Azure Active Directory のグループとアクセス権の詳細

Azure Active Directory (Azure AD) には、リソース、アプリケーション、タスクへのアクセスを管理する方法がいくつか用意されています。 Azure AD グループを使うと、個々のユーザーではなく、ユーザーのグループに対してアクセスとアクセス許可を付与できます。 アクセスを必要とするユーザーのみに Azure AD リソースへのアクセスを制限することは、ゼロ トラストの中核的なセキュリティ原則の 1 つです。 この記事では、グループとアクセス権を併用して Azure AD ユーザーの管理を簡単にすると同時に、セキュリティのベスト プラクティスを適用する方法について概要を説明します。

Azure AD では、グループを使って、アプリケーション、データ、リソースに対するアクセスを管理することができます。 次のリソースがあります。

  • Azure AD の組織の一部 (たとえば、Azure AD のロールを通じてオブジェクトを管理するアクセス許可)
  • 組織の外部にあるもの (たとえば、サービスとしてのソフトウェア (SaaS) アプリ)
  • Azure サービス
  • SharePoint サイト
  • オンプレミスのリソース

一部のグループは、Azure AD ポータルで管理できません。

  • オンプレミスの Active Directory から同期されたグループは、オンプレミスの Active Directory でのみ管理できます。
  • 配布リストやメールが有効なセキュリティ グループは、Exchange 管理センターまたは Microsoft 365 管理センターでのみ管理されます。 これらのグループを管理するには、Exchange 管理センターまたは Microsoft 365 管理センターにサインインする必要があります。

グループを作成する前に知っておくべきこと

2 種類のグループと 3 種類のグループ メンバーシップがあります。 オプションを確認して、実際のシナリオに適した組み合わせを見つけてください。

グループの種類:

セキュリティ: 共有リソースに対するユーザーとコンピューターのアクセスを管理するために使います。

たとえば、セキュリティ グループを作成し、グループの全メンバーに同じセキュリティ アクセス許可セットが付与されるようにすることができます。 セキュリティ グループのメンバーには、ユーザー、デバイス、他のグループ、サービス プリンシパルを含めることができます。これにより、アクセス ポリシーとアクセス許可を定義します。 セキュリティ グループ所有者には、ユーザーとサービス プリンシパルを含めることができます。

Microsoft 365: 共有メールボックス、カレンダー、ファイル、SharePoint サイトなどへのアクセス権をグループ メンバーに付与することで、共同作業の機会を提供します。

また、このオプションでは、組織外のユーザーにグループへのアクセス権を付与することもできます。 Microsoft 365 グループのメンバーには、ユーザーのみを含めることができます。 Microsoft 365 グループ所有者には、ユーザーとサービス プリンシパルを含めることができます。 Microsoft 365 グループの詳細については、「Microsoft 365 グループの概要」を参照してください。

メンバーシップの種類:

  • 割り当て済み: 特定のユーザーをグループのメンバーとして追加し、固有のアクセス許可を付与することができます。

  • 動的ユーザー: 動的メンバーシップ ルールを使用して、メンバーを自動的に追加および削除できます。 メンバーの属性が変更されると、システムは、ディレクトリの動的なグループ ルールを確認して、そのメンバーがルール要件を満たしているか (追加される)、またはルール要件を満たさなくなったか (削除される) を判定します。

  • 動的デバイス: 動的なグループ ルールを使用して、自動的にデバイスを追加および削除できます。 デバイスの属性が変更されると、システムは、ディレクトリの動的なグループ ルールを確認して、そのデバイスがルール要件を満たしているか (追加される)、またはルール要件を満たさなくなったか (削除される) を判定します。

    重要

    デバイスまたはユーザーのどちらかに対して動的グループを作成することは可能ですが、両方に対して作成することはできません。 デバイス所有者の属性に基づいてデバイス グループを作成することはできません。 デバイス メンバーシップ ルールで参照できるのは、デバイスの属性のみです。 ユーザーとデバイスの動的グループの作成に関する詳細については、動的グループの作成と状態チェックを行うに関する記事をご覧ください。

グループにアクセス権を追加する前に知っておくべきこと

Azure AD グループを作成したら、適切なアクセスを付与する必要があります。 アクセス許可を必要とするアプリケーション、リソース、サービスは個別に管理する必要があります。これは、それぞれのアクセス許可が同じでない場合があるからです。 最小限の特権の原則を使ってアクセスを付与することで、攻撃やセキュリティ侵害のリスクを軽減することができます。

Azure AD でのアクセス管理のしくみ

Azure AD では、1 人のユーザーまたは Azure AD のグループ全体にアクセス権を提供することで、組織のリソースに対するアクセスをより容易に付与できるようにしています。 リソース所有者または Azure AD ディレクトリ所有者は、グループを使ってグループのすべてのメンバーにアクセス許可セットを割り当てることができます。 リソースまたはディレクトリの所有者は、管理権限を、部門のマネージャーやヘルプ デスクの管理者などの他のユーザーに付与し、そのユーザーがメンバーの追加と削除を行えるようにすることもできます。 グループ所有者を管理する方法の詳細については、グループの管理に関する記事を参照してください。

Azure Active Directory のアクセス管理の図。

アクセス権を割り当てる方法

グループを作成したら、アクセス権の割り当て方法を決定する必要があります。 アクセス権を割り当てる方法を検討し、シナリオの最適なプロセスを決定します。

  • 直接割り当て。 リソース所有者は、ユーザーをリソースに直接割り当てます。

  • グループの割り当て。 リソース所有者は、Azure AD グループをリソースに割り当てます。これにより、グループ メンバー全員に、リソースへのアクセスが自動的に与えられます。 グループのメンバーシップは、グループ所有者とリソース所有者の両方によって管理され、どちらの所有者も、グループに対するメンバーの追加または削除を行えるようになります。 グループ メンバーシップの管理の詳細については、グループの管理に関する記事を参照してください。

  • ルール ベースの割り当て。 リソース所有者は、グループを作成し、ルールを使用して、特定のリソースにどのユーザーが割り当てられるかを定義します。 ルールは、個々のユーザーに割り当てられている属性に基づきます。 リソース所有者は、リソースへのアクセスを許可するためにはどの属性と値が必要であるかを判断し、ルールを管理します。 詳細については、「動的グループの作成と状態チェックを行う」を参照してください。

  • 外部機関の割り当て。 アクセス権は、オンプレミスのディレクトリや SaaS アプリなど、外部のソースから付与されます。 この状況においては、リソース所有者がリソースへのアクセス権を提供するためのグループを割り当ててから、外部ソースがグループのメンバーを管理します。

    アクセス管理の概要図。

ユーザーは、割り当てられることなくグループに参加できるのでしょうか。

グループ所有者は、ユーザーの割り当てを行う代わりに、参加する自分のグループをユーザーに見つけさせることができます。 所有者は、参加するユーザー全員を自動的に受け入れるようにも、承認を要求するようにもグループを設定できます。

ユーザーがグループへの参加を要求した後、要求はグループ所有者に転送されます。 それが必須の場合、所有者は要求を承認することができ、そのユーザーにグループ メンバーシップが通知されます。 複数の所有者がいて、いずれかが承認しなかった場合、ユーザーに通知はされますが、グループには追加されません。 ユーザーがグループへの参加を要求できるようにする方法の詳細と手順については、ユーザーがグループへの参加を要求できるように Azure AD を設定する方法に関する記事を参照してください。

次のステップ