かつて山市良と呼ばれたおじさんのブログ

セイテクエンジニアのブログ  かつて山市良と呼ばれたおじさんのブログ  メモ. 外部ユーザーを招待して、EntraとIntuneの管理を委任する

 

 

メモ. 外部ユーザーを招待して、EntraとIntuneの管理を委任する

2025年04月15日配信
2025年04月23日更新
執筆者:山内 和朗

 IntuneやEntraのテナントの外部のユーザーに、IntuneやEntraの管理権限を与える方法を紹介します。

 

会社のEntra IDで評価用Intuneを管理したい

 

 3月からスタートした「はじめてのIntune」シリーズ(vol.89~)では、会社で使用しているMicrosoft 365およびEntraテナント(say-tech.co.jp)とは別に、Intune評価用にEntraおよびIntuneテナント(<サブドメイン名>.onmicrosoft.com)(およびオンプレミスのActive Directoryとのディレクトリ同期用にDNSドメイン名)を取得しました。Windowsやブラウザーで使用しているアカウントは会社のEntra IDアカウントであるため、サインイン/サインアウトを繰り返さなくてよいように、評価用のテナントの管理にはInPrivateセッションを使用し、評価用テナントのグローバル管理者のユーザー(tenantadmin@<サブドメイン名>.onmicrosoft.com)でMicrosoft Intune管理センターやMicrosoft Entra管理センターにサインインして管理をしています。しかし、通常のセッションとInPrivateセッションの使い分けも面倒なので、会社のEntra IDアカウントで、評価用のテナントの管理ができるようにしてみました。

 

外部ユーザーとして招待する

 

 まず、Microsoft Intune管理センターまたはMicrosoft Entra管理センターに管理者(グローバル管理者であるtenantadmin@<サブドメイン名>.onmicrosoft.com)としてサインインし、「ユーザー|すべてのユーザー」を開き、「+新しいユーザー > 外部ユーザーの招待」を選択します(画面1)。

 

画面1 「外部ユーザーの招待」を選択する

画面1 「外部ユーザーの招待」を選択する

 

 「外部ユーザーの招待」のページが開くので、「基本」タブでメールアドレスとして会社のEntra IDのメールアドレスを入力し、「次へ: プロパティ >」ボタンをクリックします(画面2)。

 

画面2 会社のEntra IDのメールアドレスを入力する
画面2 会社のEntra IDのメールアドレスを入力する

 「プロパティ」タブでは名、姓、会社名、部署などの情報を入力し、「割り当て」タブに進みます。「割り当て」タブでは、「Intune管理者」(Intune管理用)と「グローバル管理者」(Entraテナントの管理用)を追加し(画面3)、「確認と招待」タブで「招待」ボタンをクリックします。

 

画面3 Intuneの管理のために「Intune管理者」ロールを、Entraの管理のために「グローバル管理者」ロールを割り当てる。Intuneの管理を委任するだけなら、「Intune管理者」ロールだけでよい
画面3 Intuneの管理のために「Intune管理者」ロールを、Entraの管理のために「グローバル管理者」ロールを割り当てる。Intuneの管理を委任するだけなら、「Intune管理者」ロールだけでよい

 

会社のEntra IDで招待を受け、管理ポータルに接続する

 

 外部ユーザーを招待すると、対象のユーザーにメールで招待が送信されるので、リンクをクリックして、招待を受諾します(画面4)。すると、招待元のテナントからのアクセス許可が要求されるので「承諾」します。これでMicrosoft Intune管理センターやMicrosoft Entra管理センターに、会社のEntra IDでサインインして管理できるようになります(画面5)。管理ポータルに接続後にアクセス許可の問題(“未承認”や“アクセス制限”など)が発生する場合は、会社のテナントに接続している可能性があります。その場合は、「ディレクトリの切り替え」からテナントを切り替えてください。

 

画面4 招待を受諾して、アクセス許可を承諾する
画面4 招待を受諾して、アクセス許可を承諾する

 

画面5 これまではInPrivateセッションで管理していた(画面下)が、会社のEntra ID(評価用テナントの外部ユーザー)で評価用テナントのIntuneを管理できるようになった(画面上)
画面5 これまではInPrivateセッションで管理していた(画面下)が、会社のEntra ID(評価用テナントの外部ユーザー)で評価用テナントのIntuneを管理できるようになった(画面上)。会社のEntra IDであることを示すため、会社のIDに会社のロゴが付いた顔写真を設定してみた

 

 IntuneとEntraの管理ポータルについては、この方法で外部ユーザーに管理を委任することができました。外部ユーザーといっても、実際にアクセスするのは同一事物(私)なので、IntuneとEntraに対して最大のアクセス許可を付与しています。細かなロールの割り当てやカスタムロール、スコープによる制限などを行えば、管理可能な機能と範囲を最小限にすることもできるでしょう。

 

 なお、Microsoft 365管理センターについては、この方法では管理を委任することはできませんでした。Microsoft 365管理センターには「ディレクトリの切り替え」機能がなく、会社のMicrosoft 365サービスに接続しようとして、次のように表示され弾かれてしまいました。そのため、Microsoft 365管理センターを使用する必要がある、ユーザーへのライセンスの割り当てができないという制限があります(Microsoft Intune管理センターやMicrosoft Entra管理センターではユーザーへのライセンスの割り当てはできません)。

 

“Switch to an account that has permission
Your account (会社のEntra IDのメールアドレス) doesn’t have permission to view or manage this page in the Microsoft 365 admin center.”

 

はじめてのIntune(1)|...|メモ

 

blog_yamanxworld_subscribe

blog_yamanxworld_comment

blog_yamanxworld_WP_ws2025

戻る  
  次へ

最新記事