次の方法で共有


Microsoft Entra ID でセルフサービス グループ管理を設定する

Microsoft Entra ID には、ユーザーが独自のセキュリティ グループまたは Microsoft 365 グループを作成および管理できるようにするセルフサービス グループ管理機能が用意されています。 グループの所有者は、メンバーシップ要求を承認または拒否できます。また、グループ メンバーシップの制御を委任できます。 セルフサービスによるグループ管理機能は、メールを有効にしたセキュリティ グループまたは配布リストでは使用できません。

セルフサービス グループ メンバーシップ

ユーザーがセキュリティ グループを作成して共有リソースへのアクセスを管理できるようにします。 ユーザーは、Microsoft Entra 管理センターから、PowerShell を使用して、または マイ グループ ポータルからセキュリティ グループを作成できます。

[マイ グループ] ポータルを示すスクリーンショット。

メンバーシップを更新できるのは、グループの所有者だけです。 グループ所有者に、マイ グループ ポータルからメンバーシップ要求を承認または拒否する権限を付与できます。 [マイ グループ] ポータル経由でセルフサービスによって作成されたセキュリティ グループには、所有者による承認か自動承認かにかかわらず、すべてのユーザーが参加できます。 [マイ グループ] ポータルでは、グループを作成するときにメンバーシップ オプションを変更できます。

Microsoft 365 グループは、ユーザーに共同作業の機会を提供します。 SharePoint、Microsoft Teams、Planner などの任意の Microsoft 365 アプリケーションでグループを作成できます。 また、Microsoft Graph PowerShell を使用して、または [マイ グループ] ポータルから、Azure portal に Microsoft 365 グループを作成することもできます。 セキュリティ グループと Microsoft 365 グループの違いの詳細については、グループの詳細に関するページを参照してください。

グループの作成場所 セキュリティ グループの既定の動作 Microsoft 365 グループの既定の動作
Microsoft Graph PowerShell メンバーを追加できるのは所有者のみです。
[MyApp グループのアクセス] パネルに表示されますが、参加はできません。
すべてのユーザーが参加できます。
Azure Portal メンバーを追加できるのは所有者のみです。
[マイ グループ] ポータルに表示されますが、参加はできません。
グループ 作成時に所有者は自動的に割り当てられません
すべてのユーザーが参加できます。
マイ グループ ポータル ユーザーはグループを管理し、ここでグループに参加するためのアクセスを要求できます。
グループの作成時に、メンバーシップ オプションを変更できます。
すべてのユーザーが参加できます。
グループの作成時に、メンバーシップ オプションを変更できます。

セルフサービス グループ管理のシナリオ

セルフサービス グループ管理の説明には、2 つのシナリオが役立ちます。

グループ管理の委任

この例のシナリオでは、管理者は会社で使用している SaaS (サービスとしてのソフトウェア) アプリケーションへのアクセスを管理しています。 そのアクセス権を管理する負担が大きいことから、この管理者はビジネス オーナーに依頼して新しいグループを作成してもらいます。 管理者はアプリケーションへのアクセス権を新しいグループに割り当て、既にアプリケーションにアクセスしているすべてのユーザーをそのグループに追加します。 これ以降はビジネス オーナーがユーザーをさらに追加できます。追加されたユーザーはアプリケーションへと自動的にプロビジョニングされます。

ビジネス オーナーは、管理者によるユーザーのアクセス管理が行われるまで待つ必要がありません。 この管理者が別のビジネス グループのマネージャーに同じアクセス許可を付与した場合、その人物も自分のグループ メンバーのアクセスを管理できるようになります。 ビジネス オーナーとマネージャーは、互いのグループ メンバーシップを表示または管理することはできません。 管理者は依然として、そのアプリケーションへのアクセス権を持ったすべてのユーザーを表示でき、必要に応じてアクセス権をブロックすることができます。

Note

委任されたシナリオの場合、管理者は少なくとも特権ロール管理者 Microsoft Entra ロールを持っている必要があります。

セルフサービスのグループ管理

この例のシナリオでは、2 人のユーザーが別々に SharePoint Online サイトを設定しています。 この 2 人のユーザーは、自分のサイトへのアクセス権を互いのチームに付与しようとしています。 このタスクを実行するには、Microsoft Entra ID で 1 つのグループを作成します。 SharePoint Online では、それぞれのグループが選択され、サイトへのアクセスが提供されます。

だれかがアクセスを希望する場合は、[マイ グループ] ポータルからアクセスを要求します。 承認後、両方の SharePoint Online サイトに自動的にアクセスできます。 後日、2 人のうち一方が、サイトにアクセスしているすべてのユーザーに、特定の SaaS アプリケーションへのアクセス権も付与することに決めたとします。 SaaS アプリケーションの管理者は、アプリケーションによる SharePoint Online サイトへのアクセス権を追加することができます。 それ以降は、承認されたすべての要求により、この 2 つの SharePoint Online サイトのほか、SaaS アプリケーションへのアクセス権も付与されます。

グループをユーザーのセルフ サービスに使用できるようにする

  1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. [Microsoft Entra ID] を選びます。

  3. [すべてのグループ]>[グループ] を選択したら、[全般] 設定を選択します。

    Note

    この設定によって制限されるのは、[自分のグループ] でのグループ情報のアクセスのみです。 Microsoft Graph API の呼び出しや Microsoft Entra 管理センターなど、他の方法を使ったグループ情報へのアクセスは制限されません。

    Microsoft Entra グループの [全般] 設定を示すスクリーンショット。

    Note

    当初 2024 年 6 月に予定されていたセルフサービス グループ管理設定に関する変更は、現在レビュー中であり、当初の計画どおりに行われません。 非推奨となる日付は今後発表される予定です。

  4. [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる][はい] に設定します。

  5. [アクセス パネルのグループ機能にアクセスするユーザー機能を制限する][いいえ] に設定します。

  6. [Users can create security groups in Azure portals, API or PowerShell](ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる)[はい] または [いいえ] に設定します。

    この変更の詳細については、「グループ設定」を参照してください。

  7. [Users can create Microsoft 365 groups in Azure portals, API or PowerShell](ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる)[はい] または [いいえ] に設定します。

    この変更の詳細については、「グループ設定」を参照してください。

また、Azure portal でメンバーをグループの所有者として割り当てることができる所有者を使用して、ユーザーのセルフサービスのグループ管理よりも詳細なアクセス制御を実現することもできます。

ユーザーがグループを作成できる場合、自分の組織内のすべてのユーザーが、新しいグループを作成できるようになります。 デフォルトの所有者は、これらのグループにメンバーを追加できます。 独自のグループを作成できる個人を指定することはできません。 個人を指定できるのは、別のグループ メンバーをグループの所有者にする場合のみです。

Note

ユーザーがセキュリティ グループまたは Microsoft 365 グループへの参加を要求する場合、または所有者がメンバーシップ要求を承認または拒否する場合は、Microsoft Entra ID P1 または P2 ライセンスが必要です。 Microsoft Entra ID P1 または P2 ライセンスがない場合でも、ユーザーは [MyApp Groups のアクセス] パネルでグループを管理できます。 ただし、所有者の承認を必要とするグループを作成することも、グループへの参加を要求することもできません。

グループ設定

グループ設定を使用すると、だれがセキュリティ グループや Microsoft 365 グループを作成できるかを制御できます。

Microsoft Entra セキュリティ グループの設定の変更を示すスクリーンショット。

次の表は、選択する値を決定するのに役立ちます。

設定 テナントへの影響
ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる。 はい Microsoft Entra 組織内のすべてのユーザーが、Azure portal、API、または PowerShell を使って、新しいセキュリティ グループを作成し、それらのグループにメンバーを追加できます。 これらの新しいグループは、他のすべてのユーザーのアクセス パネルにも表示されます。 グループのポリシー設定で許可されている場合、他のユーザーはこれらのグループへの参加要求を作成できます。
いいえ ユーザーはセキュリティ グループを作成できません。 所有者であるグループのメンバーシップを引き続き管理し、他のユーザーからのグループへの参加要求を承認できます。
ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる。 はい Microsoft Entra 組織内のすべてのユーザーが、Azure portal、API、または PowerShell を使って、新しい Microsoft 365 グループを作成し、それらのグループにメンバーを追加できます。 これらの新しいグループは、他のすべてのユーザーのアクセス パネルにも表示されます。 グループのポリシー設定で許可されている場合、他のユーザーはこれらのグループへの参加要求を作成できます。
いいえ ユーザーは Microsoft 365 グループを作成できません。 所有者であるグループのメンバーシップを引き続き管理し、他のユーザーからのグループへの参加要求を承認できます。

これらのグループ設定に関する詳細を示します。

  • これらの設定は、有効になるまでに最大 15 分かかる場合があります。
  • ユーザー全員ではなく一部のユーザーがグループを作成できるようにする場合は、グループを作成できるロール (グループ管理者など) をそれらのユーザーに割り当てることができます。
  • これらの設定はユーザー向けであり、サービス プリンシパルには影響しません。 たとえば、グループを作成するアクセス許可を備えたサービス プリンシパルがあると、これらの設定を [いいえ] に設定したとしても、サービス プリンシパルは引き続きグループを作成できます。

Microsoft Graph を使用してグループ設定を構成する

Microsoft Graph を使用して [Users can create Microsoft 365 groups in Azure portals, API or PowerShell] (ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる) の設定を構成するには、EnableGroupCreation オブジェクトの groupSettings オブジェクトを構成します。 詳細については、グループ設定の概要に関するページを参照してください。

"ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる" の設定を構成するには、Microsoft Graph を使用して allowedToCreateSecurityGroups オブジェクトの defaultUserRolePermissions プロパティを更新します。

次のステップ

Microsoft Entra ID の詳細については、次を参照してください。