Microsoft Entra ID でロール割り当て可能なグループを作成する

Microsoft Entra ID P1 または P2 では、ロールを割り当て可能なグループを作成して、それらのグループに Microsoft Entra ロールを割り当てることができます。 ロール割り当て可能なグループを新しく作成するには、[グループに Microsoft Entra ロールを割り当てることができる][はい] に設定するか、isAssignableToRole プロパティを true に設定します。 ロール割り当て可能なグループを動的メンバーシップ型にすることはできません。また、1 つのテナントに最大 500 個のグループを作成することができます。

この記事では、Microsoft Entra 管理センター、PowerShell、または Microsoft Graph API を使用して、ロールを割り当て可能なグループを作成する方法について説明します。

前提条件

詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。

Microsoft Entra 管理センター

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. ID>グループ>すべてのグループ を参照します。

  3. [新しいグループ] を選びます。

  4. [新しいグループ] ページで、グループの種類、名前、説明を指定します。

  5. [グループに Microsoft Entra ロールを割り当てることができる][はい] に設定します。

    このオプションは、特権ロール管理者とグローバル管理者にのみ表示されます。この 2 つのロールのみが、このオプションを設定できます。

    Screenshot of option to make group a role-assignable group.

  6. グループのメンバーと所有者を選択します。 オプションでグループにロールを割り当てることもできますが、こちらでロールを割り当てる必要はありません。

  7. [作成] を選択します

    次のメッセージが表示されます。

    Microsoft Entra ロール割り当ての対象となるグループの作成は、後で変更できない設定です。 この機能を追加しますか?

    Screenshot of confirm message when creating a role-assignable group.

  8. [はい] を選択します。

    ロールを割り当てていた場合にはそれが付いた状態で、グループが作成されます。

PowerShell

New-MgGroup コマンドを使用して、ロール割り当て可能なグループを作成します。

この例は、セキュリティ ロールを割り当て可能なグループを作成する方法を示しています。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

この例は、Microsoft 365 ロールを割り当て可能なグループを作成する方法を示しています。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Microsoft Graph API

Create group API を使用して、ロール割り当て可能なグループを作成します。

この例は、セキュリティ ロールを割り当て可能なグループを作成する方法を示しています。

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

この例は、Microsoft 365 ロールを割り当て可能なグループを作成する方法を示しています。

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

この種類のグループでは、isPublic は常に false、isSecurityEnabled は常に true になります。

次のステップ