Microsoft Entra グループとグループ メンバーシップを管理する

Microsoft Entra グループは、制限されている可能性があるアプリやサービスなどのリソースに対して、アクセスとアクセス許可を全員同じにする必要があるユーザーを管理するために使われます。 個々のユーザーに特別なアクセス許可を追加するのではなく、グループを作成し、そのグループのすべてのメンバーにその特別なアクセス許可を適用します。

この記事では、1 つのリソースに 1 つのグループを追加し、ユーザーをそのグループのメンバーとして追加するという基本的なグループ シナリオについて説明します。 動的メンバーシップ グループやルールの作成などのより複雑なシナリオについては、 Microsoft Entra ユーザー管理のドキュメントを参照してください。

グループとメンバーを追加する前に、 グループとメンバーシップの種類について学習 し、グループの作成時に使用するオプションを決定するのに役立ちます。

前提条件

Microsoft Entra でグループを管理するには、次の前提条件が必要です。

• グループ メンバーシップの設定を管理するには、ユーザー管理者またはグループ管理者ロールが必要です。

• Azure サブスクリプション。 お持ちでない場合は、 無料アカウントを作成してください。

• Microsoft Entra テナントへのアクセス。 詳細については、「 新しいテナントの作成」を参照してください。

基本グループを作成してメンバーを追加する

Microsoft Entra 管理センターを使用し、基本的なグループを作成し、同時にメンバーを追加できます。 グループを作成するには、少なくとも グループ管理者 ロールまたは ユーザー管理者 ロールが割り当てられている必要があります。 グループを 管理するための適切な Microsoft Entra ロールを確認します。

基本グループを作成してメンバーを追加するには、次の手順を実行します。

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. [ 新しいグループ] を選択します。

   

4. グループの 種類を選択します。 グループの種類の詳細については、 グループとメンバーシップの種類に関する 記事を参照してください。

   • Microsoft 365 グループの種類を選択すると、[グループの電子メール アドレス] オプションが有効になります。

5. グループ名を入力します。覚えておく名前を選び、グループにとって意味のある名前を選びます。 名前が既に使われているかどうかを判断するチェックが実行されます。 名前が既に使われている場合は、グループの名前を変更するように求められます。

   • グループの名前をスペースで始めることはできません。 名前をスペースで開始すると、グループ メンバーにロールの割り当てを追加するなどの手順のオプションとしてグループが表示されなくなります。

6. グループの電子メール アドレス: Microsoft 365 グループの種類でのみ使用できます。 メール アドレスを手動で入力するか、指定したグループ名から作成されたメール アドレスを使います。

7. グループの説明。 任意で、グループに説明を追加します。

8. このグループを使用して Microsoft Entra ロールをメンバーに割り当てるには、グループ設定に Microsoft Entra ロールを割り当てることができます。

   • このオプションは、P1 または P2 ライセンスでのみ使用できます。
   • 少なくとも 特権ロール管理者 ロールが必要です。
   • このオプションを有効にすると、[メンバーシップの種類] として [ 割り当て済み ] が自動的に選択されます。
   • グループの作成時にロールを追加する機能がこのプロセスに追加されます。
   • ロール割り当て可能なグループの詳細を確認します。

9. メンバーシップの種類を選択 します。 メンバーシップの種類の詳細については、 グループとメンバーシップの種類に関する記事を参照 してください。

10. 必要に応じて 、所有者 またはメンバーを追加 します。 メンバーと所有者は、グループ作成後に追加できます。

    1. [ 所有者 ] または [ メンバー] の下にあるリンクを選択して、ディレクトリ内のすべてのユーザーの一覧を設定します。
    2. 一覧からユーザーを選択し、ウィンドウの下部にある [選択 ] ボタンを選択します。

    

11. [ 作成] を選択します。 グループが作成され、メンバーを追加する準備ができました。

    グループ ウェルカム メールをオフにする

    新しい Microsoft 365 グループに追加されると、メンバーシップの種類に関係なく、すべてのユーザーにウェルカム通知が送信されます。 ユーザーまたはデバイスの属性が変更されると、組織内のすべての動的メンバーシップ グループのルールが、メンバーシップ変更の可能性のために処理されます。 追加されたユーザーは、ウェルカム通知も受け取ります。 Exchange PowerShell でこの動作を無効にすることができます。

グループのメンバーまたは所有者を追加する

メンバーと所有者は、既存のグループから追加できます。 メンバーと所有者のプロセスは同じです。 メンバーと所有者を追加するには、 グループ管理者 または ユーザー管理者 ロールが必要です。

注

一度に複数のメンバーを追加する必要がある場合は、 一括メンバーの追加オプションについて説明します。

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. 管理する必要があるグループを選びます。

4. [メンバー] または [所有者] を選択します。

   

5. [ + 追加] (メンバーまたは所有者) を選択します。

6. リストをスクロールするか、検索ボックスに名前を入力します。 一度に複数の名前を選択できます。 準備ができたら、[選択] ボタンを 選択 します。

   [グループの概要] ページが更新され、グループに追加されたメンバーの数が表示されます。

グループのメンバーまたは所有者を削除する

メンバーと所有者は、既存のグループから削除できます。 メンバーと所有者のプロセスは同じです。 メンバーと所有者を削除するには、 グループ管理者 または ユーザー管理者 ロールが必要です。

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. 管理する必要があるグループを選びます。

4. [メンバー] または [所有者] を選択します。

5. リストの名前の横にあるチェック ボックスをオンにし、[ 削除 ] ボタンを選択します。

   

グループ設定を編集する

グループの名前、説明、またはメンバーシップの種類を編集できます。 グループの設定を編集するには、 グループ管理者 または ユーザー管理者 ロールが必要です。

グループ設定を編集するには:

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. リストをスクロールするか、検索ボックスにグループ名を入力します。 管理する必要があるグループを選びます。

4. サイド メニューから [プロパティ] を選択します。

5. 必要に応じて、 次のような全般設定 情報を更新します。

   • [グループ名]: 既存のグループ名を編集します。

   • グループの説明。 既存のグループの説明を編集します。

   • [グループの種類]。 グループの種類が作成されると、変更することはできません。 グループの種類を変更するには、グループを削除し、新しいグループを作成する必要があります。

   • [メンバーシップの種類]。 メンバーシップの種類を変更します。 Microsoft Entra ロールを有効にした場合は、グループ オプションに割り当てることができます。メンバーシップの種類を変更することはできません。 使用可能なメンバーシップの種類の詳細については、 グループとメンバーシップの種類に関する記事を 参照してください。

   • オブジェクト ID オブジェクト ID は変更できませんが、コピーして PowerShell コマンドでグループに対して使用できます。 PowerShell コマンドレットの使用方法の詳細については、 グループ設定を構成するための Microsoft Entra コマンドレットを参照してください。

グループを別のグループに追加する

セキュリティ グループの場合、既存のグループを別のグループに追加することができます (入れ子グループとも呼ばれます)。 グループ メンバーシップの種類に応じて、別のグループのメンバーとしてグループを追加できます。 入れ子になったグループは、メンバーシップスコープと条件付きアクセス スコープに使用できます。 入れ子になったグループは、親グループに割り当てられている共有リソースとアプリケーションにアクセスできません。

現在、次のことはサポートされていません。

• オンプレミスの Active Directory と同期されたグループへのグループの追加。
• Microsoft 365 グループへのセキュリティ グループの追加。
• セキュリティ グループまたはその他の Microsoft 365 グループへの Microsoft 365 グループの追加。
• 入れ子セキュリティ グループの共有リソースとアプリに割り当てられたメンバーシップ。
• 入れ子セキュリティ グループへのライセンスの適用。
• 入れ子のシナリオでの配布グループの追加。
• メールが有効化されているセキュリティ グループのメンバーとしてのセキュリティ グループの追加。
• ロール割り当て可能なグループのメンバーとしてグループを追加する。

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. [ すべてのグループ ] ページで、別のグループのメンバーにするグループを検索して選択します。

   注

   自分のグループを他のグループのメンバーとして追加できるのは、一度に 1 つのみです。 ワイルドカード文字は、[ グループの選択 ] 検索ボックスではサポートされていません。

4. [グループの概要] ページで、サイド メニューから [ グループ メンバーシップ ] を選択します。

5. [ + メンバーシップの追加] を選択します。

6. グループをメンバーにするグループを見つけて、[選択] を 選択します。

   この演習では、"MDM policy - West" を "MDM policy - All org" グループに追加します。 "MDM - policy - West" グループには、"MDM policy - All org" グループと同じアクセス権があります。

   

   [MDM policy - West - グループ メンバーシップ] ページを表示して、グループとメンバーのリレーションシップを確認できるようになります。

   グループとメンバーのリレーションシップの詳細な表示については、親グループ名 (MDM policy - All org) を選び、[MDM policy - West] ページの詳細を確認します。

別のグループからグループを削除する

既存のセキュリティ グループを別のセキュリティ グループから削除できます。ただし、グループを削除すると、そのメンバーに継承されたアクセス権も削除されます。

1. [ すべてのグループ ] ページで、別のグループのメンバーとして削除する必要があるグループを検索して選択します。

2. [グループの概要] ページで、[ グループ メンバーシップ] を選択します。

3. [グループ メンバーシップ] ページから親 グループを 選択します。

4. [ 削除] を選択します。

   この演習では、"MDM policy - All org" グループから "MDM policy - West" を削除します。

   

グループを削除する

グループはさまざまな理由で削除されますが、通常は次のために行います。

• 正しくない [グループの種類 ] オプションを選択します。
• 間違って重複したグループを作成した。
• グループが不要になった。

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. 削除するグループを検索して選びます。

4. [ 削除] を選択します。

関連するコンテンツ

• グループおよびグループへのアクセス権の割り当ての詳細
• セルフサービス用にグループを設定する
• PowerShell コマンドを使用してグループを管理する

Microsoft Entra グループは、制限されている可能性があるアプリやサービスなどのリソースに対して、アクセスとアクセス許可を全員同じにする必要があるユーザーを管理するために使われます。 個々のユーザーに特別なアクセス許可を追加するのではなく、グループを作成し、そのグループのすべてのメンバーにその特別なアクセス許可を適用します。

この記事では、1 つのリソースに 1 つのグループを追加し、ユーザーをそのグループのメンバーとして追加するという基本的なグループ シナリオについて説明します。 動的メンバーシップ グループやルールの作成などのより複雑なシナリオについては、 Microsoft Entra ユーザー管理のドキュメントを参照してください。

グループとメンバーを追加する前に、 グループとメンバーシップの種類について学習 し、グループの作成時に使用するオプションを決定するのに役立ちます。

Microsoft Entra でグループを管理するには、次の前提条件が必要です。

• グループ メンバーシップの設定を管理するには、ユーザー管理者またはグループ管理者ロールが必要です。

• Azure サブスクリプション。 お持ちでない場合は、 無料アカウントを作成してください。

• Microsoft Entra テナントへのアクセス。 詳細については、「 新しいテナントの作成」を参照してください。

Microsoft Entra 管理センターを使用し、基本的なグループを作成し、同時にメンバーを追加できます。 グループを作成するには、少なくとも グループ管理者 ロールまたは ユーザー管理者 ロールが割り当てられている必要があります。 グループを 管理するための適切な Microsoft Entra ロールを確認します。

基本グループを作成してメンバーを追加するには、次の手順を実行します。

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. [ 新しいグループ] を選択します。

   

4. グループの 種類を選択します。 グループの種類の詳細については、 グループとメンバーシップの種類に関する 記事を参照してください。

   • Microsoft 365 グループの種類を選択すると、[グループの電子メール アドレス] オプションが有効になります。

5. グループ名を入力します。覚えておく名前を選び、グループにとって意味のある名前を選びます。 名前が既に使われているかどうかを判断するチェックが実行されます。 名前が既に使われている場合は、グループの名前を変更するように求められます。

   • グループの名前をスペースで始めることはできません。 名前をスペースで開始すると、グループ メンバーにロールの割り当てを追加するなどの手順のオプションとしてグループが表示されなくなります。

6. グループの電子メール アドレス: Microsoft 365 グループの種類でのみ使用できます。 メール アドレスを手動で入力するか、指定したグループ名から作成されたメール アドレスを使います。

7. グループの説明。 任意で、グループに説明を追加します。

8. このグループを使用して Microsoft Entra ロールをメンバーに割り当てるには、グループ設定に Microsoft Entra ロールを割り当てることができます。

   • このオプションは、P1 または P2 ライセンスでのみ使用できます。
   • 少なくとも 特権ロール管理者 ロールが必要です。
   • このオプションを有効にすると、[メンバーシップの種類] として [ 割り当て済み ] が自動的に選択されます。
   • グループの作成時にロールを追加する機能がこのプロセスに追加されます。
   • ロール割り当て可能なグループの詳細を確認します。

9. メンバーシップの種類を選択 します。 メンバーシップの種類の詳細については、 グループとメンバーシップの種類に関する記事を参照 してください。

10. 必要に応じて 、所有者 またはメンバーを追加 します。 メンバーと所有者は、グループ作成後に追加できます。

    1. [ 所有者 ] または [ メンバー] の下にあるリンクを選択して、ディレクトリ内のすべてのユーザーの一覧を設定します。
    2. 一覧からユーザーを選択し、ウィンドウの下部にある [選択 ] ボタンを選択します。

    

11. [ 作成] を選択します。 グループが作成され、メンバーを追加する準備ができました。

    グループ ウェルカム メールをオフにする

    新しい Microsoft 365 グループに追加されると、メンバーシップの種類に関係なく、すべてのユーザーにウェルカム通知が送信されます。 ユーザーまたはデバイスの属性が変更されると、組織内のすべての動的メンバーシップ グループのルールが、メンバーシップ変更の可能性のために処理されます。 追加されたユーザーは、ウェルカム通知も受け取ります。 Exchange PowerShell でこの動作を無効にすることができます。

メンバーと所有者は、既存のグループから追加できます。 メンバーと所有者のプロセスは同じです。 メンバーと所有者を追加するには、 グループ管理者 または ユーザー管理者 ロールが必要です。

注

一度に複数のメンバーを追加する必要がある場合は、 一括メンバーの追加オプションについて説明します。

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. 管理する必要があるグループを選びます。

4. [メンバー] または [所有者] を選択します。

   

5. [ + 追加] (メンバーまたは所有者) を選択します。

6. リストをスクロールするか、検索ボックスに名前を入力します。 一度に複数の名前を選択できます。 準備ができたら、[選択] ボタンを 選択 します。

   [グループの概要] ページが更新され、グループに追加されたメンバーの数が表示されます。

メンバーと所有者は、既存のグループから削除できます。 メンバーと所有者のプロセスは同じです。 メンバーと所有者を削除するには、 グループ管理者 または ユーザー管理者 ロールが必要です。

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. 管理する必要があるグループを選びます。

4. [メンバー] または [所有者] を選択します。

5. リストの名前の横にあるチェック ボックスをオンにし、[ 削除 ] ボタンを選択します。

   

グループの名前、説明、またはメンバーシップの種類を編集できます。 グループの設定を編集するには、 グループ管理者 または ユーザー管理者 ロールが必要です。

グループ設定を編集するには:

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. リストをスクロールするか、検索ボックスにグループ名を入力します。 管理する必要があるグループを選びます。

4. サイド メニューから [プロパティ] を選択します。

5. 必要に応じて、 次のような全般設定 情報を更新します。

   • [グループ名]: 既存のグループ名を編集します。

   • グループの説明。 既存のグループの説明を編集します。

   • [グループの種類]。 グループの種類が作成されると、変更することはできません。 グループの種類を変更するには、グループを削除し、新しいグループを作成する必要があります。

   • [メンバーシップの種類]。 メンバーシップの種類を変更します。 Microsoft Entra ロールを有効にした場合は、グループ オプションに割り当てることができます。メンバーシップの種類を変更することはできません。 使用可能なメンバーシップの種類の詳細については、 グループとメンバーシップの種類に関する記事を 参照してください。

   • オブジェクト ID オブジェクト ID は変更できませんが、コピーして PowerShell コマンドでグループに対して使用できます。 PowerShell コマンドレットの使用方法の詳細については、 グループ設定を構成するための Microsoft Entra コマンドレットを参照してください。

セキュリティ グループの場合、既存のグループを別のグループに追加することができます (入れ子グループとも呼ばれます)。 グループ メンバーシップの種類に応じて、別のグループのメンバーとしてグループを追加できます。 入れ子になったグループは、メンバーシップスコープと条件付きアクセス スコープに使用できます。 入れ子になったグループは、親グループに割り当てられている共有リソースとアプリケーションにアクセスできません。

現在、次のことはサポートされていません。

• オンプレミスの Active Directory と同期されたグループへのグループの追加。
• Microsoft 365 グループへのセキュリティ グループの追加。
• セキュリティ グループまたはその他の Microsoft 365 グループへの Microsoft 365 グループの追加。
• 入れ子セキュリティ グループの共有リソースとアプリに割り当てられたメンバーシップ。
• 入れ子セキュリティ グループへのライセンスの適用。
• 入れ子のシナリオでの配布グループの追加。
• メールが有効化されているセキュリティ グループのメンバーとしてのセキュリティ グループの追加。
• ロール割り当て可能なグループのメンバーとしてグループを追加する。

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. [ すべてのグループ ] ページで、別のグループのメンバーにするグループを検索して選択します。

   注

   自分のグループを他のグループのメンバーとして追加できるのは、一度に 1 つのみです。 ワイルドカード文字は、[ グループの選択 ] 検索ボックスではサポートされていません。

4. [グループの概要] ページで、サイド メニューから [ グループ メンバーシップ ] を選択します。

5. [ + メンバーシップの追加] を選択します。

6. グループをメンバーにするグループを見つけて、[選択] を 選択します。

   この演習では、"MDM policy - West" を "MDM policy - All org" グループに追加します。 "MDM - policy - West" グループには、"MDM policy - All org" グループと同じアクセス権があります。

   

   [MDM policy - West - グループ メンバーシップ] ページを表示して、グループとメンバーのリレーションシップを確認できるようになります。

   グループとメンバーのリレーションシップの詳細な表示については、親グループ名 (MDM policy - All org) を選び、[MDM policy - West] ページの詳細を確認します。

既存のセキュリティ グループを別のセキュリティ グループから削除できます。ただし、グループを削除すると、そのメンバーに継承されたアクセス権も削除されます。

1. [ すべてのグループ ] ページで、別のグループのメンバーとして削除する必要があるグループを検索して選択します。

2. [グループの概要] ページで、[ グループ メンバーシップ] を選択します。

3. [グループ メンバーシップ] ページから親 グループを 選択します。

4. [ 削除] を選択します。

   この演習では、"MDM policy - All org" グループから "MDM policy - West" を削除します。

   

グループはさまざまな理由で削除されますが、通常は次のために行います。

• 正しくない [グループの種類 ] オプションを選択します。
• 間違って重複したグループを作成した。
• グループが不要になった。

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. Entra ID>Groups>All groups に移動します。

3. 削除するグループを検索して選びます。

4. [ 削除] を選択します。