グループの作成と管理

完了

Azure AD グループは、アクセス許可を管理しやすくするためにユーザーを整理するのに役立ちます。 グループを使用すると、リソース所有者 (または Azure AD ディレクトリの所有者) は、グループのすべてのメンバーにアクセス許可のセットを割り当てることができ、各人に権限を与える必要がありません。 グループでは、セキュリティ境界を定義し、特定のユーザーを追加および削除して、最小限の労力でアクセスを許可または拒否することができます。 さらに、Azure AD では、ユーザーが作業している部署や役職など、ルールに基づいてメンバーシップを定義する機能がサポートされています。

Azure AD では、2 つの異なる種類のグループを定義できます。

  1. セキュリティ グループ。 最も一般的で、ユーザー グループの共有リソースへのメンバーとコンピューターのアクセスを管理するために使用されます。 たとえば、特定のセキュリティ ポリシーのセキュリティ グループを作成できます。 このようにすると、すべてのメンバーにアクセス許可のセットを一度に付与でき、各メンバーにアクセス許可を個別に追加する必要がありません。 このオプションを使用するには、Azure AD 管理者が必要です。

  2. Microsoft 365 グループ。 このグループは、共有メールボックス、カレンダー、ファイル、SharePoint サイトなどへのアクセス権をメンバーに付与して、共同作業の機会を提供します。 このオプションを使用すると、組織外のユーザーにグループへのアクセス権を付与することもできます。 このオプションは、ユーザーおよび管理者が使用できます。

利用可能なグループを表示する

Azure AD ダッシュボードの [管理] セクションで [グループ] を選択すると、すべてのグループを表示できます。 Azure AD を新規にインストールしたとき、グループは定義されません。

すべての既存のグループを表示するスクリーンショット。

Azure AD にグループを追加する

Azure AD にグループを作成するには、ユーザーの場合と同じオプションを使用できます。 Azure portal は、グループを作成する最も簡単な方法です。 グループの種類 (セキュリティまたは Microsoft 365) を選択し、一意のグループ名、説明、"メンバーシップの種類" を割り当てる必要があります。

Azure portal のグループの作成機能のスクリーンショット。

[メンバーシップの種類] フィールドには、次の 3 つの値のいずれかを指定できます。

  1. 割り当て済み (静的)。 グループには、選択した特定のユーザーまたはグループが含まれます。

  2. 動的ユーザー。 特性に基づいたルールを作成して、グループに対して属性ベースの動的メンバーシップを有効にします。 たとえば、ユーザーの部署が販売の場合、そのユーザーは、販売グループに動的に割り当てられます。

    セキュリティ グループはデバイスとユーザーのどちらにも使用できますが、Microsoft 365 グループはユーザー グループにのみ使用できます。 ユーザーの部署が将来変更されると、グループから自動的に削除されます。 この機能には、Azure AD Premium P1 ライセンスが必要です。

  3. 動的デバイス。 特性に基づいたルールを作成して、グループに対して属性ベースの動的メンバーシップを有効にします。 たとえば、ユーザーのデバイスがサービス部門に関連付けられている場合、そのデバイスはサービス グループに動的に割り当てられます。

    セキュリティ グループはデバイスとユーザーのどちらにも使用できますが、Microsoft 365 グループはユーザー グループにのみ使用できます。 デバイスと特定の部門との関連付けが今後変更された場合、それは自動的にグループから削除されます。 この機能には、Azure AD Premium P1 ライセンスが必要です。

最後に、グループを管理できるグループ所有者 (複数可) を選択し、グループに属するメンバー (複数可) を選択できます。 これらは両方とも、他のグループと個々のユーザーを含めることができます。

グループの作成をスクリプト化する

次に示すように、Azure PowerShell を使用して、New-AzureADGroup コマンドを使用してグループを追加することもできます。

New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

グループのメンバーシップを変更する

グループを作成したら、グループを選択し、[管理] セクションの下のオプションを使用すると、グループ メンバーシップを編集して、ユーザー (またはグループ) を追加または削除できます。

グループの管理オプションを示すスクリーンショット。