Microsoft 365を導入している企業では、ユーザーやグループの数が増えると管理が複雑になります。特に大企業や教育機関では、「部署ごと」「拠点ごと」「学年ごと」に管理者を分けたいというニーズが出てきます。
しかし、従来のMicrosoft 365ではグローバル管理者が全ユーザーを管理するしかなく、現場のIT担当者が必要な権限を持てない、または権限が広すぎるという問題がありました。
この課題を解決するのが、Entra ID(旧Azure AD)の「管理単位(Administrative Units)」です。
管理単位とは?
管理単位は、Microsoft Entra ID上で組織を論理的に分割するための仕組みです。
Active DirectoryのOU(組織単位)に似ていますが、クラウド専用の機能で、物理的なネットワーク構造に縛られず柔軟に設定できます。
例えば、
- 営業部
- 総務部
- 東京オフィス
- 関西オフィス
といった単位で管理対象を分け、それぞれの範囲にだけ管理者権限やポリシーを適用することが可能です。
管理単位でできること
管理単位を活用すると、次のようなことが可能になります。
ユーザーやグループを管理単位ごとに分類
部署や拠点、学年など、任意の条件でユーザーをグループ分けできます。
管理者権限を範囲限定で委任
現場担当者に必要な権限だけを渡し、他部署のユーザーにはアクセスできないように制御できます。
例)大阪拠点の担当者が大阪拠点ユーザーのみ管理可能。
ポリシーを管理単位ごとに適用
条件付きアクセス、MFA、セルフサービスパスワードリセットなどを、部門や地域ごとに異なる設定にできます。
ライセンスの割り当ても制御
特定の管理単位にだけMicrosoft 365 E5ライセンスを割り当てる、といった運用も可能です。
自動ユーザー割り当て
ユーザー属性(department, usageLocationなど)を使って、自動的に管理単位に追加するルールが作れます。
管理単位の具体例
教育機関
- 学年ごとに管理単位を作成
- 担任教師に該当学年の学生管理を委任
- 学年ごとにポリシーを変える(例:高校3年生のみ外部共有許可)
多拠点企業
- 東京・大阪・福岡など拠点別に管理単位を作成
- ローカル管理者がそれぞれの拠点だけ管理
- 拠点ごとに条件付きアクセスをカスタマイズ(IP制限など)
セキュリティ強化
- 情報システム部は厳しいポリシー、営業部はBYOD許可など柔軟に設定
- 全社一律ではなく、必要な場所に必要なルールだけを適用
管理単位を使うメリット
- 管理負荷の分散:現場担当者に権限を委譲できる
- セキュリティリスク低減:権限を最小限に絞り込み可能
- 柔軟な運用:部署や拠点に合わせたポリシーを簡単に設定
- 監査性向上:誰がどの範囲を管理しているか明確にできる
注意点・制限事項
- 管理単位は論理的なグループ分けで、Active DirectoryのOUとは別物です
- 全ユーザーを横断したレポートは見えなくなる場合がある
- 一部機能はAzure AD Premium P1/P2ライセンスが必要です
- 設計をしっかり行わないと管理単位が増えすぎて複雑化する恐れがある
管理単位に自動割り当てルールを設定する手順
自動割り当てルールは、Entra 管理センターから簡単に設定できます。以下の手順で進めましょう。
1.Entra 管理センターにサインイン
Entra 管理センターにアクセスし、管理者アカウントでサインインします。
2.「管理単位」を開く
左側メニューから「ID」 > 「管理単位」 を選択します。
3.管理単位を新規作成または選択
既存の管理単位をクリックするか、「+ 新しい管理単位」を選んで作成します。
4.メンバーシップの種類を選択
「メンバーシップ」セクションを開き、「メンバーシップの種類」で 動的メンバーシップ を選択します。
5.動的メンバーシップルールを作成
「動的メンバーシップルールの編集」をクリックし、以下のようなルールを入力
例:部署が「Sales」のユーザーを追加
例:日本拠点かつ営業部
入力後、「ルールの検証」を実行すると、どのユーザーが対象になるか確認できます。
6.保存して有効化
「保存」を押してルールを有効化することで、条件に一致するユーザーが自動的に管理単位へ追加されます。
