ユーザー、グループ、またはデバイスを管理単位に追加する

Microsoft Entra ID で、管理単位にユーザー、グループ、またはデバイスを追加して、ロールのアクセス許可の範囲を制限できます。 管理単位にグループを追加すると、グループ自体は管理単位の管理スコープに入りますが、グループのメンバー には含まれません 。 スコープ管理者が実行できる操作の詳細については、「 Microsoft Entra ID の管理単位」を参照してください。

この記事では、ユーザー、グループ、またはデバイスを手動で管理単位に追加する方法について説明します。 ルールを使用してユーザーまたはデバイスを管理単位に動的に追加する方法については、「動的メンバーシップ グループの規則を使用して 管理単位のユーザーまたはデバイスを管理する」を参照してください。

前提条件

• 管理単位の各管理者ごとに Microsoft Entra ID P1 または P2 ライセンス
• 管理単位メンバーに対する Microsoft Entra ID Free ライセンス
• 既存のユーザー、グループ、またはデバイスを追加するには:
  • 特権ロール管理者
• 新しいグループを作成するには:
  • グループ管理者 (管理単位またはディレクトリ全体を対象とする)
• Microsoft Graph PowerShell モジュール は、PowerShell を使用する場合に使用されます。
• 管理者の同意 (Microsoft Graph API の Graph エクスプローラーを使用する場合)

詳細については、「powerShell または Graph Explorerを使用するための 前提条件」を参照してください。

管理センター

Microsoft Entra 管理センターを使用して、ユーザー、グループ、またはデバイスを管理単位に追加できます。 管理単位には、一括操作でユーザーを追加したり、新しいグループを作成したりすることもできます。

管理単位に単一のユーザー、グループ、またはデバイスを追加する

1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。

2. Entra ID に移動します。

3. 次のいずれかに移動します。

   • ユーザー>すべてのユーザー
   • グループ>すべてのグループ
   • デバイス>すべてのデバイス

4. 管理単位に追加するユーザー、グループ、またはデバイスを選択します。

5. [ 管理単位] を選択します。

6. 管理単位に割り当てるを選択します。

7. [ 選択 ] ウィンドウで、管理単位を選択し、[ 選択] を選択します。

   

ユーザー、グループ、またはデバイスを 1 つの管理単位に追加する

1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。

2. [Entra ID]>[ロールと管理者]>[管理単位] に移動します。

3. ユーザー、グループ、またはデバイスを追加する先の管理単位を選択します。

4. 次のいずれかを選択してください。

   • ユーザー
   • グループ
   • デバイス

5. [ メンバーの追加]、[ 追加]、または [デバイスの追加] を選択します。

6. [選択] ウィンドウで、管理単位に追加するユーザー、グループ、またはデバイスを選択し、[選択] を選択します。

   

一括操作で管理単位にユーザーを追加する

1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。

2. [Entra ID]>[ロールと管理者]>[管理単位] に移動します。

3. ユーザーを追加する先の管理単位を選択します。

4. Users>一括操作>メンバーを一括追加 を選択します。

   

5. [ メンバーの一括追加 ] ウィンドウで、コンマ区切り値 (CSV) テンプレートをダウンロードします。

6. ダウンロードした CSV テンプレートを編集して、追加するユーザーの一覧を加えます。

   各行に 1 つのユーザー プリンシパル名 (UPN) を追加します。 テンプレートの最初の 2 行は削除しないでください。

7. 変更内容を保存し、CSV ファイルをアップロードします。

   

8. [ 送信] を選択します。

管理単位に新しいグループを作成する

1. Microsoft Entra 管理センターに、少なくともグループ管理者としてサインインします。

2. [Entra ID]>[ロールと管理者]>[管理単位] に移動します。

3. 新しいグループを作成する先の管理単位を選びます。

4. [グループ] を選択します。

5. [ 新しいグループ ] を選択し、新しいグループを作成する手順を完了します。

   

PowerShell

New-MgDirectoryAdministrativeUnitMemberByRef コマンドを使用して、ユーザー、グループ、またはデバイスを管理単位に追加するか、管理単位に新しいグループを作成します。

管理単位にユーザー追加する

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

管理単位にグループを追加する

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

管理単位にデバイスを追加する

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

管理単位に新しいグループを作成する

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

Graph API

メンバーの 追加 API を使用して、ユーザー、グループ、またはデバイスを管理単位に追加するか、管理単位に新しいグループを作成します。

管理単位にユーザー追加する

要求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

例

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

管理単位にグループを追加する

要求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

例

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

管理単位にデバイスを追加する

要求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

管理単位に新しいグループを作成する

要求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

本文

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

次のステップ

• Microsoft Entra ID の管理単位
• 管理単位スコープを使用して Microsoft Entra ロールを割り当てる
• 動的メンバーシップ グループの規則を使用して管理単位のユーザーまたはデバイスを管理する
• 管理単位からユーザー、グループ、またはデバイスを削除する