Microsoft Entra グループとグループ メンバーシップの管理

Microsoft Entra グループは、制限されている可能性があるアプリやサービスなどのリソースに対して、アクセスとアクセス許可を全員同じにする必要があるユーザーを管理するために使われます。 個々のユーザーに特別なアクセス許可を追加するのではなく、グループを作成し、そのグループのすべてのメンバーにその特別なアクセス許可を適用します。

この記事では、1 つのリソースに 1 つのグループを追加し、ユーザーをそのグループのメンバーとして追加するという基本的なグループ シナリオについて説明します。 動的なメンバーシップやルールの作成など、より複雑なシナリオについては、Microsoft Entra のユーザー管理のドキュメントに関するページを参照してください。

グループとメンバーを追加する前に、グループ作成時に使うオプションを判断できるように、グループとメンバーシップの種類を確認してください

基本グループを作成してメンバーを追加する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

Microsoft Entra 管理センターを使用し、基本的なグループを作成し、同時にメンバーを追加できます。 グループを管理できる Microsoft Entra ロールには、グループ管理者ユーザー管理者特権ロール管理者全体管理者があります。 グループを管理するための適切な Microsoft Entra ロールを確認します

基本グループを作成してメンバーを追加するには、次の手順を実行します。

  1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. ID>グループ>すべてのグループ を参照します。

  3. [新しいグループ] を選びます。

    [新しいグループ] オプションが強調表示された [Microsoft Entra グループ] ページのスクリーンショット。

  4. [グループの種類] を選びます。 グループの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

    • [グループの種類] で [Microsoft 365] を選ぶと、[グループのメール アドレス] オプションが有効になります。
  5. [グループ名] を入力します。覚えやすく、グループにとって意味のある名前を選びます。 名前が既に使用されているかどうかを確認するチェックが実行されます。 名前が既に使われている場合は、グループの名前を変更するように求められます。

    • グループの名前をスペースで始めることはできません。 名前をスペースで開始すると、グループ メンバーにロールの割り当てを追加するなどの手順のオプションとしてグループが表示されなくなります。
  6. グループのメール アドレス: グループの種類が Microsoft 365 の場合にのみ使用できます。 メール アドレスを手動で入力するか、指定したグループ名から作成されたメール アドレスを使います。

  7. グループの説明。 任意で、グループに説明を追加します。

  8. このグループを使って Microsoft Entra ロールをメンバーに割り当てるには、[グループに Microsoft Entra ロールを割り当てることができる] 設定を [はい] に切り替えます。

    • このオプションは、P1 または P2 ライセンスでのみ使用できます。
    • 特権ロール管理者または全体管理者ロールを持っている必要があります。
    • このオプションを有効にすると、[メンバーシップの種類] として 割り当て済み が自動的に選ばれます。
    • グループの作成時にロールを追加する機能がこのプロセスに追加されます。
    • ロール割り当て可能なグループの詳細については、こちらを参照してください。
  9. [メンバーシップの種類] を選びます。メンバーシップの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

  10. 必要に応じて、[所有者] または [メンバー] を追加します。 メンバーと所有者は、グループ作成後に追加できます。

    1. [所有者] または [メンバー] の下のリンクを選ぶと、ディレクトリ内の全ユーザーの一覧が表示されます。
    2. この一覧からユーザーを選び、ウィンドウの下部にある [選択] ボタンを選びます。

    グループの作成プロセスの間にグループのメンバーを選択するスクリーンショット。

  11. [作成] を選択します グループが作成され、メンバーを追加する準備ができました。

グループ ウェルカム メールをオフにする

新しい Microsoft 365 グループに追加されると、メンバーシップの種類に関係なく、すべてのユーザーに歓迎の通知が送信されます。 ユーザーまたはデバイスのいずれかの属性が変更されると、組織内のすべての動的グループ ルールが、潜在的なメンバーシップの変更のために処理されます。 追加されたユーザーは、ウェルカム通知も受け取ります。 この動作は、Exchange PowerShell を使用してオフにすることができます。

メンバーと所有者の追加または削除

メンバーと所有者を既存のグループに追加したり、そこから削除したりできます。 メンバーと所有者のプロセスは同じです。 メンバーと所有者を追加および削除するには、グループ管理者またはユーザー管理者のロールが必要です。

一度に複数のメンバーを追加する必要がある場合は、 一括でメンバーを追加するオプションを参照してください。

グループのメンバーまたは所有者を追加する

  1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. ID>グループ>すべてのグループ を参照します。

  3. 管理する必要があるグループを選びます。

  4. [メンバー] または [所有者] のいずれかを選びます。

    [メンバー] および [所有者] メニュー オプションが強調表示されている [グループ] の概要ページを示すスクリーンショット。

  5. [+ 追加] (メンバーまたは所有者) を選びます。

  6. リストをスクロールするか、検索ボックスに名前を入力します。 一度に複数の名前を選択できます。 準備ができたら、[選択] ボタンを選びます。

    [グループの概要] ページが更新され、グループに追加されたメンバー数が表示されるようになりました。

グループのメンバーまたは所有者を削除する

  1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. ID>グループ>すべてのグループ を参照します。

  3. 管理する必要があるグループを選びます。

  4. [メンバー] または [所有者] のいずれかを選びます。

  5. 一覧で名前の横にあるボックスをオンにし、[削除] ボタンを選択します。

    名前が選ばれ、[削除] ボタンが強調表示されたグループ メンバーのスクリーンショット。

グループ設定を編集する

グループの名前、説明、またはメンバーシップの種類を編集できます。 グループの設定を編集するには、グループ管理者またはユーザー管理者のロールが必要です。

グループ設定を編集するには:

  1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. ID>グループ>すべてのグループ を参照します。

  3. リストをスクロールするか、検索ボックスにグループ名を入力します。 管理する必要があるグループを選びます。

  4. 左側のメニューで [プロパティ] を選択します。

    [プロパティ] メニュー オプションが強調表示されている [グループ] の概要ページを示すスクリーンショット。

  5. 必要に応じて、次のような [全般設定] の情報を更新します。

    • [グループ名]: 既存のグループ名を編集します。

    • グループの説明。 既存のグループの説明を編集します。

    • [グループの種類]。 グループの種類が作成されると、変更することはできません。 [グループの種類] を変更するには、グループを削除して、新しいグループを作成する必要があります。

    • [メンバーシップの種類]。 メンバーシップの種類を変更します。 [グループに Microsoft Entra ロールを割り当てることができる] オプションを有効にした場合、メンバーシップの種類を変更することはできません。 使用できるメンバーシップの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

    • オブジェクト ID オブジェクト ID は変更できませんが、コピーして PowerShell コマンドでグループに対して使用できます。 PowerShell コマンドレットの使用に関する詳細については、グループ設定を構成するための Microsoft Entra コマンドレットに関するページを参照してください。

他のグループに対するメンバーの追加または削除

セキュリティ グループの場合、既存のグループを別のグループに追加することができます (入れ子グループとも呼ばれます)。 グループ メンバーシップの種類に応じて、ユーザーと同様に、グループを別のグループのメンバーとして追加できます。ユーザーでは、役割や入れ子グループへのアクセス許可などの設定が適用されます。 ただし、入れ子になったグループの場合、Microsoft Entra ID は共有リソースとアプリケーションに割り当てられたメンバーシップを適用しません。

グループ メンバーシップを編集するには、グループ管理者またはユーザー管理者のロールが必要です。 セキュリティ グループの詳細については、「グループを作成する前に知っておくべきこと」を参照してください。

現在、次のことはサポートされていません。

  • オンプレミスの Active Directory と同期されたグループへのグループの追加。
  • Microsoft 365 グループへのセキュリティ グループの追加。
  • セキュリティ グループまたはその他の Microsoft 365 グループへの Microsoft 365 グループの追加。
  • 入れ子セキュリティ グループの共有リソースとアプリに割り当てられたメンバーシップ。
  • 入れ子セキュリティ グループへのライセンスの適用。
  • 入れ子のシナリオでの配布グループの追加。
  • メールが有効化されているセキュリティ グループのメンバーとしてのセキュリティ グループの追加。
  • ロール割り当て可能なグループのメンバーとしてグループを追加する。

グループを別のグループに追加する

  1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. ID>グループ>すべてのグループ を参照します。

  3. [すべてのグループ] ページで、別のグループのメンバーになるグループを検索して選択します。

    Note

    自分のグループを他のグループのメンバーとして追加できるのは、一度に 1 つのみです。 [グループの選択] 検索ボックスでは、ワイルドカード文字はサポートされていません。

  4. グループの [概要] ページで、サイド メニューから [グループ メンバーシップ] を選びます。

  5. [+ メンバーシップの追加] を選びます。

  6. 自分のグループをメンバーにするグループを見つけて [選択] を選びます。

    この演習では、"MDM policy - West" を "MDM policy - All org" グループに追加します。 "MDM - policy - West" グループには、"MDM policy - All org" グループと同じアクセス権があります。

    グループを他のグループのメンバーにする方法を示すスクリーンショット。サイド メニューの [グループ メンバーシップ] と [メンバーシップの追加] オプションが強調表示されています。

[MDM policy - West - グループ メンバーシップ] ページを表示して、グループとメンバーのリレーションシップを確認できるようになります。

グループとメンバーのリレーションシップの詳細な表示については、親グループ名 (MDM policy - All org) を選び、[MDM policy - West] ページの詳細を確認します。

別のグループからグループを削除する

既存のセキュリティ グループを別のセキュリティ グループから削除できます。ただし、グループを削除すると、そのメンバーに継承されたアクセス権も削除されます。

  1. [すべてのグループ] ページで、別のグループのメンバーとして削除する必要があるグループを検索して選択します。

  2. グループの [概要] ページで、[グループ メンバーシップ] を選びます。

  3. [グループ メンバーシップ] ページから親グループを選びます。

  4. [削除] を選択します。

    この演習では、"MDM policy - All org" グループから "MDM policy - West" を削除します。

    [グループ メンバーシップ] ページのスクリーンショット。メンバーとグループの詳細が表示され、[メンバーシップの削除] オプションが強調表示されています。

グループを削除する

グループはさまざまな理由で削除されますが、通常は次のために行います。

  • 正しくない [グループの種類] オプションを選んだ。
  • 間違って重複したグループを作成した。
  • グループが不要になった。
  1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. ID>グループ>すべてのグループ を参照します。

  3. 削除するグループを検索して選びます。

  4. [削除] を選択します。

次のステップ