【Microsoft 365】管理単位で一部ユーザーだけ管理できない時のスコープ確認

Microsoft 365の管理単位(Administrative Unit)を利用すると、特定のユーザーグループに対してのみ管理権限を委任できます。しかし、設定したにもかかわらず一部のユーザーが管理画面に表示されず、権限が正しく機能しないケースがあります。本記事では、その原因の多くがスコープ設定にあることに着目し、確認手順と解決策を詳しく解説します。

管理単位の基本とスコープの役割

管理単位は、Azure AD内でユーザーやグループのサブセットを定義し、その範囲に対してのみ管理権限を委任できる機能です。例えば、特定の部署のユーザーだけを管理できるようにする場合に使用します。スコープとは、管理単位が管理する対象範囲を指し、管理単位自体にメンバー(ユーザーやグループ)が含まれます。委任された管理者は、自身が割り当てられた管理単位内のメンバーに対してのみ、許可された操作を実行できます。このスコープが適切に設定されていないと、一部ユーザーが管理対象外になってしまいます。

管理単位のスコープが管理可能範囲を決める

管理単位には、直接メンバーとして追加されたユーザーやグループ、またグループの入れ子構造により間接的に含まれるユーザーがスコープに含まれます。委任管理者は、このスコープ内のユーザーに対してのみパスワードリセットやグループ管理などの操作が可能です。スコープ外のユーザーは管理画面に表示されず、操作もできません。

一部ユーザーだけ管理できない主な原因

管理単位で一部ユーザーだけ管理できない原因は、以下の3つに大別されます。

• ユーザーが管理単位のメンバーに含まれていない:管理単位のスコープにそのユーザーが追加されていないか、属しているグループがスコープに含まれていない。
• 委任された管理者に適切な役割が割り当てられていない:管理単位内で操作するために必要なAzure ADロール(例:ユーザー管理者)が割り当てられていない。
• 管理単位の設定が正しく反映されていない:変更後の反映に時間がかかっている、またはキャッシュの問題。

特にスコープに関連する1つ目の原因が多いため、まずは管理単位のメンバー構成を確認しましょう。

スコープ確認の具体的な手順

以下の手順で、管理単位のスコープを確認し、問題を切り分けてください。

1. Azure AD管理センター(https://entra.microsoft.com)に管理者アカウントでサインインします。
2. 左メニューから「管理単位」を選択し、対象の管理単位をクリックします。
3. 「メンバー」タブを開き、管理したいユーザーが直接メンバーとして追加されているか、またはグループ経由で含まれているかを確認します。グループ経由の場合は、グループのメンバー一覧も確認してください。
4. 「割り当てられた管理者」タブを開き、委任された管理者が正しく割り当てられているか、またその管理者に管理単位内の操作に必要なロールが付与されているかを確認します(例:「ユーザー管理者」ロール)。
5. もしユーザーがグループのメンバーである場合、そのグループが管理単位のメンバーとして追加されているかを確認します。グループの追加は「メンバー」タブの「メンバーの追加」から可能です。
6. 設定変更から30分程度経過しても反映されない場合、Azure ADの同期状態を確認するか、サポートに問い合わせてください。

上記の手順で、問題の原因がスコープ設定にあるかどうかを特定できます。

状況別比較表:スコープ設定のチェックポイント

状態	管理単位のメンバー	委任管理者のロール	管理可能か
ユーザーが直接追加されている	含まれる	適切	可
ユーザーがグループ経由で含まれる	グループが含まれる	適切	可
ユーザーがグループに所属しているがグループが管理単位に未追加	含まれない	適切	不可
ユーザー自体がメンバーでない	含まれない	適切	不可
委任管理者にロールがない	含まれる	不適切	不可

この表を参考にして、現在の状態を確認してください。

スコープ設定の失敗パターンと対策

実際によくある失敗パターンをいくつか紹介します。

• グループをメンバーに追加したが、グループ内のユーザーが管理できない:グループが入れ子になっている場合、グループのメンバーが別のグループであると、そのメンバーグループに所属するユーザーは管理単位のスコープに含まれません。管理単位は直接のメンバーグループに所属するユーザーのみをスコープに含むため、必要なユーザーが直接所属するグループを追加するか、ユーザーを直接追加する必要があります。
• 委任管理者に全体管理者のような広いロールを割り当ててしまった:全体管理者ロールはすべてのユーザーを管理できるため、管理単位のスコープ制限が無視されます。意図せず権限が広がらないよう、管理単位専用のロール(ユーザー管理者など)を委任しましょう。
• 管理単位を削除した後に再度作成したが、古いスコープが残っている:管理単位を削除しても、その管理単位に割り当てられていたロール割り当ては完全に削除されない場合があります。再度作成する前に、関連するロール割り当てをクリーンアップしてください。

これらのパターンに該当しないか、順に確認してください。

管理者に確認すべき情報

問題が解決しない場合、上位の管理者(グローバル管理者など)に以下の情報を伝えるとスムーズです。

• 管理単位の名前と、管理できないユーザーのユーザー名またはオブジェクトID
• そのユーザーがどのグループに所属しているか、またそのグループが管理単位のメンバーかどうか
• 委任された管理者のアカウントと、割り当てられているロールの一覧
• 最後に管理単位の設定を変更した日時

以上の情報を用意することで、原因究明が迅速に進みます。

よくある質問

Q1. 管理単位にユーザーを追加したのに、委任管理者がそのユーザーを管理できません。

委任管理者に適切なロールが割り当てられているか確認してください。ユーザーをリセットするには「ユーザー管理者」ロールなどが必要です。また、設定反映まで最大30分程度かかることがあります。

Q2. グループを管理単位のメンバーに追加しましたが、そのグループのユーザーが管理できません。グループの入れ子が原因ですか?

はい、管理単位は直接メンバーのグループに所属するユーザーのみをスコープに含みます。グループの入れ子(グループの中にグループ)がある場合、内側のグループのユーザーはスコープに含まれません。必要なユーザーが直接所属するグループを追加するか、ユーザーを直接追加してください。

Q3. 管理単位のスコープを変更したのに、委任管理者の画面に反映されません。

Azure ADの変更は完全に反映されるまで時間がかかることがあります。最大30分ほど待ってから再確認してください。それでも反映されない場合、ブラウザのキャッシュをクリアして再度サインインしてみてください。

Q4. 複数の管理単位に同じユーザーが所属している場合、どの管理単位の権限が有効になりますか?

ユーザーが複数の管理単位のメンバーである場合、そのユーザーに対しては、委任されたすべての管理単位の権限が結合されます。つまり、いずれかの管理単位で許可された操作は、他の管理単位でも実行可能になります。スコープは管理単位ごとに独立していますが、権限は和集合として作用します。

まとめ

管理単位で一部ユーザーだけ管理できない場合、まずはスコープ設定を確認することが有効です。管理単位のメンバーに該当ユーザーが含まれているか、委任管理者に適切なロールが割り当てられているかを順に確認しましょう。グループ経由のメンバーシップには入れ子に注意が必要です。

また、変更が反映されるまでのタイムラグを考慮し、焦らず確認を進めてください。問題が解決しない場合は、上記の手順で得た情報を上位管理者に共有することで、迅速な対応が期待できます。

管理単位を正しく設定することで、委任管理のメリットを最大限に活用できます。本記事の手順を参考に、スコープの問題を解決してください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。