Teams 管理者 確認
Teams 管理者 確認|現在の管理者が誰か調べる3つの方法と棚卸しの進め方
目次
はじめに
「担当者が退職したが、次の管理者が誰なのか分からない」「自分が管理者になったけど、他に管理者がいるのかどうか不明」—こうした状況は、Microsoft 365 を導入してしばらく経った組織でよく起きます。
この記事は、次のような方を想定して書いています。
- 現在の Teams 管理者が誰なのかを確認・把握したい情シス担当者
- 管理者の棚卸しを行い、不要な権限を整理したい方
- 退職・異動者の権限が残っていないか確認したい管理者
管理者ロールの割り当て手順については
で整理しています。あちらは「付与する」側の記事ですが、本記事では一歩進めて、組織内で誰が Teams 管理者なのかを一覧で把握し、不要な権限が残っていないかを棚卸しする方法に焦点を当てます。新たに管理者を追加する前に現状の構成を把握しておくことが、安全な運用の出発点です。
1. 現在の Teams 管理者を一覧で確認する方法
ブラウザだけで完結するため、PowerShell の知識がなくても実施できます。棚卸しの起点として、まず「今どのアカウントにロールが付いているか」を組織全体で一覧把握することから始めましょう。
1-1. Microsoft 365 管理センターでロール別に確認する
- グローバル管理者または特権ロール管理者で admin.microsoft.com にサインインする
- 左メニューから「ロール」→「ロールの割り当て」を選択する
- 検索欄に「Teams 管理者」と入力してロールを選択する
- 「割り当て済み」タブを開くと、そのロールを持つユーザー一覧が表示される
この方法では「Teams 管理者ロールを持つ全ユーザー」を一覧で確認できます。同様に「グローバル管理者」でも同じ手順を繰り返すと、組織全体の管理者構成を把握できます。
1-2. ユーザー単位で確認する
「特定のユーザーがどのロールを持っているか」を確認したい場合は、以下の手順で行います。
- admin.microsoft.com の左メニューから「ユーザー」→「アクティブなユーザー」を選択する
- 対象ユーザーを検索して選択する
- ユーザー詳細画面の「役割」欄を確認する
「役割」欄に「Teams 管理者」「グローバル管理者」などが表示されていればロールが付与されている状態です。「ユーザー(管理者アクセスなし)」と表示されている場合は管理者ロールが付与されていません。
1-3. Microsoft Entra 管理センターで確認する
より詳細なロール情報(割り当ての種別・有効期限など)を確認したい場合は、Microsoft Entra 管理センター(entra.microsoft.com)を使います。
- entra.microsoft.com にサインインする
- 左メニューから「ロールと管理者」→「すべてのロール」を選択する
- 「Teams 管理者」を検索して選択する
- 「割り当て」タブを開くと、割り当てられているユーザー・グループの一覧が表示される
✅ 操作のポイント
Microsoft Entra 管理センターでは、ロールの「割り当ての種類」として「アクティブ」と「対象」の2種類が表示される場合があります。Privileged Identity Management(PIM)を導入している組織では、「対象」は「申請すれば有効化できる状態」を意味します。通常のロール付与(常時アクティブ)とは異なるため、確認時に区別しておきましょう。
Microsoft Entra 管理センターでは、ロールの「割り当ての種類」として「アクティブ」と「対象」の2種類が表示される場合があります。Privileged Identity Management(PIM)を導入している組織では、「対象」は「申請すれば有効化できる状態」を意味します。通常のロール付与(常時アクティブ)とは異なるため、確認時に区別しておきましょう。
2. PowerShell での確認
組織規模が大きく、ブラウザでのUI操作では効率が悪い場合や、確認結果をCSVに出力して記録に残したい場合は PowerShell が便利です。
2-1. Microsoft Graph PowerShell を使った確認
現在の推奨ツールは「Microsoft Graph PowerShell SDK」です。以下の手順で Teams 管理者ロールを持つユーザーを取得できます。
PowerShell の実行手順
# ① Microsoft Graph PowerShell SDK のインストール(初回のみ)
Install-Module Microsoft.Graph -Scope CurrentUser
# ② 接続(ブラウザでの認証が求められます)
Connect-MgGraph -Scopes "RoleManagement.Read.Directory"
# ③ Teams 管理者ロールのオブジェクトIDを取得
$role = Get-MgDirectoryRole -Filter "displayName eq 'Teams Administrator'"
# ④ そのロールを持つユーザー一覧を取得
Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id |
Select-Object -ExpandProperty AdditionalProperties |
Select-Object displayName, userPrincipalName取得した結果を CSV に出力して保存しておくと、棚卸しの記録として活用できます。
# CSV に出力する場合
Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id |
Select-Object -ExpandProperty AdditionalProperties |
Select-Object displayName, userPrincipalName |
Export-Csv -Path "teams_admins_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation -Encoding UTF8【用語メモ】Microsoft Graph PowerShell SDK
Microsoft 365 の各サービスを PowerShell から操作するための公式ツールセット。以前は「MSOnline」や「AzureAD」モジュールが使われていましたが、現在はこちらへの移行が推奨されています。インストールは
Microsoft 365 の各サービスを PowerShell から操作するための公式ツールセット。以前は「MSOnline」や「AzureAD」モジュールが使われていましたが、現在はこちらへの移行が推奨されています。インストールは
Install-Module Microsoft.Graph で行えます。2-2. グローバル管理者も合わせて確認する場合
グローバル管理者ロールも同じ手順で確認できます。ロール名を変えるだけで対応できます。
# グローバル管理者の確認
$gaRole = Get-MgDirectoryRole -Filter "displayName eq 'Global Administrator'"
Get-MgDirectoryRoleMember -DirectoryRoleId $gaRole.Id |
Select-Object -ExpandProperty AdditionalProperties |
Select-Object displayName, userPrincipalNameTeams 管理者・グローバル管理者の両方を一度に確認することで、管理者の全体像が把握しやすくなります。
3. 定期確認の重要性
管理者ロールは「付与したあとは自動的に変化しない」という性質があります。つまり、意識的に見直さない限り、不要になった権限がそのまま残り続けます。
3-1. 確認のタイミング
以下のタイミングで管理者ロールの棚卸しを行うことを推奨します。
| タイミング | 主な確認内容 |
| 退職・異動が発生したとき | 対象者のロールが削除されているか確認。アカウント無効化だけでなく、ロールの明示的な削除も必要。 |
| 四半期ごと・半期ごと(定期) | 現在の管理者一覧を出力し、在籍・業務内容との整合性を確認する。 |
| セキュリティインシデント発生時 | 不審なアカウントに管理者ロールが付与されていないかを緊急確認する。 |
| 組織再編・部門変更時 | 担当業務が変わった人に対して、適切なロールに変更されているか確認する。 |
3-2. アクセスレビューによる自動化(上級者向け)
Microsoft Entra ID の「アクセスレビュー」機能を活用すると、定期的なロールの見直しを自動化できます。設定した周期で管理者本人または承認者にレビューを依頼し、承認されない場合はロールを自動削除する運用が可能です。ただし、この機能の利用には Microsoft Entra ID P2 ライセンスが必要です。
自分が最初に詰まったポイント
管理者の一覧を初めて出力したとき、筆者が戸惑ったのは「一覧に名前が出てきた人が、本当に現在の管理担当なのかどうかが分からない」という点でした。ロールが付いていることは分かっても、その人が今もその業務に関わっているのか、すでに異動・退職しているのか、ロールの一覧だけでは判断できません。
結局、一覧をそのまま信用するのではなく、在籍確認・担当業務・最終ログイン日という3つの軸で照合して初めて「この人のロールは継続すべきか、削除すべきか」が判断できると気づきました。「ロールがある=現在の管理担当」という思い込みを外して確認することが、棚卸しの核心です。
実務でのベストプラクティス:「名ばかり管理者」に注意
⚠️ 落とし穴:名ばかり管理者の存在
ロール上は「Teams 管理者」や「グローバル管理者」に設定されているが、実際にはその権限を使った管理業務を行っていないアカウントが存在するケースがあります。たとえば「以前担当していたが、今は別部署で関係ない」「引き継ぎのためにとりあえず付けたまま忘れていた」といった状況です。このようなアカウントは攻撃者にとって格好のターゲットになります。ロールの一覧確認では「アカウントが存在する=業務上必要」ではなく、「本当にこの人が今もこの権限を必要としているか」を確認することが重要です。
ロール上は「Teams 管理者」や「グローバル管理者」に設定されているが、実際にはその権限を使った管理業務を行っていないアカウントが存在するケースがあります。たとえば「以前担当していたが、今は別部署で関係ない」「引き継ぎのためにとりあえず付けたまま忘れていた」といった状況です。このようなアカウントは攻撃者にとって格好のターゲットになります。ロールの一覧確認では「アカウントが存在する=業務上必要」ではなく、「本当にこの人が今もこの権限を必要としているか」を確認することが重要です。
棚卸しを行う際は、単に一覧を出力するだけでなく、以下の観点でチェックすることを推奨します。
| 確認観点 | 具体的な確認内容 |
| 在籍確認 | アカウントが有効で、現在も在籍中の社員・契約者のものか |
| 業務との整合性 | 現在の担当業務に、その管理者権限が本当に必要か |
| 最終利用日 | Microsoft Entra のサインインログで、最後にいつ管理センターへアクセスしたか(長期間未使用なら要見直し) |
| ロールの適切性 | グローバル管理者が付与されているが、Teams 管理者で十分ではないか |
まとめ:管理者確認 チェックポイント一覧
| 確認項目 | 推奨ツール・場所 | 補足 |
| Teams 管理者ロールを持つユーザーを一覧で確認する | Microsoft 365 管理センター → ロールの割り当て | UIから数クリックで確認可能 |
| 特定ユーザーが持つロールを確認する | Microsoft 365 管理センター → アクティブなユーザー → 役割欄 | 個別確認に向いている |
| 割り当ての詳細(種類・有効期限)を確認する | Microsoft Entra 管理センター → ロールと管理者 | PIM 利用時はここで確認 |
| 複数ロールを一括でCSV出力する | Microsoft Graph PowerShell SDK | 棚卸しの記録保存に有効 |
| 退職・異動者のロール削除を確認する | Microsoft 365 管理センター / Entra 管理センター | アカウント無効化と同時に実施 |
| 名ばかり管理者の有無を確認する | Entra サインインログと照合 | 長期間未使用のアカウントを特定 |
| 定期レビューを仕組み化する | Microsoft Entra ID「アクセスレビュー」(P2 ライセンス必要) | 自動化で属人的管理を防ぐ |
管理者一覧テンプレートを使う
棚卸し作業をスムーズに進めるために、以下の項目を記録するシートを用意しておくと便利です。Excelやスプレッドシートに転記して運用記録として保管することをお勧めします。
| 氏名 / UPN | 付与ロール | 所属部門 | 付与日 | 最終ログイン | 要否判定 | 備考 |
| (例)山田 太郎 / yamada@example.com | Teams 管理者 | 情報システム部 | 2024/04/01 | 2025/05/10 | 継続 | Teams 管理担当 |
| (例)鈴木 花子 / suzuki@example.com | グローバル管理者 | 営業部(異動済み) | 2023/10/01 | 2024/01/15 | 削除要 | 異動後も権限が残存 |
PowerShell でCSV出力した一覧に「要否判定」「備考」列を追加してこのフォーマットに合わせると、棚卸し作業の証跡として活用できます。
次のステップ
📌 管理者の確認ができたら、次はここ
管理者の確認・棚卸しは、セキュリティ運用の基本中の基本です。「誰がどの権限を持っているか」を常に把握している状態を維持することが、組織の Teams 環境を安全に保つ第一歩になります。まずは今日、管理者ロールの一覧を一度確認するところから始めてみてください。
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。
新卒で歯科医院向け電子カルテメーカーに入社し、営業と顧客サポートを担当してきました。導入提案から運用後のフォローまで一気通貫で携わる中で、お客様の業務を深く理解し、現場の声に寄り添いながら課題を解決していくことの大切さを学びました。専門用語に頼らず、相手の立場で噛み砕いて伝えること、そして「売って終わり」ではなく長くお付き合いいただける関係を築くことを信条としています。現在はIT企業に活躍の場を移しましたが、お客様と真摯に向き合う姿勢は変わりません。一人ひとりの「困った」に丁寧に応えていきたいと考えています。
