グループ アカウントを作成する
Microsoft Entra ID を使用すると、組織は 2 種類のグループ アカウントを定義できます。 セキュリティ グループは、ユーザー グループの共有リソースへのメンバーとコンピューターのアクセスを管理するために使用されます。 特定のセキュリティ ポリシーのセキュリティ グループを作成し、グループのすべてのメンバーに同じアクセス許可を適用できます。 Microsoft 365 グループは、共同作業の機会を提供します。 グループ メンバーには、共有メールボックス、カレンダー、ファイル、SharePoint サイトなどへのアクセス権があります。
グループ アカウントの作成について知っておくべきこと
Microsoft Entra ID のグループ アカウントの次の特性を確認します。 次のスクリーンショットは、Azure portal のグループの一覧を示します。
セキュリティ グループを使用して、各メンバーに個別にアクセス許可を追加するのではなく、すべてのグループ メンバーに対するアクセス許可を同時に設定します。
Microsoft 365 グループを追加して、Microsoft Entra 組織外のゲスト ユーザーのグループ アクセスを有効にします。
セキュリティ グループは、Microsoft Entra 管理者のみが実装できます。
通常のユーザーと Microsoft Entra 管理者は、どちらも Microsoft 365 グループを使用できます。
グループ メンバーを追加する際に考慮すべきこと
グループにメンバーを追加する場合は、メンバーアクセス権を割り当てるさまざまな方法があります。 これらのオプションを読み進める際には、組織をサポートするために必要なグループと、グループ メンバーに適用する必要があるアクセス権を検討してください。
| アクセス権が | 説明 |
|---|---|
| 割り当て済み | グループのメンバーとして特定のユーザーを追加します。各ユーザーは一意のアクセス許可を持つことができます。 |
| 動的ユーザー | 動的メンバーシップ ルールを使用して、グループ メンバーを自動的に追加および削除できます。 メンバーの属性が変わると、Azure によってディレクトリの動的グループ ルールが確認されます。 メンバー属性がルールの要件を満たしている場合、そのメンバーはグループに追加されます。 メンバー属性がルールの要件を満たさなくなった場合、そのメンバーは削除されます。 |
| 動的デバイス | (セキュリティ グループのみ) 動的グループ ルールを適用して、セキュリティ グループ内のデバイスを自動的に追加および削除します。 デバイスの属性が変わると、Azure によってディレクトリの動的グループ ルールが確認されます。 デバイス属性がルールの要件を満たしている場合、デバイスはセキュリティ グループに追加されます。 デバイス属性がルールの要件を満たさなくなった場合、そのデバイスは削除されます。 |