この記事では、Microsoft Entra 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用してロール割り当て可能なグループを作成する方法について説明します。
Microsoft Entra ID P1 または P2 を使用すると、 ロール割り当て可能なグループ を作成し、これらのグループに Microsoft Entra ロールを割り当てることができます。 新しいロール割り当て可能なグループを作成するには、Microsoft Entra ロールをグループに割り当てられるようにして [はい] に設定するか、 プロパティを isAssignableToRole に設定します。 ロール割り当て可能なグループを 動的メンバーシップ グループ の種類の一部にすることはできません。 Microsoft Entra では、1 つのテナントに最大 500 個のロール割り当て可能なグループを含めることができます。
前提条件
- Microsoft Entra ID P1 または P2 ライセンス
- 特権ロール管理者
- PowerShell を使用する場合の Microsoft Graph PowerShell モジュール
- Microsoft Graph API の Graph エクスプローラーを使用する場合の管理者の同意
詳細については、「powerShell または Graph Explorerを使用するための 前提条件」を参照してください。
ロール割り当て可能なグループを作成する
Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
[Entra ID]>[グループ]>[すべてのグループ] に移動します。
[ 新しいグループ] を選択します。
[新しいグループ ] ページで、グループの種類、名前、説明を指定します。
[Microsoft Entra ロールをグループに割り当てることができる] を[はい] に設定します。
このオプションは、このオプションを設定できるロールである特権ロール管理者に表示されます。
グループのメンバーと所有者を選択します。 オプションでグループにロールを割り当てることもできますが、こちらでロールを割り当てる必要はありません。
作成 を選択します。
次のメッセージが表示されます。
Microsoft Entra ロール割り当ての対象となるグループの作成は、後で変更できない設定です。 この機能を追加しますか?
[ はい] を選択します。
ロールを割り当てていた場合にはそれが付いた状態で、グループが作成されます。
New-MgGroup コマンドを使用して、ロール割り当て可能なグループを作成します。
この例は、セキュリティ ロールを割り当て可能なグループの作成方法を示しています。
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
この例は、Microsoft 365 ロールを割り当て可能なグループの作成方法を示しています。
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
グループの 作成 API を使用して、ロール割り当て可能なグループを作成します。
この例は、セキュリティ ロールを割り当て可能なグループの作成方法を示しています。
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
応答
HTTP/1.1 201 Created
この例は、Microsoft 365 ロールを割り当て可能なグループの作成方法を示しています。
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
この種類のグループでは、isPublic は常に false で、isSecurityEnabled は常に true です。
次のステップ
