Microsoft Entra グループに Microsoft Entra ロールを割り当てる際の一般的な質問とトラブルシューティングのヒントを次に示します。
グループ管理者ですが、[グループに Microsoft Entra ロールを割り当てることができる] スイッチが表示されません。
特権ロール管理者かグローバル管理者のみが、ロールの割り当ての対象となるグループを作成できます。 これらのロールのユーザーにのみ、このコントロールは表示されます。
Microsoft Entra ロールに割り当てられているグループのメンバーシップを変更できるのは誰ですか?
既定では、ロールを割り当て可能なグループのメンバーシップを管理するのは特権ロール管理者とグローバル管理者のみですが、グループ所有者を追加して、ロールを割り当て可能なグループの管理を委任することができます。
組織のヘルプデスク管理者ですが、ディレクトリ閲覧者であるユーザーのパスワードを更新できません。 なぜですか?
そのユーザーは、ロールを割り当て可能なグループ経由でディレクトリ閲覧者となった可能性があります。 ロールを割り当て可能なグループのすべてのメンバーと所有者は保護されています。 特権認証管理者または全体管理者のロールのユーザーのみが、保護されたユーザーの資格情報をリセットできます。
あるユーザーのパスワードを更新できません。 そのユーザーには、高い特権ロールは一切割り当てられていません。 更新できないのはなぜですか?
そのユーザーは、ロールを割り当て可能なグループの所有者である可能性があります。 特権の昇格を避けるため、ロールを割り当て可能なグループの所有者は保護されています。 たとえば、Contoso_Security_Admins というグループがセキュリティ管理者ロールに割り当てられており、Bob がそのグループの所有者で、Alice は組織内のパスワード管理者であるとします。 この保護が存在しないとすれば、Alice が Bob の資格情報をリセットして、Bob の ID を引き継ぐことが可能になります。 そうなると、Alice は自身や他のユーザーを Contoso_Security_Admins グループに追加して、その組織のセキュリティ管理者になることができてしまいます。 あるユーザーがグループの所有者であるかどうかを確認するには、そのユーザーの所有オブジェクトの一覧を取得し、そのグループのいずれかで isAssignableToRole が true に設定されているかどうかを確認します。 設定されている場合、そのユーザーは保護対象であり、この動作は仕様によるものです。 所有オブジェクトの取得については、次のドキュメントを参照してください。
Microsoft Entra ロールに割り当てることができるグループ (具体的には、isAssignableToRole プロパティが true に設定されているグループ) にアクセス レビューを作成できますか?
はい、できます。 グローバル管理者と特権ロール管理者は、ロール割り当て可能なグループにアクセス レビューを作成できます。
アクセス パッケージを作成して、Microsoft Entra ロールに割り当てることができるグループをその中に配置することはできますか?
はい、できます。 グローバル管理者とユーザー管理者には、任意のグループをアクセス パッケージに配置する権限があります。 グローバル管理者には何も変更はありませんが、ユーザー管理者ロールのアクセス許可には若干の変更が加えられています。 ロールを割り当て可能なグループをアクセス パッケージに配置するには、ユーザー管理者であると同時に、ロールを割り当て可能なそのグループの所有者でもある必要があります。 エンタープライズ ライセンス管理でアクセス パッケージを作成できるユーザーの完全な表を次に示します。
| Microsoft Entra ディレクトリ ロール | エンタイトルメント管理ロール | セキュリティ グループの追加* | Microsoft 365 グループの追加* | アプリの追加 | SharePoint Online サイトの追加 |
|---|---|---|---|---|---|
| グローバル管理者 | 該当なし | ✔️ | ✔️ | ✔️ | ✔️ |
| ユーザー管理者 | 該当なし | ✔️ | ✔️ | ✔️ | |
| Intune 管理者 | カタログ所有者 | ✔️ | ✔️ | ||
| Exchange 管理者 | カタログ所有者 | ✔️ | |||
| Teams サービス管理者 | カタログ所有者 | ✔️ | |||
| SharePoint 管理者 | カタログ所有者 | ✔️ | ✔️ | ||
| アプリケーション管理者 | カタログ所有者 | ✔️ | |||
| クラウド アプリケーション管理者 | カタログ所有者 | ✔️ | |||
| User | カタログ所有者 | グループ所有者の場合のみ | グループ所有者の場合のみ | アプリ所有者の場合のみ |
*グループはロールを割り当て可能ではありません。つまり、isAssignableToRole = false です。 グループがロールを割り当て可能な場合は、アクセス パッケージを作成するユーザーは、ロールを割り当て可能なそのグループの所有者でもある必要があります。
[割り当てられたロール] に [割り当ての削除] オプションが見つかりません。 ユーザーへのロールの割り当てをどうすれば削除できますか?
この回答は、Microsoft Entra ID P1 組織にのみ適用されます。
- Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- ユーザーを選択します。
- [割り当てられたロール] を選択します。
- 削除するロールの割り当てを選択します。
- 割り当ての削除 を選択して、直接ロールの割り当てを削除します。
間接的なロールの割り当てを削除するには、そのロールに割り当てられているグループからユーザーを削除します。
ロールを割り当て可能なすべてのグループを表示するにはどうすればよいですか?
次の手順のようにします。
- Microsoft Entra 管理センターにサインインします。
- ID>グループ>すべてのグループ を参照します。
- [フィルターの追加] を選択します。
- [ロールを割り当て可能] でフィルター処理を実行します。
プリンシパルに直接または間接的に割り当てられているロールを確認するにはどうすればよいですか?
次の手順のようにします。
- Microsoft Entra 管理センターにサインインします。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- ユーザーを選択します。
- [割り当てられたロール] を選択します。
- Microsoft Entra ID P1 ライセンスをお持ちの場合は、[割り当てパス] 列を表示してください。
- Microsoft Entra ID P2 ライセンスをお持ちの場合は、[メンバーシップ] 列を表示してください。
ロールに割り当てるための新しいグループを作成する必要があるのはなぜですか?
既存のグループをロールに割り当てると、その既存のグループの所有者がこのグループに他のメンバーを追加し、それらの新しいメンバーが自分はロールを持つことになるということを認識しない事態が起こり得ます。 ロールを割り当て可能なグループは強力なので、それを保護するために多くの制限が設けられています。 グループを管理しているユーザーが驚くような変更をグループに加えることは望ましくありません。