WWL テナント - 使用条件

講師が指導するトレーニング配信の一環としてテナントを提供されている場合は、講師が指導するトレーニングでハンズオンラボをサポートする目的でテナントを利用できることに注意してください。 テナントを共有したり、ハンズオンラボ以外の目的で使用したりしないでください。 このコースで使われるテナントは試用版テナントであり、クラスが終了し、拡張機能の対象となっていない場合は、使用したりアクセスしたりすることはできません。 テナントを有料サブスクリプションに変換することはできません。 このコースの一環として取得したテナントは Microsoft Corporation の財産のままであり、当社はいつでもアクセス権とリポジトリを取得する権利を留保します。 

ラボ 01: ユーザー ロールを管理する

ラボのシナリオ

あなたの会社では最近、アプリケーション管理者として業務を遂行する新しい従業員を採用しました。 新しいユーザーを作成し、セキュリティ ロールを割り当てる必要があります。

予想所要時間: 30 分

演習 1 - 新しいユーザーを作成し、アプリケーションの管理者権限をテストする

タスク 1 - 新しいユーザーを追加する

  1. グローバル管理者として、 https://entra.microsoft.com  にサインインします

  2. 左側のメニューで [ID] を選択します。

  3. 左側のナビゲーション メニューで、[ユーザー] の下にある [すべてのユーザー] を選択し、次に [+ 新しいユーザー] と [新しいユーザーの作成] を選択します。

  4. [ユーザーの作成] ボタンをマークします。 その後、次の情報を使用してユーザーを作成します。

    設定 Value
    ユーザー プリンシパル名 ChrisG
    表示名 Chris Green

  5. [パスワードの自動生成] オプションをマークします。

  6. 生成されたパスワードを、次のタスクで思い出せる場所にコピーします。

    このアカウントに最初にログインするときにパスワードを変更する必要があります

  7. [確認および作成] を選択します。 次に、レビュー画面で、[作成] を選択します。 これでユーザーが作成され、組織に登録されました。

タスク 2 - ログインしてアプリを作成する

  1. 新しい InPrivate ブラウザー ウィンドウを開きます。

  2. Chris Green として Microsoft Entra 管理センター https://entra.microsoft.com を開きます。

    設定 Value
    ユーザー名 ChrisG@your domain name.com
    パスワード 前のタスクで自動生成されたパスワードを入力します。

  3. パスワードを更新します。

    設定 Value
    現在のパスワード 自動生成されたパスワードを使用します
    新しいパスワード 一意のセキュリティで保護されたパスワードを入力します
    パスワードの確認 一意のセキュリティで保護されたパスワードを再入力します

  4. ツアー ダイアログ が表示された場合は、[後で] ボタンを選択します。

  5. 画面の上部にある検索ダイアログで、エンタープライズ アプリケーションを検索して選択します。

  6. [新しいアプリケーション] を選択します。 [+ 独自のアプリケーションの作成] は使用できないことに注意してください。

  7. [アプリケーション プロキシ][ユーザー設定] などの他の設定をクリックして、Chris Green に権限がないことを確認してください。
  8. 右上隅にある ChrisG の名前をクリックして、サインアウトします。

演習 2 - アプリケーション管理者のロールを割り当て、アプリを作成する

タスク1 - ユーザーにロールを割り当てる

Microsoft Entra ID を使用すると、特権の低いロールで ID タスクを管理するための制限付き管理者を指定できます。 ユーザーの追加または変更、管理ロールの割り当て、ユーザーのパスワードのリセット、ユーザーのライセンスの管理、ドメイン名の管理などの目的で管理者を割り当てることができます。

  1. グローバル管理者ロールとしてまだログインしていない場合は、Microsoft Entra 管理センターを開いてログインします。
  2. [ID] に移動し、[ユーザー] ページを選択します。
  3. メニューの [管理] セクションで [すべてのユーザー] をクリックします。
  4. Chris Green のアカウントを選択します。
  5. [管理] メニューから [割り当てられたロール] を選択します。
  6. [+ 割り当ての追加] を選択し、Application administrator ロールをマークします。

  7. [追加] を選択します。

    [割り当てられたロール] ページ - 選択されたロールを表示中

- ラボ環境で既に Microsoft Entra ID Premium P2 がアクティブ化されている場合は、Privileged Identity Management (PIM) が有効になるため、[次へ] を選択し、このユーザーに永続的なロールを割り当てる必要があります。

  1. [更新] ボタンを選択します。

注 - 新しく割り当てられたアプリケーション管理者ロールが、ユーザーの [割り当てられたロール] ページに表示されます。

タスク 2 - アプリケーションのアクセス許可を確認する

  1. 新しい InPrivate ブラウザー ウィンドウを開きます。

  2. Chris Green として Microsoft Entra 管理センター https://entra.microsoftcom を開きます。

    設定 Value
    ユーザー名 ChrisG@your domain name.com
    パスワード 先ほど作成した一意のセキュリティで保護されたパスワードを入力します
  3. [Microsoft Azure ツアーへようこそ] ダイアログが表示された場合は、 [後で] ボタンをクリックします。
  4. 画面の上部にある検索ダイアログで、エンタープライズ アプリケーションを検索して選択します。
  5. [+ 新しいアプリケーション] が利用可能になったことに注意してください。
  6. [+ 新しいアプリケーション] を選択します。

  7. [+ 独自のアプリケーションの作成] が淡色表示されていないことを確認します。ギャラリー アプリを選択すると、[作成] ボタンが表示されます。

    注 - このロールには、テナントにアプリケーションを追加する権限があります。この権限については、後のラボでさらに実験します。

  8. ポータルの Chris Green のインスタンスからサインアウトし、ブラウザーを閉じます。

演習3 - ロールの割り当てを削除する

タスク 1 - Chris Green からアプリケーション管理者を削除する

このタスクでは、別の方法、つまり Microsoft Entra ID の [ロールと管理者] オプションを使用して、割り当てられたロールを削除します。

  1. グローバル管理者としてまだログインしていない場合は、Microsoft Entra 管理センターを起動して今すぐログインしてください。
  2. 検索ボックスに「ロールと管理」と入力し、Microsoft Entra ID のロールと管理を起動します。
  3. ロールと管理者] の</bpt>”> [ すべてのロール] で、一覧からアプリケーション管理者**ロールを選択します。
  4. **[アプリケーション管理者 割り当て]** ページの一覧に Chris Green の名前が表示されます。
  5. Chris Green の横にあるボックスにチェックを入れます。
  6. ダイアログの上部にあるオプションから [X 割り当ての削除] をクリックします。
  7. 確認ボックスが開いたら、[はい] と答えます。
  8. 画面を閉じます。

演習 4 - ユーザーの一括インポート

タスク 1 - .csv ファイルを使用してユーザーを作成するための一括操作

  1. Microsoft Entra ID メニューで、まず [ID] を開き、[ユーザー] を選択してから、[すべてのユーザー] を選択します。

  2. **[ユーザー すべてのユーザー]** タイルで、 [一括操作] ドロップダウン矢印を選択し、 [一括作成] を選択します。

  3. [一括作成] を選択すると、新しいタイルが開きます。 このタイルには、ユーザー情報を入力し、アップロードしてユーザーの一括作成を追加するために編集するテンプレート ファイルへの [ダウンロード] リンクが表示されます。

  4. [ダウンロード] を選択して、.csv ファイルをダウンロードします。

  5. .csv テンプレートには、ユーザー プロファイルに含まれるフィールドが用意されています。 これには、必要なユーザー名、表示名、初期パスワードが含まれます。 現時点では、部門や使用状況の場所などの省略可能なフィールドを入力することもできます。 次のスクリーンショットは、.csv ファイルを完了する方法の例です。

    csv ファイル エントリを使用した一括インポート

    このファイルを変更して、ユーザーを一括操作で追加できます。 すべてのフィールドに入力する必要はありません。 サンプル データに指定されている内容のとおり、主に名前とユーザー名の情報を追加する必要があります。

  6. Allfiles/Lab1 フォルダーには、サンプルのコンマ区切りファイル (SC300BulkUser.csv) が用意されています。
    1. メモ帳を開きます。
      • ラボ環境内で、[スタート] ボタンを選択し、「メモ帳」と入力します。
    2. SC300BulkUser.csv ファイルを開きます
    3. [ドメイン名を入力する] を Azure ラボ環境のドメインに変更します。
    4. ファイルを保存します。

  7. [ユーザーの一括作成] ダイアログの手順 3 で [ファイル フォルダー] アイコンを選択します。

  8. Allfiles/Lab1 フォルダーへのパスを指定し、SC300BulkUser.csv ファイルを選択します。

  9. [Open (開く)] を選択します。

  10. ファイルが正常にアップロードされたことが通知されます。[送信] を選択してユーザーを追加します。
ユーザーが作成されると、作成が成功したことを確認するメッセージが表示されます。 [ユーザーの一括作成] タイルを閉じると、 **[ユーザー すべてのユーザー]** の一覧に新しいユーザーが設定されます。

タスク 2 - PowerShell を使用したユーザーの一括追加

  1. PowerShell を管理者として開きます。これを行うには、Windows で PowerShell を検索し、[管理者として実行] を選択します。

- このラボを機能させるためには、PowerShell バージョン 7.2 以降が必要です。 PowerShell を開くと、画面の上部にバージョンが表示されます。古いバージョンを実行している場合は、画面の指示に従って https://aka.ms/PowerShell-Release?tag=7.3.9 に移動してください。 [アセット] セクションまで下にスクロールし、powershell-7.3.1-win-x64.msi を選択します。 ダウンロードが完了したら、[ファイルを開く] を選択します。 すべての既定値を使用してインストールします。

  1. 以前に使用したことがない場合は、Microsoft.Graph PowerShell モジュールをインストールする必要があります。 次の 2 つのコマンドを実行し、確認を求められたら Y キーを押します。

     Install-Module Microsoft.Graph

  2. Microsoft.Graph モジュールがインストールされていることを確認します。

     Get-InstalledModule Microsoft.Graph

  3. 次に、次を実行して Azure にログインする必要があります。

     Connect-MgGraph -Scopes "User.ReadWrite.All"

    Edge ブラウザーが開き、サインインするように求められます。 MOD 管理者アカウントを使用して接続します。 アクセス許可要求に同意して、ブラウザー ウィンドウを閉じます。

  4. 接続されていることを確認し、既存のユーザーを表示するには、次を実行します。

     Get-MgUser

  5. すべての新規ユーザーに共通の一時パスワードを割り当てるには、次のコマンドを実行し、 をユーザーに提供するパスワードに置き換えます。

     $PWProfile = @{
     Password = "<Enter a complex password you will>";
     ForceChangePasswordNextSignIn = $false
 }

  6. これで、新しいユーザーの作成に取りかかることができます。 次のコマンドにユーザー情報が入力され、実行されます。 追加するユーザーが複数ある場合は、メモ帳の txt ファイルを使用してユーザー情報を追加し、PowerShell にコピーして貼り付けることができます。

     New-MgUser `
     -DisplayName "New PW User" `
     -GivenName "New" -Surname "User" `
     -MailNickname "newuser" `
     -UsageLocation "US" `
     -UserPrincipalName "newuser@<labtenantname.com>" `
     -PasswordProfile $PWProfile -AccountEnabled `
     -Department "Research" -JobTitle "Trainer"

    : labtenantname.com は、ラボ テナントによって割り当てられた onmicrosoft.com 名に置き換えます。

ユーザーの管理を試す

Microsoft Entra ID ページを使用してユーザーを追加および削除できます。 ただし、スクリプトを使用してユーザーを作成し、ロールを割り当てることができます。 スクリプトを使用して、Chris Green のユーザー アカウントに別のロールを与えてみます。

演習 5 - Microsoft Entra ID からユーザーを削除する

タスク 1 - ユーザーを削除する

アカウントを削除した後、復元する必要がある場合があります。 最近削除されたアカウントを復元できるかどうかを確認する必要があります。

  1. https://entra.micrososft.com にアクセスします。

  2. 左側のナビゲーション内の [ID] の下にある [ユーザー] を選択します。

  3. [すべてのユーザー] リストで、削除するユーザーのチェック ボックスをオンにします。 たとえば、Chris Green を選択します。

    ヒント - リストからユーザーを選択すると、複数のユーザーを同時に管理できます。 ユーザーを選択し、そのユーザーのページを開いている場合は、その個別のユーザーのみを管理します。

    1 つのユーザー チェック ボックスがオンになり、リストから複数のユーザーを選択する機能を示す別のチェック ボックスが強調表示された、[すべてのユーザー] ユーザー リストを表示した画面イメージ。

  4. ユーザー アカウントを選択した状態で、メニューの [削除] を選択します。

  5. ダイアログ ボックスの情報を確認し、 [はい] を選択します。

タスク 2 - 削除済みユーザーを復元する

  1. [ユーザー] ページで、左側のナビゲーションから [すべてのユーザー] を選択し、[削除済みのユーザー] を選択します。

  2. 削除されたユーザーの一覧を確認し、 [Chris Green] を選択します。

    重要 - 既定では、削除されたユーザー アカウントは 30 日後に自動的に Azure Active Directory から完全に削除されます。

  3. メニューで [ユーザーの 復元] を選択します。

  4. ダイアログ ボックスを確認してから、[OK] を選択します。

  5. 左側のナビゲーションで、[すべてのユーザー] を選択します。

  6. ユーザーが復元されたことを確認します。

演習 6 - Windows 10 ライセンスをユーザー アカウントに追加する

タスク1 - Azure Active Directory でライセンスのないユーザーを検索する

組織内の一部のユーザー アカウントには、割り当てられたライセンスで利用可能なすべての製品が提供されない場合や、ライセンス割り当ての更新または追加が必要な場合があります。 Microsoft Entra ID でユーザー アカウントのライセンス割り当てを更新できるようにする必要があります。

  1. https://entra.microsoft.com にアクセスします。

  2. 左側のナビゲーションで、[ID] の下にある [ユーザー] を選択し、[すべてのユーザー] を選択します。

  3. [ユーザー] ページで、検索ボックスに「Raul」と入力します。

  4. [Raul Razo] をクリックします。

  5. Raul のプロファイルを確認し、Usage Location が設定されていることを確認します。

    警告 - ユーザーにライセンスを割り当てるには、ユーザーに使用場所が割り当てられている必要があります。

  6. 左側のメニューの [ライセンス] メニュー項目を選択します。

  7. Raul に “ライセンスの割り当てが見つかりません” と表示されていることを確認します。

  8. 左側のナビゲーションの [すべてのユーザー] に戻り、[ID] で [ユーザー] を選択します。

  9. [ユーザー] ページで、 [Raul Razo] を選択します。

  10. 左側のナビゲーションで、[ライセンス] を選択します。

  11. [+ 割り当て] ボタンを選択します。

  12. [ライセンス割り当ての更新] ページで、Windows 10/11 Enterprise E3 ライセンスのチェック ボックスをオンにします。

    [ライセンス割り当ての更新] ページとライセンス オプションが強調表示されている画面イメージ

  13. 完了したら、[保存] を選択します。

  14. 画面の上部にある [ホーム] を選択し、 [Contoso] を選択し、 [ユーザー] を選択し、 [Raul Razo] を選択します。

  15. ライセンスが割り当てられていることに注目してください。