グループの種類、メンバーシップの種類、アクセス管理について説明します

Microsoft Entra ID には、リソース、アプリケーション、タスクへのアクセスを管理する方法がいくつか用意されています。 Microsoft Entra グループを使用すると、個々のユーザーではなく、ユーザーのグループにアクセスとアクセス許可を付与できます。 アクセスを必要とするユーザーのみに Microsoft Entra リソースへのアクセスを制限することは、ゼロ トラストの中核的なセキュリティ原則の 1 つです。

この記事では、セキュリティのベスト プラクティスを適用しながら、Microsoft Entra ユーザーの管理を容易にするためにグループとアクセス権を組み合わせて使用する方法の概要について説明します。

Note

一部のグループは、Azure portal または Microsoft Entra 管理センターで管理できません。

• オンプレミスの Active Directory から同期されたグループは、オンプレミスでのみ管理できます。
• 配布リストとメールが有効なセキュリティ グループは、Exchange 管理センター または Microsoft 365 管理センターでのみ管理できます。 これらのグループを管理するには、サインインし、その管理センターに適切なアクセス許可を持っている必要があります。

Microsoft Entra グループの概要

グループを効果的に使用すると、ロールとアクセス許可を個々のユーザーに割り当てるなどの手動タスクを減らすことができます。 役割をグループに割り当て、その職務または部署に基づいてメンバーをグループに割り当てることができます。 グループに適用される条件付きアクセス ポリシーを作成し、そのポリシーをグループに割り当てることができます。 グループの使用の可能性があるため、そのしくみと管理方法を理解することが重要です。

グループの種類

Microsoft Entra 管理センターでは、次の 2 種類のグループを管理できます。

• セキュリティ グループ: 共有リソースへのアクセスを管理するために使用されます。

  • セキュリティ グループのメンバーには、ユーザー、デバイス、サービス プリンシパル含めることができます。
  • グループは、他のグループのメンバー (入れ子になったグループとも呼ばれます) にすることができます。 注を参照してください。
  • ユーザーとサービス プリンシパルは、セキュリティ グループの所有者にすることができます。

• Microsoft 365 グループ: コラボレーションの機会を提供します。

  • Microsoft 365 グループのメンバーには、ユーザーのみを含めることができます。
  • ユーザーとサービス プリンシパルは、Microsoft 365 グループの所有者にすることができます。
  • 組織外のユーザーは、グループのメンバーにすることができます。
  • 詳細については、「Microsoft 365 グループの詳細」を参照してください。

Note

既存のセキュリティ グループを別のセキュリティ グループに入れ子にすると、親グループ内のメンバーのみが共有リソースとアプリケーションにアクセスできます。 入れ子グループを管理する方法の詳細については、「グループの管理方法」を参照してください。

メンバーシップの種類

• 割り当て済みグループ: 特定のユーザーをグループのメンバーとして追加したり、固有のアクセス許可を持ったりすることができます。
• ユーザーの動的メンバーシップ グループの : ルールを使用して、ユーザーをメンバーとして自動的に追加および削除できます。 メンバーの属性が変更された場合、システムはディレクトリに対する動的メンバーシップ グループのルールを調べます。 メンバーがルール要件を満たす (追加される) か、またはルール要件を満たしていない (削除される) かどうかを確認します。
• デバイスの動的メンバーシップ グループ: ルールを使用して、デバイスをメンバーとして自動的に追加および削除できます。 デバイスの属性が変更されると、システムは、ディレクトリに対する動的メンバーシップ グループのルールを調べて、そのデバイスがルール要件を満たしているか (追加される)、またはルール要件を満たさなくなったか (削除される) を確認します。

重要

デバイスまたはユーザーのどちらかに対して動的グループを作成することは可能ですが、両方に対して作成することはできません。 デバイス所有者の属性に基づいてデバイス グループを作成することはできません。 デバイス メンバーシップ ルールで参照できるのは、デバイスの属性のみです。 詳細については、「動的グループの作成」を参照してください。

アクセス管理

Microsoft Entra ID は、1 人のユーザーまたはグループにアクセス権を付与することで、組織のリソースへのアクセス権を付与するのに役立ちます。 グループを使用すると、リソース所有者または Microsoft Entra ディレクトリ所有者は、グループのすべてのメンバーにアクセス許可のセットを割り当てることができます。 リソースまたはディレクトリの所有者は、部門マネージャーやヘルプ デスク管理者などのユーザーにグループ管理権限を付与することもできます。これにより、そのユーザーはメンバーを追加および削除できます。 グループ所有者を管理する方法の詳細については、グループの管理に関する記事を参照してください。

Microsoft Entra グループがアクセスを管理できるリソースは次のとおりです。

• ユーザー、アプリケーション、課金、およびその他のオブジェクトを管理するためのアクセス許可など、Microsoft Entra 組織の一部。
• Microsoft 以外の SaaS アプリなど、組織の外部のもの。
• Azure サービス
• SharePoint サイト
• オンプレミスのリソース

アクセス許可を必要とするアプリケーション、リソース、サービスは個別に管理する必要があります。これは、それぞれのアクセス許可が同じでない場合があるからです。 最小限の特権の原則を使ってアクセスを付与することで、攻撃やセキュリティ侵害のリスクを軽減することができます。

割り当ての種類

グループを作成したら、そのアクセスを管理する方法を決定する必要があります。

• 直接割り当て。 リソース所有者は、ユーザーをリソースに直接割り当てます。

• グループの割り当て。 リソース所有者は、Microsoft Entra グループをリソースに割り当てます。これにより、グループ メンバー全員に、リソースへのアクセスが自動的に与えられます。 グループ所有者とリソース所有者の両方がグループのメンバーシップを管理し、どちらの所有者も、グループのメンバーを追加したり、削除したりできます。 グループ メンバーシップの管理の詳細については、「グループの管理」の記事をご覧ください。

• ルール ベースの割り当て。 リソース所有者は、グループを作成し、ルールを使用して、特定のリソースにどのユーザーが割り当てられるかを定義します。 ルールは、個々のユーザーに割り当てられている属性に基づきます。 リソース所有者は、リソースへのアクセスを許可するためにはどの属性と値が必要であるかを判断し、ルールを管理します。 詳細については、「動的グループの作成」を参照してください。

• 外部機関の割り当て。 アクセス権は、オンプレミスのディレクトリや SaaS アプリなど、外部のソースから付与されます。 この状況においては、リソース所有者がリソースへのアクセス権を提供するためのグループを割り当ててから、外部ソースがグループのメンバーを管理します。

クラウドでグループを管理するためのベスト プラクティス

クラウドでグループを管理するためのベスト プラクティスを次に示します。

• セルフサービス グループ管理を有効にする: ユーザーがグループを検索して参加したり、独自の Microsoft 365 グループを作成および管理したりできます。
  • IT に対する管理上の負担を軽減しながら、チームが自分自身を整理できるようにします。
  • グループの名前付けポリシー を適用して、制限付き単語の使用をブロックし、一貫性を確保します。
  • グループ所有者によって更新されない限り、指定した期間を過ぎると未使用のグループが自動的に削除されるグループの有効期限ポリシーを有効にすることで、非アクティブなグループが残らないようにします。
  • 参加または承認が必要なすべてのユーザーを自動的に受け入れるようにグループを構成します。
  • 詳細については、「Microsoft Entra ID でのセルフサービス グループ管理の設定」をご覧ください。
• 秘密度ラベルを活用する: 秘密度ラベルを使用して、セキュリティとコンプライアンスのニーズに基づいて Microsoft 365 グループを分類および管理します。
  • きめ細かいアクセス制御を提供し、機密性の高いリソースが確実に保護されるようにします。
  • 詳細については、「Microsoft Entra ID で Microsoft 365 グループに秘密度ラベルを割り当てる」を参照してください。
• 動的グループを使用してメンバーシップを自動化する: 動的メンバーシップ ルールを実装して、部門、場所、役職などの属性に基づいてグループに対してユーザーとデバイスを自動的に追加または削除します。
  • 手動更新を最小限に抑え、アクセスが残留するリスクを軽減します。
  • この機能は、Microsoft 365 グループとセキュリティ グループに適用されます。
• 定期的なアクセス レビューの実施: Microsoft Entra Identity Governance 機能を使用して、定期的なアクセス レビューをスケジュールします。
  • 割り当てられたグループのメンバーシップが、時間の経過と同時に正確で関連性の高いままであることを確認します。
  • 詳細については、「Microsoft Entra ID で動的メンバーシップ グループを作成または更新する」を参照してください。
• アクセス パッケージを使用してメンバーシップを管理する: Microsoft Entra Identity Governance を使用してアクセス パッケージを作成し、複数のグループ メンバーシップの管理を効率化します。 アクセス パッケージは次のことができます。
  • メンバーシップの承認ワークフローを含める
  • アクセスの有効期限の条件を定義する
  • グループとアプリケーション間でアクセスを許可、確認、取り消す一元化された方法を提供する
  • 詳細については、「エンタイトルメント管理 でのアクセス パッケージの作成」を参照してください。
• 複数のグループ所有者を割り当てる: 1 つのグループに少なくとも 2 人の所有者を割り当てて、継続性を確保し、1 人の個人への依存関係を減らします。
  • 詳細については、「Microsoft Entra グループとグループ メンバーシップの管理 を参照してください。
• グループベースのライセンスを使用する: グループベースのライセンスを使用すると、ユーザー プロビジョニングが簡略化され、一貫性のあるライセンス割り当てが保証されます。
  • 動的メンバーシップ グループを使用して、特定の条件を満たすユーザーのライセンスを自動的に管理します。
  • 詳細については、「Microsoft Entra ID でのグループベースのライセンスとは」を参照してください。
• ロール ベースのアクセス制御 (RBAC) を適用する: グループを管理できるユーザーを制御するロールを割り当てます。
  • RBAC を使用すると、特権の悪用のリスクが軽減され、グループ管理が簡素化されます。
  • 詳細については、「Microsoft Entra ID でのロールベースのアクセス制御の概要」を参照してください。

関連コンテンツ

• Microsoft Entra グループとグループメンバーシップを作成し管理する
• グループを使用して SaaS アプリへのアクセスを管理する
• 動的メンバーシップ グループのルールを管理する