Azure Active Directory でのセルフサービス グループ管理の設定
Microsoft Entra の一部である Azure Active Directory (Azure AD) では、独自のセキュリティ グループまたは Microsoft 365 グループを作成して管理することができます。 グループの所有者は、メンバーシップ要求を承認または拒否できます。また、グループ メンバーシップの制御を委任できます。 セルフサービス グループ管理機能は、メールが有効なセキュリティ グループまたは配布リストには使用できません。
セルフサービス グループ メンバーシップ
共有リソースへのアクセスを管理するために使用されるセキュリティ グループのユーザーによる作成を許可できます。 セキュリティ グループは、ユーザーが Azure portal で Azure AD PowerShell を使用して、または [MyApps グループのアクセス] パネルから作成できます。 メンバーシップを更新できるのはグループの所有者だけですが、グループ所有者に、[MyApps Groups Access] (MyApps グループ アクセス) パネルからメンバーシップ要求を承認または拒否する機能を提供できます。 [MyApps グループのアクセス] パネルを使用してセルフサービスによって作成されたセキュリティ グループには、所有者による承認か自動承認かにかかわらず、すべてのユーザーが参加できます。 [MyApps グループのアクセス] パネルでは、グループを作成するときにメンバーシップ オプションを変更できます。
ユーザーにコラボレーションの機会を提供する Microsoft 365 グループは、SharePoint、Microsoft Teams、Planner などの任意の Microsoft 365 アプリケーションで作成できます。 Microsoft 365 グループはまた、Azure portal でも Azure AD PowerShell を使用して、または [MyApps Groups Access] (MyApps グループ アクセス) パネルから作成できます。 セキュリティ グループと Microsoft 365 グループの違いの詳細については、グループの詳細に関するページを参照してください。
| グループの作成場所 | セキュリティ グループの既定の動作 | Microsoft 365 グループの既定の動作 |
|---|---|---|
| Azure AD PowerShell | メンバーを追加できるのは所有者のみです [MyApp グループのアクセス] パネルに表示されますが、参加はできません |
すべてのユーザーが参加できます |
| Azure Portal | メンバーを追加できるのは所有者のみです [MyApps Groups Access] (MyApps グループ アクセス) パネルに表示されますが、参加はできません グループ 作成時に所有者は自動的に割り当てられません |
すべてのユーザーが参加できます |
| [MyApps グループのアクセス] パネル | すべてのユーザーが参加できます グループの作成時に、メンバーシップ オプションを変更できます |
すべてのユーザーが参加できます グループの作成時に、メンバーシップ オプションを変更できます |
セルフサービス グループ管理のシナリオ
- 委任されたグループ管理 例として、会社で使用している SaaS (サービスとしてのソフトウェア) アプリケーションへのアクセスを管理している管理者を考えてみます。 それらのアクセス権を管理する負担が大きくなってきたことから、この管理者はビジネス オーナーに依頼して新しいグループを作成してもらいます。 管理者はアプリケーションへのアクセス権を新しいグループに割り当て、既にアプリケーションにアクセスしているすべてのユーザーをそのグループに追加します。 これ以降はビジネス オーナーがユーザーをさらに追加できます。追加されたユーザーはアプリケーションへと自動的にプロビジョニングされます。 ビジネス オーナーは、管理者によるユーザーのアクセス管理が行われるまで待つ必要がありません。 この管理者が別のビジネス グループのマネージャーに同じアクセス許可を付与した場合、その人物も自分のグループ メンバーのアクセスを管理できるようになります。 ビジネス オーナーもマネージャーも、互いのグループ メンバーを表示または管理することはできません。 管理者は依然として、そのアプリケーションへのアクセス権を持ったすべてのユーザーを表示でき、必要に応じてアクセス権をブロックすることができます。
- グループ管理のセルフサービス化 たとえば、2 人のユーザーが別々に SharePoint Online サイトを設定しているとします。 この 2 人のユーザーは、自分のサイトへのアクセス権を互いのチームに付与しようとしています。 これを実現するには、Azure AD に 1 つのグループを作成し、SharePoint Online で両者がそのグループを選択して、それぞれのサイトへのアクセス権を付与します。 アクセスしたいユーザーは、[MyApps Groups Access] (MyApps グループ アクセス) パネルからそれを要求し、承認された後、両方の SharePoint Online サイトへのアクセス権を自動的に取得します。 後日、2 人のうち一方が、サイトにアクセスしているすべてのユーザーに、特定の SaaS アプリケーションへのアクセス権も付与することに決めたとします。 SaaS アプリケーションの管理者は、アプリケーションによる SharePoint Online サイトへのアクセス権を追加することができます。 それ以降は、承認されたすべての要求により、この 2 つの SharePoint Online サイトのほか、この SaaS アプリケーションへのアクセス権も付与されます。
グループをユーザーのセルフ サービスに使用できるようにする
Microsoft Entra 管理センターにグループ管理者以上でサインインします。
[Microsoft Entra ID (Azure AD)] を選択します。
[すべてのグループ]>[グループ] を選択したら、[全般] 設定を選択します。
Note
2024 年 6 月に、[自分のグループへのユーザー アクセス権を制限します] の設定は [自分のグループのセキュリティ グループを表示および編集するユーザー機能を制限します] に変更されます。設定が現在 [はい] に設定されている場合、エンド ユーザーは 2024 年 6 月に [自分のグループ] にアクセスできますが、セキュリティ グループは表示されません。
[所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] を [はい] に設定します。
[アクセス パネルのグループ機能にアクセスするユーザー機能を制限する] を [いいえ] に設定します。
[Users can create security groups in Azure portals, API or PowerShell](ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる) を [はい] または [いいえ] に設定します。
この変更の詳細については、次のセクション「グループ設定」を参照してください。
[Users can create Microsoft 365 groups in Azure portals, API or PowerShell](ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる) を [はい] または [いいえ] に設定します。
この変更の詳細については、次のセクション「グループ設定」を参照してください。
また、Azure portal でメンバーをグループの所有者として割り当てることができる所有者を使用して、ユーザーのセルフサービスのグループ管理よりも詳細なアクセス制御を実現することもできます。
ユーザーがグループを作成できる場合、自分の組織内のすべてのユーザーが、新しいグループを作成でき、既定の所有者としてそれらのグループにメンバーを追加できるようになります。 独自のグループを作成できる個人を指定することはできません。 個人を指定できるのは、別のグループ メンバーをグループの所有者にする場合のみです。
注意
ユーザーが セキュリティ グループまたは Microsoft 365 グループへの参加を要求したり、所有者がメンバーシップ要求を承認または拒否するように要求するには、Azure Active Directory Premium (P1 または P2) ライセンスが必要です。 Azure Active Directory Premium ライセンスがない場合でも、ユーザーは引き続き [MyApp グループのアクセス] パネルでグループを管理できますが、所有者の承認を必要とするグループを作成することはできず、グループへの参加を要求することもできません。
グループ設定
グループ設定を使用すると、だれがセキュリティ グループや Microsoft 365 グループを作成できるかを制御できます。
次の表は、選択する値を決定するのに役立ちます。
| 設定 | 値 | テナントへの影響 |
|---|---|---|
| ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる | はい | Azure AD 組織内のすべてのユーザーが、Azure portal、API、または PowerShell を使用して、新しいセキュリティ グループを作成し、それらのグループにメンバーを追加できます。 これらの新しいグループは、他のすべてのユーザーのアクセス パネルにも表示されるようになります。 グループのポリシー設定で許可されている場合、他のユーザーはこれらのグループへの参加要求を作成できます。 |
| いいえ | ユーザーは、セキュリティ グループを作成することも、所有している既存のグループを変更することもできません。 ただし、それらのグループのメンバーシップの管理と、他のユーザーからのグループへの参加要求の承認は、引き続き行うことができます。 | |
| ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる | はい | Azure AD 組織内のすべてのユーザーが、Azure portal、API、または PowerShell を使用して、新しい Microsoft 365 グループを作成し、それらのグループにメンバーを追加できます。 これらの新しいグループは、他のすべてのユーザーのアクセス パネルにも表示されるようになります。 グループのポリシー設定で許可されている場合、他のユーザーはこれらのグループへの参加要求を作成できます。 |
| いいえ | ユーザーは、Microsoft 365 グループを作成することも、所有している既存のグループを変更することもできません。 ただし、それらのグループのメンバーシップの管理と、他のユーザーからのグループへの参加要求の承認は、引き続き行うことができます。 |
これらのグループ設定に関する追加の詳細を示します。
- これらの設定は、有効になるまでに最大 15 分かかる場合があります。
- ユーザー全員ではなく一部のユーザーがグループを作成できるようにする場合は、グループを作成できるロール (グループ管理者など) をそれらのユーザーに割り当てることができます。
- これらの設定はユーザー向けであり、サービス プリンシパルには影響しません。 たとえば、グループを作成するアクセス許可を備えたサービス プリンシパルがある場合、これらの設定を [いいえ] に設定したとしても、サービス プリンシパルは引き続きグループを作成できます。
Microsoft Graph を使用してグループ設定を構成する
Microsoft Graph を使用して "ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる" の設定を構成するには、groupSettings オブジェクトの EnableGroupCreation オブジェクトを構成します。 詳細については、グループ設定の概要に関するページを参照してください。
Microsoft Graph を使用して "ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる" の設定を構成するには、authorizationPolicy オブジェクトの defaultUserRolePermissions の allowedToCreateSecurityGroups プロパティを更新します。
次のステップ
次の記事は、Azure Active Directory に関する追加情報を示します。