Microsoft 365の管理センターでグローバル管理者やユーザー管理者などの特権ロールを割り当てられているにもかかわらず、特定のユーザーアカウントを変更できないケースがあります。この問題は、ロールのスコープが制限されていたり、管理単位(管理ユニット)が設定されていたりするために発生します。本記事では、権限範囲を確認する手順を具体的に解説し、原因の切り分け方法を紹介します。
【要点】この記事で確認すること
- 最初に見る場所: Azure Active Directory管理センターの「ロールと管理者」で自分の割り当てロールとスコープを確認します。
- 切り分けの軸: 端末側の設定ではなく、アカウント側のロール割り当てと管理単位、管理設定側(カスタムロールや条件付きアクセス)の3軸で確認します。
- 注意点: 会社PCで勝手にロールの割り当てを変更しないでください。テナント全体のセキュリティに影響するため、必ず管理者の承認を得てから操作してください。
ADVERTISEMENT
特権ロール管理者でもユーザーを変更できない原因
Microsoft 365の管理ロールには、スコープ(範囲)の概念があります。ロールを割り当てる際に、テナント全体ではなく特定の管理単位(管理ユニット)のみに権限を付与することが可能です。また、カスタムロールを使用している場合は、許可する操作が細かく制限されています。以下の原因が考えられます。
- 管理単位によるスコープ制限: ユーザー管理者ロールが特定の管理単位にのみ割り当てられている場合、その管理単位に含まれないユーザーは変更できません。
- カスタムロールの権限不足: カスタムロールでは「microsoft.directory/users/update」などの特定のアクションが許可されていない可能性があります。
- 組み込みロールでも制限がある: 例えば「ヘルプデスク管理者」はパスワードリセットのみ許可され、プロフィール変更は不可です。
- 自分自身の変更に関する制限: グローバル管理者であっても、既定で自分自身のプロフィールやパスワードを変更できないケースがあります(セキュリティポリシーによる)。
- 属性レベルのアクセス許可: ロールによっては特定の属性(例:電話番号、役職)のみ変更可能で、他の属性は変更不可の場合があります。
権限範囲を確認するための手順
以下の手順で、自分に割り当てられているロールの詳細なスコープと権限を確認します。操作は必ず管理ユーザーでAzure AD管理センターにサインインしてください。
- Azure Active Directory管理センター(https://aad.portal.azure.com)に移動し、左メニューから「ロールと管理者」を選択します。
- 「ロールと管理者」画面で、画面上部の検索バーに自分のユーザー名を入力し、「自分のロールを表示」をクリックします。割り当てられているロールの一覧が表示されます。
- 各ロールの行をクリックして詳細を開きます。ここで「割り当て」タブを選択すると、そのロールが割り当てられているユーザー一覧が表示されます。自分の行に「スコープ」列がある場合、そのロールが「ディレクトリ全体」か「管理単位」かを確認します。
- もし「管理単位」と表示されている場合は、その管理単位をクリックして、どのようなユーザーが含まれているか確認します。変更したいユーザーがその管理単位に含まれていない場合、権限不足が原因です。
- カスタムロールを割り当てられている場合は、ロールの詳細画面で「アクセス許可」タブを開きます。例えば「ユーザーの更新」が許可されているかどうかを確認します。アクション名は「microsoft.directory/users/update」です。
- 必要に応じて、別の管理者アカウントで同様の確認を行い、ロールの割り当てが適切かどうかを比較します。
状況別の権限比較表
代表的な管理者ロールと、ユーザーに対する変更可能な操作を下表にまとめました。自分のロールがどの操作を許可しているか確認してください。
| ロール | プロフィール編集 | パスワードリセット | ライセンス割り当て | グループメンバーシップ変更 |
|---|---|---|---|---|
| グローバル管理者 | ○ | ○ | ○ | ○ |
| ユーザー管理者 | ○ | ○ | ○ | ○ |
| ヘルプデスク管理者 | × | ○ | × | × |
| パスワード管理者 | × | ○ | × | × |
| カスタムロール(例:ユーザー更新のみ) | ○(限定的) | ×(権限に依存) | × | × |
失敗パターンと対処法
パターン1:グローバル管理者なのにユーザーを変更できない
グローバル管理者は通常すべての操作が可能ですが、管理単位によってスコープが制限されている場合があります。また、自分自身のアカウントを変更しようとしている場合は、セキュリティポリシーでブロックされている可能性があります。対処法として、まずは管理単位のスコープを確認し、必要なら別のグローバル管理者に管理単位の再割り当てを依頼してください。
パターン2:ユーザー管理者ロールが割り当てられているが、特定のユーザーだけ変更できない
この場合、そのユーザーが管理単位の対象外であることが多いです。ユーザーの「プロパティ」で「管理単位」を確認し、適切な管理単位に追加するよう管理者に依頼してください。また、カスタムロールを使用している場合は、そのユーザーに対して「書き込み」権限が不足していないか確認します。
パターン3:エラーメッセージ「十分なアクセス許可がありません」が表示される
このエラーは、ロールに必要なアクションが許可されていない場合に発生します。Azure AD管理センターの「ロールと管理者」で自分のロールのアクセス許可を確認し、不足しているアクションがあれば、そのアクションを含むカスタムロールの割り当てを依頼してください。
管理者へ確認する情報
問題が解決しない場合は、テナント全体の管理者に以下の情報を伝えて調査を依頼してください。
- 自分に割り当てられているロール名とスコープ(ディレクトリ全体か管理単位か)
- 変更しようとしたユーザーのUPN(ユーザープリンシパル名)
- 実行した操作(例:パスワードリセット、プロフィール編集)
- 表示されたエラーメッセージの全文
- 操作した管理センターのURLと日時
よくある質問
Q1. グローバル管理者なのに自分のパスワードを変更できません。なぜですか?
セキュリティ上の理由から、多くの組織ではグローバル管理者のセルフサービスパスワードリセットを無効化しています。その場合は、別のグローバル管理者に依頼するか、組織のパスワードポリシーに従ってください。
Q2. 管理単位が設定されている場合、どのようにユーザーを追加すればよいですか?
管理単位にユーザーを追加するには、その管理単位に対する書き込み権限を持つ管理者(通常はグローバル管理者またはユーザー管理者)が行います。Azure AD管理センターの「管理単位」から該当の管理単位を選択し、「メンバー」でユーザーを追加します。
Q3. カスタムロールのアクセス許可を自分で変更できますか?
カスタムロールの作成や変更は、グローバル管理者または特権ロール管理者の権限が必要です。自分自身で変更できない場合は、それらのロールを持つ管理者に依頼してください。
まとめ
特権ロール管理者であっても、管理単位やカスタムロールのスコープによってユーザーを変更できないことがあります。まずは「ロールと管理者」で自分のロールの詳細を確認し、スコープとアクセス許可を把握することが重要です。変更できないユーザーが管理単位の範囲外であれば、その管理単位への追加を依頼するか、テナント全体スコープのロールを割り当ててもらう必要があります。カスタムロールの場合は、不足しているアクションを特定し、権限の追加を依頼してください。問題が複雑な場合は、テナント全体の管理者に情報を共有して解決を図りましょう。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順