グループの作成と管理

  • 8 分

Microsoft Entra グループは、ユーザーの整理に役立ち、アクセス許可の管理をより簡単にします。 グループを使用すると、リソース所有者 (または Microsoft Entra ディレクトリ所有者) は、グループのすべてのメンバーにアクセス許可のセットを割り当てることができ、各人に権限を与える必要がありません。 グループによって、セキュリティ境界を定義し、特定のユーザーを追加および削除して、最小限の労力でアクセスを許可または拒否できます。 さらなる利点として、Microsoft Entra ID では、ユーザーが所属している部署や役職など、ルールに基づいてメンバーシップを定義する機能がサポートされています。

Microsoft Entra ID では、2 つの異なる種類のグループを定義できます。

  1. セキュリティ グループ: 最も一般的で、ユーザー グループの共有リソースへのメンバーとコンピューターのアクセスを管理するために使用されます。 たとえば、特定のセキュリティ ポリシーのセキュリティ グループを作成できます。 このようにすると、すべてのメンバーにアクセス許可のセットを一度に付与でき、各メンバーにアクセス許可を個別に追加する必要がありません。 このオプションには、Microsoft Entra 管理者が必要です。

  2. Microsoft 365 グループ - これらのグループでは、共有メールボックス、カレンダー、ファイル、SharePoint サイトなどへのアクセス権をメンバーに付与することで、コラボレーションの機会を提供します。 このオプションを使用すると、組織外のユーザーにグループへのアクセス権を付与することもできます。 このオプションは、ユーザーおよび管理者が使用できます。

利用可能なグループを表示する

Microsoft Entra ダッシュボードの [管理] セクションで [グループ] を選択すると、すべてのグループを表示できます。 新しい Microsoft Entra ID のインストールでは、グループは定義されません。

Screenshot that depicts all the existing groups.

Microsoft Entra ID にグループを追加する

Microsoft Entra ID にグループを作成するために、ユーザーの場合と同じオプションを使用できます。 Azure portal は、グループを作成する最も簡単な方法です。 グループの種類 (セキュリティまたは Microsoft 365) を選択し、一意のグループ名、説明、"メンバーシップの種類" を割り当てる必要があります。

Screenshot of the Create Group feature in the Azure portal.

[メンバーシップの種類] フィールドには、次の 3 つの値のいずれかを指定できます。

  1. 割り当て済み (静的)。 グループには、選択した特定のユーザーまたはグループが含まれます。

  2. 動的ユーザー。 グループに対して属性ベースの動的メンバーシップを有効にするルールを特性に基づいて作成できます。 たとえば、ユーザーが営業部に所属する場合、そのユーザーは、営業部のグループに動的に割り当てられます。

    セキュリティ グループはデバイスとユーザーのどちらにも使用できますが、Microsoft 365 グループはユーザー グループにのみ使用できます。 ユーザーの部署が将来変更されると、グループから自動的に削除されます。 この機能には、Microsoft Entra ID P1 ライセンスが必要です。

  3. 動的デバイス。 グループに対して属性ベースの動的メンバーシップを有効にするルールを特性に基づいて作成できます。 たとえば、ユーザーのデバイスがサービス部門に関連付けられている場合、そのデバイスはサービス グループに動的に割り当てられます。

    セキュリティ グループはデバイスとユーザーのどちらにも使用できますが、Microsoft 365 グループはユーザー グループにのみ使用できます。 デバイスと特定の部門との関連付けが今後変更された場合、それは自動的にグループから削除されます。 この機能には、Microsoft Entra ID P1 ライセンスが必要です。

最後に、グループを管理できるグループ所有者 (複数可) を選択し、グループに属するメンバー (複数可) を選択できます。 これらは両方とも、他のグループと個々のユーザーを含めることができます。

グループの作成をスクリプト化する

ここに示されているように、Microsoft Graph PowerShell を使用し、New-MgGroup コマンドを使ってグループを追加することもできます。

New-MgGroup -Description "Marketing" -DisplayName "Marketing" -MailNickName "Marketing" -SecurityEnabled -MailEnabled:$False

グループのメンバーシップを変更する

グループを作成したら、グループ メンバーシップを編集して、ユーザー (またはグループ) を追加または削除できます。 グループを選択し、[管理] セクションのオプションを使用します。

Screenshot showing the group-management options.