Azure Active Directory のグループとグループ メンバーシップを管理する

Azure Active Directory (Azure AD) グループは、制限されている可能性があるアプリやサービスなどのリソースに対して、アクセスとアクセス許可を全員同じにする必要があるユーザーを管理するために使われます。 個々のユーザーに特別なアクセス許可を追加するのではなく、グループを作成し、そのグループのすべてのメンバーにその特別なアクセス許可を適用します。

この記事では、1 つのリソースに 1 つのグループを追加し、ユーザーをそのグループのメンバーとして追加するという基本的なグループ シナリオについて説明します。 動的なメンバーシップやルールの作成など、より複雑なシナリオについては、「Azure Active Directory のユーザー管理のドキュメント」を参照してください。

グループとメンバーを追加する前に、グループ作成時に使うオプションを判断できるように、グループとメンバーシップの種類を確認してください

基本グループを作成してメンバーを追加する

Azure Active Directory (Azure AD) ポータルを使って、基本的なグループを作成し、同時にメンバーを追加することができます。 グループを管理できる Azure AD ロールには、グループ管理者ユーザー管理者特権ロール管理者全体管理者があります。 グループを管理できる適切な Azure AD ロールに関する記事を参照してください。

基本グループを作成してメンバーを追加するには、次の手順を実行します。

  1. Azure portal にサインインします。

  2. [Azure Active Directory]>[グループ]>[新しいグループ] に移動します。

    [Azure AD グループ] ページの [新しいグループ] オプションが強調表示されたスクリーンショット。

  3. [グループの種類] を選びます。 グループの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

    • [グループの種類] で [Microsoft 365] を選ぶと、[グループのメール アドレス] オプションが有効になります。
  4. [グループ名] を入力します。覚えやすく、グループにとって意味のある名前を選びます。 名前が既に使われているかどうかを判断するチェックが実行されます。 名前が既に使われている場合は、グループの名前を変更するように求められます。

  5. グループのメール アドレス: グループの種類が Microsoft 365 の場合にのみ使用できます。 メール アドレスを手動で入力するか、指定したグループ名から作成されたメール アドレスを使います。

  6. グループの説明。 任意で、グループに説明を追加します。

  7. このグループを使ってメンバーに Azure AD ロールを割り当てるには、[Azure AD roles can be assigned to the group] (Azure AD ロールをグループに割り当てることができる) 設定を [はい] に切り替えます。

  8. [メンバーシップの種類] を選びます。メンバーシップの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

  9. 必要に応じて、[所有者] または [メンバー] を追加します。 メンバーと所有者は、グループ作成後に追加できます。

    1. [所有者] または [メンバー] の下のリンクを選ぶと、ディレクトリ内の全ユーザーの一覧が表示されます。
    2. この一覧からユーザーを選び、ウィンドウの下部にある [選択] ボタンを選びます。

    グループの作成プロセスの間にグループのメンバーを選択するスクリーンショット。

  10. [作成] を選択します。 グループが作成され、メンバーを追加する準備ができました。

グループ ウェルカム メールをオフにする

新しい Microsoft 365 グループに追加されると、メンバーシップの種類に関係なく、すべてのユーザーに歓迎の通知が送信されます。 ユーザーまたはデバイスのいずれかの属性が変更されると、組織内のすべての動的グループ ルールが、潜在的なメンバーシップの変更のために処理されます。 追加されたユーザーは、ウェルカム通知も受け取ります。 この動作は、Exchange PowerShell を使用してオフにすることができます。

メンバーと所有者の追加または削除

メンバーと所有者を既存の Azure AD グループに追加すること、削除することができます。 メンバーと所有者のプロセスは同じです。 メンバーと所有者を追加および削除するには、グループ管理者またはユーザー管理者のロールが必要です。

一度に複数のメンバーを追加する必要がある場合は、 一括でメンバーを追加するオプションを参照してください。

グループのメンバーまたは所有者を追加する:

  1. Azure portal にサインインします。

  2. [Azure Active Directory]>[グループ] の順に移動します。

  3. 管理する必要があるグループを選びます。

  4. [メンバー] または [所有者] のいずれかを選びます。

    [メンバー] と [所有者] のメニュー オプションが強調表示されている [グループの概要] ページのスクリーンショット。

  5. [+ 追加] (メンバーまたは所有者) を選びます。

  6. リストをスクロールするか、検索ボックスに名前を入力します。 一度に複数の名前を選択できます。 準備ができたら、[選択] ボタンを選びます。

    [グループの概要] ページが更新され、グループに追加されたメンバー数が表示されるようになりました。

グループのメンバーまたは所有者を削除する:

  1. [Azure Active Directory]>[グループ] の順に移動します。

  2. 管理する必要があるグループを選びます。

  3. [メンバー] または [所有者] のいずれかを選びます。

  4. リストの名前の横にあるチェック ボックスをオンにして、[削除] ボタンを選びます。

    名前が選ばれ、[削除] ボタンが強調表示されたグループ メンバーのスクリーンショット。

グループ設定を編集する

Azure AD を使うと、グループの名前、説明、またはメンバーシップの種類を編集することができます。 グループの設定を編集するには、グループ管理者またはユーザー管理者のロールが必要です。

グループ設定を編集するには:

  1. Azure portal にサインインします。

  2. [Azure Active Directory]>[グループ] の順に移動します。 [グループ - すべてのグループ] ページが表示され、ご自分のアクティブなグループがすべて表示されます。

  3. リストをスクロールするか、検索ボックスにグループ名を入力します。 管理する必要があるグループを選びます。

  4. 左側のメニューで [プロパティ] を選択します。

    [プロパティ] メニュー オプションが強調表示された [グループの概要] ページのスクリーンショット。

  5. 必要に応じて、次のような [全般設定] の情報を更新します。

    • [グループ名]: 既存のグループ名を編集します。

    • グループの説明。 既存のグループの説明を編集します。

    • [グループの種類]。 グループの種類が作成されると、変更することはできません。 [グループの種類] を変更するには、グループを削除して、新しいグループを作成する必要があります。

    • [メンバーシップの種類]。 メンバーシップの種類を変更します。 [Azure AD roles can be assigned to the group] (Azure AD ロールをグループに割り当てることができる) オプションを有効にした場合、メンバーシップの種類を変更することはできません。 使用できるメンバーシップの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

    • オブジェクト ID オブジェクト ID は変更できませんが、コピーして PowerShell コマンドでグループに対して使用できます。 PowerShell コマンドレットの使用に関する詳細については、グループ設定の構成用の Azure Active Directory コマンドレットに関するページをご覧ください。

他のグループに対するメンバーの追加または削除

既存のセキュリティ グループを別のセキュリティ グループに追加して (入れ子になったグループとも呼ばれます)、メンバー グループ (サブグループ) と親グループを作成します。 メンバー グループには親グループの属性とプロパティが継承され、構成時間を節約できます。 グループ メンバーシップを編集するには、グループ管理者またはユーザー管理者のロールが必要です。

現在、次のことはサポートされていません。

  • オンプレミスの Active Directory と同期されたグループへのグループの追加。
  • Microsoft 365 グループへのセキュリティ グループの追加。
  • セキュリティ グループまたはその他の Microsoft 365 グループへの Microsoft 365 グループの追加。
  • 入れ子になったグループへのアプリの割り当て。
  • 入れ子になったグループへのライセンスの適用。
  • 入れ子のシナリオでの配布グループの追加。
  • メールが有効化されているセキュリティ グループのメンバーとしてのセキュリティ グループの追加。
  • ロール割り当て可能なグループのメンバーとしてグループを追加する。

グループを別のグループに追加する

  1. Azure portal にサインインします。

  2. [Azure Active Directory]>[グループ] の順に移動します。

  3. [グループ - すべてのグループ] ページで、別のグループのメンバーになるグループを検索して選びます。

    注意

    自分のグループを他のグループのメンバーとして追加できるのは、一度に 1 つのみです。 [グループの選択] 検索ボックスでは、ワイルドカード文字はサポートされていません。

  4. グループの [概要] ページで、サイド メニューから [グループ メンバーシップ] を選びます。

  5. [+ メンバーシップの追加] を選びます。

  6. 自分のグループをメンバーにするグループを見つけて [選択] を選びます。

    この演習では、"MDM policy - All org" グループに "MDM policy - West" を追加するので、"MDM - policy - West" は "MDM policy - All org" グループのすべてのプロパティと構成を継承します。

    グループを他のグループのメンバーにするスクリーンショット。サイド メニューの [グループ メンバーシップ] と [メンバーシップの追加] オプションが強調表示されています。

[MDM policy - West - グループ メンバーシップ] ページを表示して、グループとメンバーのリレーションシップを確認できるようになります。

グループとメンバーのリレーションシップの詳細な表示については、親グループ名 (MDM policy - All org) を選び、[MDM policy - West] ページの詳細を確認します。

別のグループからグループを削除する

既存のセキュリティ グループを別のセキュリティ グループから削除できます。ただし、グループを削除すると、そのメンバーに継承された属性とプロパティも削除されます。

  1. [グループ - すべてのグループ] ページで、別のグループのメンバーとして削除する必要があるグループを検索して選びます。

  2. グループの [概要] ページで、[グループ メンバーシップ] を選びます。

  3. [グループ メンバーシップ] ページから親グループを選びます。

  4. [削除] を選択します。

    この演習では、"MDM policy - All org" グループから "MDM policy - West" を削除します。

    [グループ メンバーシップ] ページのスクリーンショット。メンバーとグループの詳細が表示され、[メンバーシップの削除] オプションが強調表示されています。

グループを削除する

Azure AD グループはさまざまな理由で削除できますが、通常は次のために行います。

  • 正しくない [グループの種類] オプションを選んだ。

  • 間違って重複したグループを作成した。

  • グループが不要になった。

グループを削除するには、グループ管理者またはユーザー管理者のロールが必要です。

  1. Azure portal にサインインします。

  2. [Azure Active Directory]>[グループ] の順に移動します。

  3. 削除するグループを検索して選びます。

  4. [削除] を選択します。

    このグループは、Azure Active Directory テナントから削除されます。

次のステップ