Microsoft Entra ID と Microsoft 365 のグループを使って外部アクセスをセキュリティで保護する

グループは、アクセス制御戦略の一部です。 Microsoft Entra セキュリティ グループおよび Microsoft 365 グループは、リソースへのアクセスをセキュリティで保護するための基礎として使用できます。 次のアクセス制御メカニズムにはグループを使用します。

• 条件付きアクセス ポリシー
  • 条件付きアクセスとは
• エンタイトルメント管理アクセス パッケージ
  • エンタイトルメント管理とは
• Microsoft 365 リソース、Microsoft Teams、SharePoint サイトへのアクセス

グループには、次のロールがあります。

• グループ所有者 - グループ設定とそのメンバーシップを管理します
• メンバー - グループに割り当てられたアクセス許可とアクセスを継承します
• ゲスト - 組織外部のメンバー

開始する前に

この記事は、10 個の記事のシリーズの 4 番めです。 記事を順番に確認することをお勧めします。 シリーズ全体を確認するには、[次のステップ] セクションに移動してください。

グループ戦略

リソースへの外部アクセスをセキュリティで保護するグループ戦略を開発するには、必要なセキュリティ体制を検討します。

詳細情報: 外部アクセスに対するセキュリティ体制を決定する

グループの作成

グループを作成するためのアクセス許可を付与するユーザー (管理者、従業員、または外部ユーザー) を決定します。 次のシナリオで考えてみましょう。

• テナント メンバーは、Microsoft Entra セキュリティ グループを作成できます
• 内部および外部のユーザーは、テナント内のグループに参加できる
• ユーザーは Microsoft 365 グループを作成できる
• Microsoft 365 グループを作成できるユーザーを管理する
  • PowerShell を使用してこの設定を構成します
• Microsoft Entra テナント内の一連のユーザーに Microsoft Entra アプリを制限する
• Microsoft Entra ID でのセルフサービス グループ管理の設定
• グループに関する問題のトラブルシューティングと解決

グループへの招待

グループ戦略の一環として、グループにユーザーを招待できるのは誰か、またはグループにユーザーを追加できるのは誰かを検討します。 グループのメンバーは他のメンバーを追加でき、グループ所有者はメンバーを追加できます。 誰を招待できるかを決定します。 既定では、外部ユーザーをグループに追加できます。

ユーザーをグループに割り当てる

ユーザーは、ユーザー オブジェクトのユーザー属性またはその他の基準に基づいて手動でグループに割り当てられます。 ユーザーは、ユーザーの属性に基づいて動的にグループに割り当てられます。 たとえば、次の属性に基づいてユーザーをグループに割り当てることができます。

• 役職または部署
• 所属するパートナー組織
  • 手動、または関係がある組織を通じて
• メンバーまたはゲストのユーザーの種類
• プロジェクトへの参加
  • 手動
• 場所

動的グループには、ユーザーまたはデバイスのいずれかが含まれますが、両方を含めることはできません。 ユーザーを動的グループに割り当てるには、ユーザー属性に基づくクエリを追加します。 次のスクリーンショットには、ユーザーが財務部門のメンバーである場合にユーザーをグループに追加するクエリがあります。

詳細情報: Microsoft Entra ID で動的グループを作成または更新する

グループを 1 つの機能に使用する

グループを使用する場合、それらの機能が単一であることが重要です。 リソースへのアクセスを許可するためにグループを使用する場合、それを別の目的で使用しないでください。 セキュリティ グループには、目的を明確にする名前付け規則を使用することをお勧めします。

• Secure_access_finance_apps
• Team_membership_finance_team
• Location_finance_building

グループの種類

Microsoft Entra セキュリティ グループおよび Microsoft 365 グループは両方とも、Azure ポータルまたは Microsoft 365 管理ポータルで作成できます。 外部アクセスをセキュリティで保護するには、次のいずれかのグループの種類を使用します。

考慮事項	手動および動的 Microsoft Entraセキュリティ グループ	Microsoft 365 グループ
グループのメンバー	ユーザー グループ サービス プリンシパル デバイス	ユーザーのみ
グループの作成場所	Azure portal Microsoft 365 ポータル (メールが有効になっている場合) PowerShell Microsoft Graph エンド ユーザーのポータル	Microsoft 365 ポータル Azure portal PowerShell Microsoft Graph Microsoft 365 アプリケーション内
既定の作成者	管理者 ユーザー	管理者 ユーザー
既定で追加されるユーザー	内部ユーザー (テナント メンバー) とゲスト ユーザー	テナント メンバーおよび組織からのゲスト
許可されるアクセス先	割り当てられているリソース。	グループ関連のリソース: (グループのメールボックス、サイト、チーム、チャット、その他の Microsoft 365 リソース) グループが追加されるその他のリソース
併用できるもの	条件付きアクセス エンタイトルメント管理 グループ ライセンス	条件付きアクセス エンタイトルメント管理 秘密度ラベル

注意

Team、それに関連付けられたサイトやコンテンツなどの一連の Microsoft 365 リソースを作成および管理するには、Microsoft 365 グループを使用します。

Microsoft Entra のセキュリティ グループ

Microsoft Entra セキュリティ グループには、ユーザーまたはデバイスを含めることができます。 これらのグループを使用して、次のものに対するアクセスを管理します。

• Azure リソース
  • Microsoft 365 アプリ
  • カスタム アプリ
  • サービスとしてのソフトウェア (SaaS) アプリ (Dropbox ServiceNow など)
• Azure のデータとサブスクリプション
• Azure サービス

Microsoft Entra セキュリティ グループを使用して割り当てます。

• サービスのライセンス
  • Microsoft 365
  • Dynamics 365
  • Enterprise Mobility + Security
  • 「Microsoft Entra ID でのグループベースのライセンスとは?」を参照してください
• 高度な権限
  • 「Microsoft Entra グループを使用してロールの割り当てを管理する」を参照してください

詳細情報:

• Microsoft Entra グループとグループメンバーシップの管理
• グループ管理用の Microsoft Entra バージョン 2 のコマンドレット。

Note

セキュリティ グループを使用して割り当てられるアプリケーションは、最大 1,500 です。

メールが有効なセキュリティ グループ

メールが有効なセキュリティ グループを作成するには、Microsoft 365 管理センターにアクセスします。 セキュリティ グループの作成時に、メールを有効にします。 後で有効にすることはできません。 Azure portal でグループを作成することはできません。

ハイブリッド組織と Microsoft Entra セキュリティ グループ

ハイブリッド組織には、オンプレミス用のインフラストラクチャと Microsoft Entra ID があります。 Active Directory を使用するハイブリッド組織では、セキュリティ グループをオンプレミスで作成し、それらをクラウドに同期させることができます。 このため、セキュリティ グループに追加できるのは、オンプレミス環境内のユーザーのみになります。

重要

オンプレミスのインフラストラクチャを侵害から保護してください。 「オンプレミスの攻撃から Microsoft 365 を保護する」を参照してください。

Microsoft 365 グループ

Microsoft 365 グループは、Microsoft 365 全体のアクセスを対象とするメンバーシップ サービスです。 これは、Azure portal、または Microsoft 365 管理センターから作成できます。 Microsoft 365 グループを作成する場合、コラボレーション用のリソース グループに対するアクセス権を付与します。

詳細情報:

• 管理者向け Microsoft 365 グループの概要
• Microsoft 365 管理センターでグループを作成する
• Microsoft Entra 管理センター
• Microsoft 365 管理センター

Microsoft 365 グループのロール

• グループ所有者
  • メンバーの追加または削除
  • 共有受信トレイから会話を削除する
  • グループ設定を変更する
  • グループの名前を変更する
  • 説明または画像を更新する
• [メンバー]
  • グループ内のすべてにアクセスする
  • グループ設定を変更できない
  • グループに参加するゲストを招待できる
  • Microsoft 365 グループでのゲスト アクセスを管理する
• ゲスト
  • 組織外のメンバーである
  • Teams の機能が多少制限される

Microsoft 365 グループの設定

電子メール エイリアス、プライバシー、Teams に対してグループを有効にするかどうかを選択します。

設定後、メンバーを追加し、メールの使用などの設定を構成します。

次のステップ

リソースへの外部アクセスのセキュリティ保護について詳しくは、次の記事シリーズを参照してください。 一覧表示されている順序に従うことをお勧めします。

1. Microsoft Entra ID を使用して外部アクセスに対するセキュリティ体制を決定する

2. 組織内での外部コラボレーションの現在の状態を検出する

3. リソースへの外部アクセスのセキュリティ プランを作成する

4. Microsoft Entra ID と Microsoft 365 のグループを使って外部アクセスをセキュリティで保護する (このページ)

5. Microsoft Entra B2B コラボレーションを使用して管理されたコラボレーションに移行する

6. Microsoft Entra エンタイトルメント管理を使って外部アクセスを管理する

7. 条件付きアクセス ポリシーを使用して、リソースへの外部アクセスを管理する

8. 秘密度ラベルを使って Microsoft Entra ID 内のリソースへの外部アクセスを制御する

9. Microsoft Entra ID を使用して Microsoft Teams、SharePoint、および OneDrive for Business への外部アクセスをセキュリティで保護する

10. ローカル ゲスト アカウントを Microsoft Entra B2B ゲスト アカウントに変換する