Microsoft Entra グループとグループ メンバーシップを管理する

Microsoft Entra グループは、制限されている可能性があるアプリやサービスなどのリソースに対して、アクセスとアクセス許可を全員同じにする必要があるユーザーを管理するために使われます。 個々のユーザーに特別なアクセス許可を追加するのではなく、グループを作成し、そのグループのすべてのメンバーにその特別なアクセス許可を適用します。

この記事では、1 つのリソースに 1 つのグループを追加し、ユーザーをそのグループのメンバーとして追加するという基本的なグループ シナリオについて説明します。 動的メンバーシップ グループやルールの作成など、より複雑なシナリオについては、「Microsoft Entra ユーザー管理のドキュメント」をご覧ください。

グループとメンバーを追加する前に、グループ作成時に使うオプションを判断できるように、グループとメンバーシップの種類を確認してください。

前提条件

Microsoft Entra でグループを管理するには、次の前提条件が必要です。

• グループ メンバーシップ設定を管理するには、ユーザー管理者 または グループ管理者 ロールが必要です。

• Azure サブスクリプション。 アカウントがない場合は、 無料アカウントを作成してください。

• Microsoft Entra テナントへのアクセス。 詳細については、「新しいテナントを作成する」を参照してください。

基本グループを作成してメンバーを追加する

Microsoft Entra 管理センターを使用し、基本的なグループを作成し、同時にメンバーを追加できます。 グループを作成するには、少なくともグループ管理者または ユーザー管理者ロールが割り当てられている必要があります。 グループ を管理するための適切な Microsoft Entra ロール確認します。

基本グループを作成してメンバーを追加するには、次の手順を実行します。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. [新しいグループ] を選びます。

   

4. [グループの種類] を選びます。 グループの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

   • [グループの種類] で [Microsoft 365] を選ぶと、[グループのメール アドレス] オプションが有効になります。

5. [グループ名] を入力します。覚えやすく、グループにとって意味のある名前を選びます。 名前が既に使われているかどうかを判断するチェックが実行されます。 名前が既に使われている場合は、グループの名前を変更するように求められます。

   • グループの名前をスペースで始めることはできません。 名前をスペースで開始すると、グループ メンバーにロールの割り当てを追加するなどの手順のオプションとしてグループが表示されなくなります。

6. グループのメール アドレス: グループの種類が Microsoft 365 の場合にのみ使用できます。 メール アドレスを手動で入力するか、指定したグループ名から作成されたメール アドレスを使います。

7. グループの説明。 任意で、グループに説明を追加します。

8. このグループを使って Microsoft Entra ロールをメンバーに割り当てるには、[グループに Microsoft Entra ロールを割り当てることができる] 設定を [はい] に切り替えます。

   • このオプションは、P1 または P2 ライセンスでのみ使用できます。
   • 少なくとも特権ロール管理者ロールが必要です。
   • このオプションを有効にすると、[メンバーシップの種類] として 割り当て済み が自動的に選ばれます。
   • グループの作成時にロールを追加する機能がこのプロセスに追加されます。
   • ロールを割り当てることができるグループの詳細については、こちらを参照してください。

9. [メンバーシップの種類] を選びます。メンバーシップの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

10. 必要に応じて、[所有者] または [メンバー] を追加します。 メンバーと所有者は、グループ作成後に追加できます。

    1. [所有者] または [メンバー] の下のリンクを選ぶと、ディレクトリ内の全ユーザーの一覧が表示されます。
    2. この一覧からユーザーを選び、ウィンドウの下部にある [選択] ボタンを選びます。

    

11. ［作成］ を選択します グループが作成され、メンバーを追加する準備ができました。

    グループ ウェルカム メールをオフにする

    新しい Microsoft 365 グループに追加されると、メンバーシップの種類に関係なく、すべてのユーザーにウェルカム通知が送信されます。 ユーザーまたはデバイスの属性が変更されると、組織内のすべての動的メンバーシップ グループのルールが、メンバーシップ変更の可能性のために処理されます。 追加されたユーザーは、ウェルカム通知も受け取ります。 この動作は、Exchange PowerShell を使用してオフにすることができます。

グループのメンバーまたは所有者を追加する

メンバーと所有者は、既存のグループから追加できます。 メンバーと所有者のプロセスは同じです。 メンバーと所有者を追加するには、グループ管理者またはユーザー管理者のロールが必要です。

Note

一度に複数のメンバーを追加する必要がある場合は、 一括でメンバーを追加するオプションを参照してください。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. 管理する必要があるグループを選びます。

4. [メンバー] または [所有者] のいずれかを選びます。

   

5. [+ 追加] (メンバーまたは所有者) を選びます。

6. リストをスクロールするか、検索ボックスに名前を入力します。 一度に複数の名前を選択できます。 準備ができたら、[選択] ボタンを選びます。

   [グループの概要] ページが更新され、グループに追加されたメンバー数が表示されるようになりました。

グループのメンバーまたは所有者を削除する

メンバーと所有者は、既存のグループから削除できます。 メンバーと所有者のプロセスは同じです。 メンバーと所有者を削除するには、グループ管理者またはユーザー管理者のロールが必要です。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. 管理する必要があるグループを選びます。

4. [メンバー] または [所有者] のいずれかを選びます。

5. リストの名前の横にあるチェック ボックスをオンにして、[削除] ボタンを選びます。

   

グループ設定を編集する

グループの名前、説明、またはメンバーシップの種類を編集できます。 グループの設定を編集するには、グループ管理者またはユーザー管理者のロールが必要です。

グループ設定を編集するには:

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. リストをスクロールするか、検索ボックスにグループ名を入力します。 管理する必要があるグループを選びます。

4. 左側のメニューで [プロパティ] を選択します。

5. 必要に応じて、次のような [全般設定] の情報を更新します。

   • [グループ名]: 既存のグループ名を編集します。

   • グループの説明。 既存のグループの説明を編集します。

   • [グループの種類]。 グループの種類が作成されると、変更することはできません。 [グループの種類] を変更するには、グループを削除して、新しいグループを作成する必要があります。

   • [メンバーシップの種類]。 メンバーシップの種類を変更します。 [グループに Microsoft Entra ロールを割り当てることができる] オプションを有効にした場合、メンバーシップの種類を変更することはできません。 使用できるメンバーシップの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

   • オブジェクト ID オブジェクト ID は変更できませんが、コピーして PowerShell コマンドでグループに対して使用できます。 PowerShell コマンドレットの使用に関する詳細については、グループ設定を構成するための Microsoft Entra コマンドレットに関するページを参照してください。

グループを別のグループに追加する

セキュリティ グループの場合、既存のグループを別のグループに追加することができます (入れ子グループとも呼ばれます)。 グループ メンバーシップの種類に応じて、別のグループのメンバーとしてグループを追加できます。 入れ子になったグループは、メンバーシップスコープと条件付きアクセス スコープに使用できます。 入れ子になったグループは、親グループに割り当てられている共有リソースとアプリケーションにアクセスできません。

現在、次のことはサポートされていません。

• オンプレミスの Active Directory と同期されたグループへのグループの追加。
• Microsoft 365 グループへのセキュリティ グループの追加。
• セキュリティ グループまたはその他の Microsoft 365 グループへの Microsoft 365 グループの追加。
• 入れ子セキュリティ グループの共有リソースとアプリに割り当てられたメンバーシップ。
• 入れ子セキュリティ グループへのライセンスの適用。
• 入れ子のシナリオでの配布グループの追加。
• メールが有効化されているセキュリティ グループのメンバーとしてのセキュリティ グループの追加。
• ロール割り当て可能なグループのメンバーとしてグループを追加する。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. [すべてのグループ] ページで、別のグループのメンバーになるグループを検索して選択します。

   Note

   自分のグループを他のグループのメンバーとして追加できるのは、一度に 1 つのみです。 [グループの選択] 検索ボックスでは、ワイルドカード文字はサポートされていません。

4. グループの [概要] ページで、サイド メニューから [グループ メンバーシップ] を選びます。

5. [+ メンバーシップの追加] を選びます。

6. 自分のグループをメンバーにするグループを見つけて [選択] を選びます。

   この演習では、"MDM policy - West" を "MDM policy - All org" グループに追加します。 "MDM - policy - West" グループには、"MDM policy - All org" グループと同じアクセス権があります。

   

   [MDM policy - West - グループ メンバーシップ] ページを表示して、グループとメンバーのリレーションシップを確認できるようになります。

   グループとメンバーのリレーションシップの詳細な表示については、親グループ名 (MDM policy - All org) を選び、[MDM policy - West] ページの詳細を確認します。

別のグループからグループを削除する

既存のセキュリティ グループを別のセキュリティ グループから削除できます。ただし、グループを削除すると、そのメンバーに継承されたアクセス権も削除されます。

1. [すべてのグループ] ページで、別のグループのメンバーとして削除する必要があるグループを検索して選択します。

2. グループの [概要] ページで、[グループ メンバーシップ] を選びます。

3. [グループ メンバーシップ] ページから親グループを選びます。

4. [削除] を選択します。

   この演習では、"MDM policy - All org" グループから "MDM policy - West" を削除します。

   

グループを削除する

グループはさまざまな理由で削除されますが、通常は次のために行います。

• 正しくない [グループの種類] オプションを選んだ。
• 間違って重複したグループを作成した。
• グループが不要になった。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. 削除するグループを検索して選びます。

4. 削除を選択します。

関連するコンテンツ

• グループおよびグループへのアクセス権の割り当ての詳細
• セルフサービス用にグループを設定する
• PowerShell コマンドを使用してグループを管理する

Microsoft Entra グループは、制限されている可能性があるアプリやサービスなどのリソースに対して、アクセスとアクセス許可を全員同じにする必要があるユーザーを管理するために使われます。 個々のユーザーに特別なアクセス許可を追加するのではなく、グループを作成し、そのグループのすべてのメンバーにその特別なアクセス許可を適用します。

この記事では、1 つのリソースに 1 つのグループを追加し、ユーザーをそのグループのメンバーとして追加するという基本的なグループ シナリオについて説明します。 動的メンバーシップ グループやルールの作成など、より複雑なシナリオについては、「Microsoft Entra ユーザー管理のドキュメント」をご覧ください。

グループとメンバーを追加する前に、グループ作成時に使うオプションを判断できるように、グループとメンバーシップの種類を確認してください。

Microsoft Entra でグループを管理するには、次の前提条件が必要です。

• グループ メンバーシップ設定を管理するには、ユーザー管理者 または グループ管理者 ロールが必要です。

• Azure サブスクリプション。 アカウントがない場合は、 無料アカウントを作成してください。

• Microsoft Entra テナントへのアクセス。 詳細については、「新しいテナントを作成する」を参照してください。

Microsoft Entra 管理センターを使用し、基本的なグループを作成し、同時にメンバーを追加できます。 グループを作成するには、少なくともグループ管理者または ユーザー管理者ロールが割り当てられている必要があります。 グループ を管理するための適切な Microsoft Entra ロール確認します。

基本グループを作成してメンバーを追加するには、次の手順を実行します。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. [新しいグループ] を選びます。

   

4. [グループの種類] を選びます。 グループの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

   • [グループの種類] で [Microsoft 365] を選ぶと、[グループのメール アドレス] オプションが有効になります。

5. [グループ名] を入力します。覚えやすく、グループにとって意味のある名前を選びます。 名前が既に使われているかどうかを判断するチェックが実行されます。 名前が既に使われている場合は、グループの名前を変更するように求められます。

   • グループの名前をスペースで始めることはできません。 名前をスペースで開始すると、グループ メンバーにロールの割り当てを追加するなどの手順のオプションとしてグループが表示されなくなります。

6. グループのメール アドレス: グループの種類が Microsoft 365 の場合にのみ使用できます。 メール アドレスを手動で入力するか、指定したグループ名から作成されたメール アドレスを使います。

7. グループの説明。 任意で、グループに説明を追加します。

8. このグループを使って Microsoft Entra ロールをメンバーに割り当てるには、[グループに Microsoft Entra ロールを割り当てることができる] 設定を [はい] に切り替えます。

   • このオプションは、P1 または P2 ライセンスでのみ使用できます。
   • 少なくとも特権ロール管理者ロールが必要です。
   • このオプションを有効にすると、[メンバーシップの種類] として 割り当て済み が自動的に選ばれます。
   • グループの作成時にロールを追加する機能がこのプロセスに追加されます。
   • ロールを割り当てることができるグループの詳細については、こちらを参照してください。

9. [メンバーシップの種類] を選びます。メンバーシップの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

10. 必要に応じて、[所有者] または [メンバー] を追加します。 メンバーと所有者は、グループ作成後に追加できます。

    1. [所有者] または [メンバー] の下のリンクを選ぶと、ディレクトリ内の全ユーザーの一覧が表示されます。
    2. この一覧からユーザーを選び、ウィンドウの下部にある [選択] ボタンを選びます。

    

11. ［作成］ を選択します グループが作成され、メンバーを追加する準備ができました。

    グループ ウェルカム メールをオフにする

    新しい Microsoft 365 グループに追加されると、メンバーシップの種類に関係なく、すべてのユーザーにウェルカム通知が送信されます。 ユーザーまたはデバイスの属性が変更されると、組織内のすべての動的メンバーシップ グループのルールが、メンバーシップ変更の可能性のために処理されます。 追加されたユーザーは、ウェルカム通知も受け取ります。 この動作は、Exchange PowerShell を使用してオフにすることができます。

メンバーと所有者は、既存のグループから追加できます。 メンバーと所有者のプロセスは同じです。 メンバーと所有者を追加するには、グループ管理者またはユーザー管理者のロールが必要です。

Note

一度に複数のメンバーを追加する必要がある場合は、 一括でメンバーを追加するオプションを参照してください。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. 管理する必要があるグループを選びます。

4. [メンバー] または [所有者] のいずれかを選びます。

   

5. [+ 追加] (メンバーまたは所有者) を選びます。

6. リストをスクロールするか、検索ボックスに名前を入力します。 一度に複数の名前を選択できます。 準備ができたら、[選択] ボタンを選びます。

   [グループの概要] ページが更新され、グループに追加されたメンバー数が表示されるようになりました。

メンバーと所有者は、既存のグループから削除できます。 メンバーと所有者のプロセスは同じです。 メンバーと所有者を削除するには、グループ管理者またはユーザー管理者のロールが必要です。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. 管理する必要があるグループを選びます。

4. [メンバー] または [所有者] のいずれかを選びます。

5. リストの名前の横にあるチェック ボックスをオンにして、[削除] ボタンを選びます。

   

グループの名前、説明、またはメンバーシップの種類を編集できます。 グループの設定を編集するには、グループ管理者またはユーザー管理者のロールが必要です。

グループ設定を編集するには:

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. リストをスクロールするか、検索ボックスにグループ名を入力します。 管理する必要があるグループを選びます。

4. 左側のメニューで [プロパティ] を選択します。

5. 必要に応じて、次のような [全般設定] の情報を更新します。

   • [グループ名]: 既存のグループ名を編集します。

   • グループの説明。 既存のグループの説明を編集します。

   • [グループの種類]。 グループの種類が作成されると、変更することはできません。 [グループの種類] を変更するには、グループを削除して、新しいグループを作成する必要があります。

   • [メンバーシップの種類]。 メンバーシップの種類を変更します。 [グループに Microsoft Entra ロールを割り当てることができる] オプションを有効にした場合、メンバーシップの種類を変更することはできません。 使用できるメンバーシップの種類の詳細については、グループとメンバーシップの種類の詳細に関する記事を参照してください。

   • オブジェクト ID オブジェクト ID は変更できませんが、コピーして PowerShell コマンドでグループに対して使用できます。 PowerShell コマンドレットの使用に関する詳細については、グループ設定を構成するための Microsoft Entra コマンドレットに関するページを参照してください。

セキュリティ グループの場合、既存のグループを別のグループに追加することができます (入れ子グループとも呼ばれます)。 グループ メンバーシップの種類に応じて、別のグループのメンバーとしてグループを追加できます。 入れ子になったグループは、メンバーシップスコープと条件付きアクセス スコープに使用できます。 入れ子になったグループは、親グループに割り当てられている共有リソースとアプリケーションにアクセスできません。

現在、次のことはサポートされていません。

• オンプレミスの Active Directory と同期されたグループへのグループの追加。
• Microsoft 365 グループへのセキュリティ グループの追加。
• セキュリティ グループまたはその他の Microsoft 365 グループへの Microsoft 365 グループの追加。
• 入れ子セキュリティ グループの共有リソースとアプリに割り当てられたメンバーシップ。
• 入れ子セキュリティ グループへのライセンスの適用。
• 入れ子のシナリオでの配布グループの追加。
• メールが有効化されているセキュリティ グループのメンバーとしてのセキュリティ グループの追加。
• ロール割り当て可能なグループのメンバーとしてグループを追加する。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. [すべてのグループ] ページで、別のグループのメンバーになるグループを検索して選択します。

   Note

   自分のグループを他のグループのメンバーとして追加できるのは、一度に 1 つのみです。 [グループの選択] 検索ボックスでは、ワイルドカード文字はサポートされていません。

4. グループの [概要] ページで、サイド メニューから [グループ メンバーシップ] を選びます。

5. [+ メンバーシップの追加] を選びます。

6. 自分のグループをメンバーにするグループを見つけて [選択] を選びます。

   この演習では、"MDM policy - West" を "MDM policy - All org" グループに追加します。 "MDM - policy - West" グループには、"MDM policy - All org" グループと同じアクセス権があります。

   

   [MDM policy - West - グループ メンバーシップ] ページを表示して、グループとメンバーのリレーションシップを確認できるようになります。

   グループとメンバーのリレーションシップの詳細な表示については、親グループ名 (MDM policy - All org) を選び、[MDM policy - West] ページの詳細を確認します。

既存のセキュリティ グループを別のセキュリティ グループから削除できます。ただし、グループを削除すると、そのメンバーに継承されたアクセス権も削除されます。

1. [すべてのグループ] ページで、別のグループのメンバーとして削除する必要があるグループを検索して選択します。

2. グループの [概要] ページで、[グループ メンバーシップ] を選びます。

3. [グループ メンバーシップ] ページから親グループを選びます。

4. [削除] を選択します。

   この演習では、"MDM policy - All org" グループから "MDM policy - West" を削除します。

   

グループはさまざまな理由で削除されますが、通常は次のために行います。

• 正しくない [グループの種類] オプションを選んだ。
• 間違って重複したグループを作成した。
• グループが不要になった。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. 削除するグループを検索して選びます。

4. 削除を選択します。