Microsoft 365 グループを管理する

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。

Microsoft 365 グループは、構成に応じていくつかの方法で管理できます。 ユーザー アカウントは、Microsoft 365 管理センター、PowerShell、Active Directory Domain Services (AD DS)、またはMicrosoft Entra 管理センターで管理できます。

グループを管理する場所と方法を計画する

ユーザー アカウントを管理する場所と方法は、Microsoft 365 で使用する ID モデルによって異なります。 2 つの全体的なモデルは、クラウド専用とハイブリッドです。

クラウド専用

次の方法でグループを作成および管理します。

• Microsoft 365 管理センター
• PowerShell
  • PowerShell を使用して Microsoft 365 グループを管理する
  • PowerShell を使用してセキュリティ グループメンバーシップを維持する
• Microsoft Entra 管理センター

ハイブリッド

ハイブリッド グループを管理するには、クラウドのみのグループに使用するのと同じツールを使用できます。 AD DS グループは AD DS から Microsoft 365 と同期されるため、オンプレミスの AD DS ツールを使用してこれらのグループを管理する必要があります。

AD DS グループとは別に、AD DS のユーザーとグループを含めることができるMicrosoft Entraグループを作成および管理することもできます。

ユーザーが各自のグループを作成および管理できるようにする

Microsoft Entra IDでは、IT 管理者ではなくグループ所有者が管理できるグループを許可します。 セルフサービス グループ管理と呼ばれるこの機能を使用すると、管理ロールが割り当てられていないグループ所有者は、セキュリティ グループを作成および管理できます。

ユーザーはセキュリティ グループのメンバーシップを要求でき、その要求は IT 管理者ではなくグループ所有者に送信されます。 これにより、グループのビジネスの使用を理解し、そのメンバーシップを管理できるチーム、プロジェクト、またはビジネス所有者に、グループ メンバーシップの日常的な制御を委任できます。

注:

セルフサービス グループ管理は、Microsoft Entra セキュリティと Microsoft 365 グループでのみ使用できます。 メールが有効なグループ、配布リスト、または AD DS から同期されたグループでは使用できません。

詳細については、セルフサービス管理のためにMicrosoft Entra グループを構成する手順に関するページを参照してください。

動的グループ メンバーシップをセットアップする

Microsoft Entra IDでは、ユーザー アカウントをMicrosoft Entra グループのメンバーとして自動的に追加または削除する一連のルールの構成がサポートされています。 これは動的グループ メンバーシップと呼ばれます。 ルールはユーザー アカウントの属性 (部門や国など) に基づいています。

ルールの適用方法を次に説明します。

• 新しいユーザー アカウントがグループのすべてのルールに一致すると、そのアカウントはメンバーになります。
• ユーザー アカウントがグループのメンバーではないものの、その属性が変更されグループのすべてのルールに一致した場合は、そのユーザーアカウントはグループのメンバーになります。
• ユーザー アカウントがグループのすべてのルールに一致しない場合、そのアカウントはグループに追加されません。
• ユーザー アカウントがグループのメンバーであるのに、その属性が変更され、グループのすべてのルールと一致しなくなった場合、グループのメンバーとして削除されます。

動的メンバーシップを使用するには、まず、共通のユーザー アカウント属性のセットを持つグループのセットを決定する必要があります。 たとえば、Sales 部門のすべてのメンバーは、ユーザー アカウント属性 Department が "Sales" に設定されているに基づいて、Sales Microsoft Entra グループに属している必要があります。

動的Microsoft Entra グループのルールを作成および構成する手順を参照してください。

自動ライセンスをセットアップする

Microsoft Entra IDでセキュリティ グループを構成して、一連のサブスクリプションからグループのすべてのメンバーにライセンスを自動的に割り当てることができます。 これはグループベースのライセンスと呼ばれます。 グループでユーザー アカウントを追加または削除すると、そのグループのサブスクリプションのライセンスが自動的にユーザー アカウントに追加または削除されます。

Microsoft 365 Enterpriseでは、適切なMicrosoft 365 Enterprise ライセンスを割り当てMicrosoft Entraセキュリティ グループを構成します。

すべてのグループ メンバーに十分なライセンスがあることを確認します。 ライセンスが不足している場合、ライセンスが使用可能になるまで、新しいユーザーにはライセンスが割り当てられません。

注:

Azure B2B (企業間) アカウントが含まれているグループに対してはグループベースのライセンスを構成しないでください。

詳細については、「Microsoft Entra IDのグループ ベースのライセンスの基本」を参照してください。

Azure セキュリティ グループのグループ ベースのライセンスを構成する手順を参照してください。