マイスタッフを使用してユーザーを管理する

マイスタッフを使用すると、ストアマネージャーやチームリーダーなどの権限のある人に、スタッフメンバーが Microsoft Entra アカウントにアクセスできるようにするためのアクセス許可を委任することができます。組織では、パスワードのリセットや電話番号の変更などの一般的なタスクを、中央のヘルプデスクに頼るのではなく、現場のチームマネージャーに任せることができます。マイスタッフを使用すると、自分のアカウントにアクセスできないユーザーは、数回のクリックでアクセスを回復することができ、ヘルプデスクや IT スタッフは必要ありません。

組織のためにマイスタッフを構成する前に、このドキュメントとユーザードキュメントを確認し、この機能と、それがユーザーに及ぼす影響を、理解することをお勧めします。ユーザーのドキュメントを利用して、新しいエクスペリエンスに備えてユーザーを訓練し、準備することで、ロールアウトを成功させることができます。

マイスタッフのしくみ

マイスタッフの基になっている管理単位は、ロール割り当ての管理制御の範囲を制限するために使用できるリソースのコンテナーです。詳細については、「Microsoft Entra ID の管理単位の管理」を参照してください。マイスタッフでは、店舗や部署のユーザーのグループで管理単位を構成できます。これにより、1 つまたは複数の単位のスコープの管理者ロールにチームマネージャーを割り当てることができます。

はじめに

この記事の手順を完了するには、次のリソースと特権が必要です。

有効な Azure サブスクリプション。
- Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
サブスクリプションに関連付けられている Microsoft Entra テナント。
- 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
SMS ベースの認証を有効にするには、Microsoft Entra テナントの認証ポリシー管理者特権が必要です。
テキストメッセージ認証方法ポリシーで有効になっている各ユーザーは、その方法を使用しない場合でも、ライセンスを取得している必要があります。有効な各ユーザーは、次の Microsoft Entra ID または Microsoft 365 ライセンスのいずれかを保持している必要があります。

マイスタッフを有効にする方法

管理単位を構成した後は、マイスタッフにアクセスするユーザーにこのスコープを適用できます。管理者ロールを割り当てられたユーザーだけが、マイスタッフにアクセスできます。マイスタッフを有効にするには、次の手順のようにします。

Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
Entra ID>ユーザー>ユーザー設定に移動します。
[ユーザー機能] で、[ユーザー機能設定の管理] を選択します。
[管理者はマイスタッフにアクセスできます] では、すべてのユーザーまたは選択したユーザーにアクセスを許可したり、すべてのユーザーにアクセスを禁止したりできます。

Note

管理者ロールを割り当てられたユーザーだけが、マイスタッフにアクセスできます。管理者ロールが割り当てられていないユーザーに対してマイスタッフを有効にすると、そのユーザーはマイスタッフにアクセスできなくなります。

条件付きアクセス

Microsoft Entra 条件付きアクセスポリシーを使用して、マイスタッフポータルを保護することができます。これは、マイスタッフにアクセスする前に多要素認証を要求するなどのタスクに使用します。

Microsoft では、Microsoft Entra 条件付きアクセスポリシーを使用してマイスタッフを保護することを強くお勧めします。マイスタッフに条件付きアクセスポリシーを適用するには、まずマイスタッフサイトに 1 回アクセスする必要があります。その際、条件付きアクセスで使用するためにテナントのサービスプリンシパルを自動的にプロビジョニングするのに数分かかります。

マイスタッフクラウドアプリケーションに適用する条件付きアクセスポリシーを作成すると、サービスプリンシパルが表示されます。

マイスタッフアプリの条件付きアクセスポリシーを作成する

マイスタッフの使用

ユーザーがマイスタッフを選択すると、自分が管理者アクセス許可を持つ管理単位の名前が表示されます。マイスタッフのユーザードキュメントでは、"場所" という用語を使用して管理単位が示されています。管理者のアクセス許可に管理単位スコープがない場合は、組織全体にアクセス許可が適用されます。

マイスタッフが有効にされた後、有効にされて管理者ロールが割り当てられているユーザーは、https://mystaff.microsoft.com を使用してマイスタッフにアクセスできます。管理単位を選択してその管理単位内のユーザーを表示したり、ユーザーを選択してプロファイルを開いたりすることができます。

制限

マイスタッフには、管理単位ごとに最大 999 人のユーザーが表示されます。

ユーザーのパスワードのリセット

オンプレミスのユーザーのパスワードをリセットする前に、次の前提条件を満たす必要があります。詳細な手順については、「セルフサービスパスワードリセットを有効にする」のチュートリアルを参照してください。

パスワードライトバックのアクセス許可を構成する
Microsoft Entra Connect でパスワードライトバックを有効にします。
Microsoft Entra セルフサービスパスワードリセット (SSPR) でパスワードライトバックを有効にする

次のロールには、ユーザーのパスワードをリセットするアクセス許可があります。

[マイスタッフ] で、ユーザーのプロファイルを開きます。 [パスワードのリセット] を選択します。

ユーザーがクラウドのみの場合は、ユーザーに提供できる一時的なパスワードを確認できます。
ユーザーがオンプレミスの Active Directory から同期されている場合は、オンプレミスのドメインポリシーを満たすパスワードを入力できます。その後、そのパスワードをユーザーに提供できます。

ユーザーは、次回サインインする際にパスワードを変更する必要があります。

電話番号を管理する

[マイスタッフ] で、ユーザーのプロファイルを開きます。

ユーザーに電話番号を追加するには、 [電話番号の追加] セクションを選択します
電話番号を変更するには、 [電話番号の編集] を選択します
ユーザーの電話番号を削除するには、 [電話番号の削除] を選択します

設定に応じて、ユーザーは、設定した電話番号を使用して SMS でサインインし、多要素認証を実行して、セルフサービスパスワードリセットを実行できます。

ユーザーの電話番号を管理するには、次のいずれかのロールが割り当てられている必要があります。

QR コード認証を管理する

マイスタッフを使用して、ユーザーの QR コード認証方法を管理できます。

マイスタッフでユーザーの QR コード認証方法を追加する

フロントラインマネージャーとしてマイスタッフポータルにサインインします。管理単位と現場担当者を選択します。
[ QR コード認証方法の管理] をクリックします。
[ QR コードメソッドの追加] をクリックします。
有効期限とアクティブ化の日付を指定し、[ 追加 ] をクリックして、ユーザーの QR コードと PIN を生成します。
PIN を保存し、QR コードをダウンロードまたは印刷して、[ 完了] をクリックします。 QRコード画像のダウンロードは、最小の最適な印刷サイズを持っています。サイズを小さくすると、QR コードのスキャンが困難になります。一意のシークレットがあるため、同じ QR コードを再生成することはできません。何らかの理由で QR コードが機能しない場合は、削除します。ユーザーの新しい QR コードを作成します。

マイスタッフのユーザーの QR コード認証方法を編集する

標準 QR コードの有効期限を編集するには、[ 編集] をクリックします。有効期限を編集し、変更を保存します。
標準の QR コードを削除するには、[ 削除] をクリックしてアクションを確認します。
新しい標準 QR コードを追加するには、標準 QR コードの横にある [ 新規追加 ] をクリックします。

QR コードのアクティブ化時刻と有効期限を選択し、[ 追加] をクリックします。

QR コードをダウンロードまたは印刷し、[ 完了] をクリックします。
一時 QR コードを追加するには、一時 QR コードの横にある [ 新規追加 ] をクリックします。有効期間 ( 時間) と アクティブ化の日付を指定し、[ 追加] をクリックします。

QR コードをダウンロードまたは印刷し、[ 完了] をクリックします。
PIN をリセットするには、[ PIN のリセット] をクリックします。

[ PIN のコピー ] をクリックして、PIN をクリップボードにコピーします。