者の管理」をご覧ください。

Privileged Access Management (PIM) を使用してロールの割り当てを行えるグループを作成するには、「Microsoft Entra グループを使用したロールの割り当ての管理」を参照してください。

所有者のアクセス許可

以降の表では、Microsoft Entra ID メンバー ユーザーの特定のアクセス許可には所有するオブジェクトを超えるオブジェクトが含まれることを説明します。 ユーザーは、自分が所有するオブジェクトに対してのみこれらのアクセス許可を持っています。

所有しているアプリケーションの登録

ユーザーは、所有するアプリケーションの登録で次のアクションを実行できます。

操作 説明
microsoft.directory/applications/audience/update Microsoft Entra ID の applications.audience プロパティを更新します。
microsoft.directory/applications/authentication/update Microsoft Entra ID の applications.authentication プロパティを更新します。
microsoft.directory/applications/basic/update Microsoft Entra ID でアプリケーションの基本プロパティを更新します。
microsoft.directory/applications/credentials/update Microsoft Entra ID の applications.credentials プロパティを更新します。
microsoft.directory/applications/delete Microsoft Entra ID でアプリケーションを削除します。
microsoft.directory/applications/owners/update Microsoft Entra ID の applications.owners プロパティを更新します。
microsoft.directory/applications/permissions/update Microsoft Entra ID の applications.permissions プロパティを更新します。
microsoft.directory/applications/policies/update Microsoft Entra ID の applications.policies プロパティを更新します。
microsoft.directory/applications/restore Microsoft Entra ID でアプリケーションを復元します。

所有するエンタープライズ アプリケーション

ユーザーは、所有するエンタープライズ アプリケーションで次のアクションを実行できます。 エンタープライズ アプリケーションは、サービス プリンシパル、1 つまたは複数のアプリケーション ポリシー、および場合によってはサービス プリンシパルと同じテナント内のアプリケーション オブジェクトで構成されます。

操作 説明
microsoft.directory/auditLogs/allProperties/read Microsoft Entra ID で監査ログのすべてのプロパティ (特権プロパティを含む) を読み取ります。
microsoft.directory/policies/basic/update Microsoft Entra ID でポリシーの基本プロパティを更新します。
microsoft.directory/policies/delete Microsoft Entra ID でポリシーを削除します。
microsoft.directory/policies/owners/update Microsoft Entra ID の policies.owners プロパティを更新します。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Microsoft Entra ID の servicePrincipals.appRoleAssignedTo プロパティを更新します。
microsoft.directory/servicePrincipals/appRoleAssignments/update Microsoft Entra ID の users.appRoleAssignments プロパティを更新します。
microsoft.directory/servicePrincipals/audience/update Microsoft Entra ID の servicePrincipals.audience プロパティを更新します。
microsoft.directory/servicePrincipals/authentication/update Microsoft Entra ID の servicePrincipals.authentication プロパティを更新します。
microsoft.directory/servicePrincipals/basic/update Microsoft Entra ID でサービス プリンシパルの基本プロパティを更新します。
microsoft.directory/servicePrincipals/credentials/update Microsoft Entra ID の servicePrincipals.credentials プロパティを更新します。
microsoft.directory/servicePrincipals/delete Microsoft Entra ID でサービス プリンシパルを削除します。
microsoft.directory/servicePrincipals/owners/update Microsoft Entra ID の servicePrincipals.owners プロパティを更新します。
microsoft.directory/servicePrincipals/permissions/update Microsoft Entra ID の servicePrincipals.permissions プロパティを更新します。
microsoft.directory/servicePrincipals/policies/update Microsoft Entra ID の servicePrincipals.policies プロパティを更新します。
microsoft.directory/signInReports/allProperties/read Microsoft Entra ID のサインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取ります。
microsoft.directory/servicePrincipals/synchronizationCredentials/manage アプリケーション プロビジョニングのシークレットと資格情報を管理する
microsoft.directory/servicePrincipals/synchronizationJobs/manage アプリケーション プロビジョニングの同期ジョブを開始、再開、および一時停止する
microsoft.directory/servicePrincipals/synchronizationSchema/manage アプリケーション プロビジョニングの同期ジョブとスキーマを作成、管理する
microsoft.directory/servicePrincipals/synchronization/standard/read サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る

所有するデバイス

ユーザーは、所有するデバイスで次のアクションを実行できます。

操作 説明
microsoft.directory/devices/bitLockerRecoveryKeys/read Microsoft Entra ID の devices.bitLockerRecoveryKeys プロパティを読み取ります。
microsoft.directory/devices/disable Microsoft Entra ID でデバイスを無効にします。

所有するグループ

ユーザーは、所有するグループで次のアクションを実行できます。

動的グループの所有者は、動的メンバーシップ ルールを編集するために、グループ管理者、Intune 管理者、またはユーザー管理者ロールを持っている必要があります。 詳細については、「Microsoft Entra ID で動的メンバーシップグループを作成または更新する」を参照してください。

操作 説明
microsoft.directory/groups/appRoleAssignments/update Microsoft Entra ID の groups.appRoleAssignments プロパティを更新します。
microsoft.directory/groups/basic/update Microsoft Entra ID でグループの基本プロパティを更新します。
microsoft.directory/groups/delete Microsoft Entra ID でグループを削除します。
microsoft.directory/groups/members/update Microsoft Entra ID の groups.members プロパティを更新します。
microsoft.directory/groups/owners/update Microsoft Entra ID の groups.owners プロパティを更新します。
microsoft.directory/groups/restore Microsoft Entra ID でグループを復元します。
microsoft.directory/groups/settings/update Microsoft Entra ID の groups.settings プロパティを更新します。

次のステップ