Microsoft Entra ID でのグループとアクセス権について説明します
Microsoft Entra ID には、リソース、アプリケーション、タスクへのアクセスを管理する方法がいくつか用意されています。 Microsoft Entra グループを使うと、個々のユーザーではなく、ユーザーのグループに対してアクセスとアクセス許可を付与できます。 アクセスを必要とするユーザーのみに Microsoft Entra リソースへのアクセスを制限することは、ゼロ トラストの中核的なセキュリティ原則の 1 つです。
この記事では、グループとアクセス権を併用して Microsoft Entra ユーザーの管理を簡単にすると同時に、セキュリティのベスト プラクティスを適用する方法について概要を説明します。
Microsoft Entra ID では、グループを使って、アプリケーション、データ、リソースに対するアクセスを管理することができます。 次のリソースがあります。
- Microsoft Entra の組織の一部 (たとえば、Microsoft Entra ID のロールを通じてオブジェクトを管理するアクセス許可)
- 組織の外部にあるもの (たとえば、サービスとしてのソフトウェア (SaaS) アプリ)
- Azure サービス
- SharePoint サイト
- オンプレミスのリソース
一部のグループは、Azure portal で管理することはできません。
- オンプレミスの Active Directory から同期されたグループは、オンプレミスの Active Directory でのみ管理できます。
- 配布リストやメールが有効なセキュリティ グループは、Exchange 管理センターまたは Microsoft 365 管理センターでのみ管理されます。 これらのグループを管理するには、Exchange 管理センターまたは Microsoft 365 管理センターにサインインする必要があります。
グループを作成する前に知っておくべきこと
2 種類のグループと 3 種類のグループ メンバーシップがあります。 オプションを確認して、実際のシナリオに適した組み合わせを見つけてください。
グループの種類:
セキュリティ: 共有リソースに対するユーザーとコンピューターのアクセスを管理するために使います。
たとえば、セキュリティ グループを作成し、グループの全メンバーに同じセキュリティ アクセス許可セットが付与されるようにすることができます。 セキュリティ グループのメンバーには、ユーザー、デバイス、サービス プリンシパル、他のグループ (入れ子グループとも知られる) を含めることができます。これにより、アクセス ポリシーとアクセス許可を定義します。 セキュリティ グループ所有者には、ユーザーとサービス プリンシパルを含めることができます。
Note
既存のセキュリティ グループを別のセキュリティ グループの入れ子にすると、共有リソースとアプリケーションにアクセスできるのは親グループ内のメンバーだけになります。 入れ子グループ メンバーには、親グループ メンバーと同じメンバーシップが割り当てられません。 入れ子グループを管理する方法の詳細については、「グループの管理方法」を参照してください。
Microsoft 365: 共有メールボックス、カレンダー、ファイル、SharePoint サイトなどへのアクセス権をグループ メンバーに付与することで、共同作業の機会を提供します。
また、このオプションでは、組織外のユーザーにグループへのアクセス権を付与することもできます。 Microsoft 365 グループのメンバーには、ユーザーのみを含めることができます。 Microsoft 365 グループ所有者には、ユーザーとサービス プリンシパルを含めることができます。 Microsoft 365 グループの詳細については、「Microsoft 365 グループの概要」を参照してください。
メンバーシップの種類:
割り当て済みグループ: 特定のユーザーをグループのメンバーとして追加したり、固有のアクセス許可を持ったりすることができます。
ユーザーの動的メンバーシップ グループ: ユーザーのルールを使用して、メンバーとしてユーザーを自動的に追加および削除できます。 メンバーの属性が変更された場合、システムはディレクトリに対する動的メンバーシップ グループのルールを調べます。 メンバーがルール要件を満たす (追加される) か、またはルール要件を満たしていない (削除される) かどうかを確認します。
デバイスの動的メンバーシップ グループ: デバイスのルールを使用して、メンバーとしてデバイスを自動的に追加および削除できます。 デバイスの属性が変更されると、システムは、ディレクトリに対する動的メンバーシップ グループのルールを調べて、そのデバイスがルール要件を満たしているか (追加される)、またはルール要件を満たさなくなったか (削除される) を確認します。
重要
デバイスまたはユーザーのどちらかに対して動的グループを作成することは可能ですが、両方に対して作成することはできません。 デバイス所有者の属性に基づいてデバイス グループを作成することはできません。 デバイス メンバーシップ ルールで参照できるのは、デバイスの属性のみです。 ユーザーとデバイスの動的グループの作成に関する詳細については、「動的グループの作成と状態チェックを行う」を参照してください。
グループにアクセス権を追加する前に知っておくべきこと
Microsoft Entra グループを作成したら、適切なアクセスを付与する必要があります。 アクセス許可を必要とするアプリケーション、リソース、サービスは個別に管理する必要があります。これは、それぞれのアクセス許可が同じでない場合があるからです。 最小限の特権の原則を使ってアクセスを付与することで、攻撃やセキュリティ侵害のリスクを軽減することができます。
Microsoft Entra ID のアクセス管理のしくみ
Microsoft Entra ID では、1 人のユーザーまたは Microsoft Entra のグループ全体にアクセス権を提供することで、組織のリソースに対するアクセスをより容易に付与できるようにしています。 リソース所有者または Microsoft Entra ディレクトリ所有者は、グループを使ってグループのすべてのメンバーにアクセス許可セットを割り当てることができます。 リソースまたはディレクトリの所有者は、管理権限を、部門のマネージャーやヘルプ デスクの管理者などの他のユーザーに付与し、そのユーザーがメンバーの追加と削除を行えるようにすることもできます。 グループ所有者を管理する方法の詳細については、グループの管理に関する記事を参照してください。
アクセス権を割り当てる方法
グループを作成したら、アクセス権の割り当て方法を決定する必要があります。 アクセス権を割り当てる方法を検討し、シナリオの最適なプロセスを決定します。
直接割り当て。 リソース所有者は、ユーザーをリソースに直接割り当てます。
グループの割り当て。 リソース所有者は、Microsoft Entra グループをリソースに割り当てます。これにより、グループ メンバー全員に、リソースへのアクセスが自動的に与えられます。 グループ所有者とリソース所有者の両方がグループのメンバーシップを管理し、どちらの所有者も、グループのメンバーを追加したり、削除したりできます。 グループ メンバーシップの管理の詳細については、「グループの管理」の記事をご覧ください。
ルール ベースの割り当て。 リソース所有者は、グループを作成し、ルールを使用して、特定のリソースにどのユーザーが割り当てられるかを定義します。 ルールは、個々のユーザーに割り当てられている属性に基づきます。 リソース所有者は、リソースへのアクセスを許可するためにはどの属性と値が必要であるかを判断し、ルールを管理します。 詳細については、「動的グループの作成と状態チェックを行う」を参照してください。
外部機関の割り当て。 アクセス権は、オンプレミスのディレクトリや SaaS アプリなど、外部のソースから付与されます。 この状況においては、リソース所有者がリソースへのアクセス権を提供するためのグループを割り当ててから、外部ソースがグループのメンバーを管理します。
ユーザーは、割り当てられることなくグループに参加できますか。
グループ所有者は、ユーザーの割り当てを行う代わりに、参加する自分のグループをユーザーに見つけさせることができます。 所有者は、参加するユーザー全員を自動的に受け入れるようにも、承認を要求するようにもグループを設定できます。
ユーザーがグループへの参加を要求した後、要求はグループ所有者に転送されます。 それが必須の場合、所有者は要求を承認することができ、そのユーザーにグループ メンバーシップが通知されます。 複数の所有者がいて、いずれかが承認しなかった場合、ユーザーに通知はされますが、グループには追加されません。 ユーザーにグループへの参加を要求させる方法の詳細と手順については、「ユーザーがグループへの参加を要求できるような Microsoft Entra ID の設定」を参照してください。