Azure AD ロールをグループに割り当てる

このセクションでは、IT 管理者が Azure Active Directory (Azure AD) ロールを Azure AD グループに割り当てる方法について説明します。

前提条件

  • Azure AD Premium P1 または P2 ライセンス
  • 特権ロール管理者またはグローバル管理者
  • PowerShell を使用する場合は、AzureAD モジュール
  • Microsoft Graph API の Graph エクスプローラーを使用する場合の管理者の同意

詳細については、「PowerShell または Graph エクスプローラーを使用するための前提条件」をご覧ください。

Azure portal

Azure AD ロールにグループを割り当てることは、ロールが割り当て可能なグループのみを使用できる点を除いて、ユーザーとサービス プリンシパルの割り当てに似ています。 Azure portal には、ロールを割り当て可能なグループのみが表示されます。

  1. Azure portal または Azure AD 管理センターにサインインします。

  2. [Azure Active Directory]>[ロールと管理者] を選択し、割り当てるロールを選択します。

  3. [ロール名] ページで、>[割り当ての追加] を選びます。

    Add the new role assignment

  4. グループを選択します。 Azure AD ロールに割り当てることができるグループのみが表示されます。

    Only groups that are assignable are shown for a new role assignment.

  5. [追加] を選択します。

ロールのアクセス許可の割り当ての詳細については、ユーザーに管理者および管理者以外のロールを割り当てる方法に関するページを参照してください。

PowerShell

ロールに割り当てることができるグループを作成する

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true 

割り当てるロールのロールの定義を取得する

$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'" 

役割の割り当ての作成

$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $group.Id 

Microsoft Graph API

Azure AD ロールを割り当てることができるグループを作成する

Create group API を使用してグループを作成します。

POST https://graph.microsoft.com/v1.0/groups

{
    "description": "This group is assigned to Helpdesk Administrator built-in role of Azure AD.",
    "displayName": "Contoso_Helpdesk_Administrators",
    "groupTypes": [
        "Unified"
    ],
    "isAssignableToRole": true,
    "mailEnabled": true,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

ロールの定義を取得する

List unifiedRoleDefinitions API を使用してロールの定義を取得します。

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions?$filter = displayName eq 'Helpdesk Administrator'

ロールの割り当てを作成する

Create unifiedRoleAssignment API を使用してロールを割り当てます。

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object Id of Group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

次のステップ