ユーザー、グループ、またはデバイスを管理単位に追加する

Microsoft Entra ID で、管理単位にユーザー、グループ、またはデバイスを追加して、ロールのアクセス許可の範囲を制限できます。 管理単位にグループを追加すると、グループ自体は管理単位の管理スコープに入れられますが、グループのメンバーには入れられません。 スコープの管理者が何を実行できるかの詳細については、「Microsoft Entra ID の管理単位」を参照してください。

この記事では、ユーザー、グループ、またはデバイスを手動で管理単位に追加する方法について説明します。 規則を使用してユーザーまたはデバイスを管理単位に動的に追加する方法については、「動的メンバーシップ グループの規則を使用して管理単位のユーザーまたはデバイスを管理する」をご覧ください。

前提条件

• 管理単位の各管理者に対する Microsoft Entra ID P1 または P2 ライセンス
• 管理単位メンバーの Microsoft Entra ID Free ライセンス
• 既存のユーザー、グループ、またはデバイスを追加するには。
  • 特権ロール管理者
• 新しいグループを作成するには。
  • グループ管理者 (管理単位またはディレクトリ全体を対象)
• Microsoft Graph PowerShell モジュール は、PowerShell を使用する場合に使用されます。
• 管理者の同意 (Microsoft Graph API の Graph エクスプローラーを使用する場合)

詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。

管理センター

Microsoft Entra 管理センターを使って、ユーザー、グループ、またはデバイスを管理単位に追加できます。 管理単位には、一括操作でユーザーを追加したり、新しいグループを作成したりすることもできます。

管理単位に単一のユーザー、グループ、またはデバイスを追加する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

1. Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。

2. [ID] に移動します。

3. 次のいずれかを参照します。

   • [ユーザー]>[すべてのユーザー]
   • [グループ]>[すべてのグループ]
   • [デバイス]>[すべてのデバイス]

4. 管理単位に追加するユーザー、グループ、またはデバイスを選択します。

5. [管理単位] を選択します。

6. [Assign to administrative unit](管理単位に割り当てる) を選択します。

7. [選択] ウィンドウで、管理単位を選択し、[選択] を選択します。

   

ユーザー、グループ、またはデバイスを 1 つの管理単位に追加する

1. Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。

2. [ID]>[役割と管理者]>[管理単位] に移動します。

3. ユーザー、グループ、またはデバイスを追加する管理単位を選びます。

4. 次のいずれかを選択してください。

   • ユーザー
   • グループ
   • デバイス

5. メンバーの追加 を選択し、追加: または デバイスの追加 を選択します。

6. [選択] ウィンドウで、管理単位に追加するユーザー、グループ、またはデバイスを選択し、[選択] を選択します。

   

一括操作で管理単位にユーザーを追加する

1. Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。

2. [ID]>[役割と管理者]>[管理単位] に移動します。

3. ユーザーを追加する管理単位を選びます。

4. [ユーザー]>[一括操作]>[メンバーの一括追加] を順に選択します。

   

5. [メンバーの一括追加] ウィンドウで、コンマ区切り値 (CSV) テンプレートをダウンロードします。

6. ダウンロードした CSV テンプレートを編集して、追加するユーザーの一覧を加えます。

   各行に 1 つのユーザー プリンシパル名 (UPN) を追加します。 テンプレートの最初の 2 行は削除しないでください。

7. 変更内容を保存し、CSV ファイルをアップロードします。

   

8. [Submit](送信) をクリックします。

管理単位に新しいグループを作成する

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. [ID]>[役割と管理者]>[管理単位] に移動します。

3. 新しいグループを作成する管理単位を選びます。

4. [グループ] を選びます。

5. [新しいグループ] を選択し、新しいグループを作成する手順を完了します。

   

PowerShell

管理単位に、ユーザー、グループ、デバイスを追加したり、管理単位に新しいグループを作成したりするには、New-MgDirectoryAdministrativeUnitMemberByRef コマンドを使用します。

管理単位にユーザー追加する

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$userObj = Get-MgUser -Filter "UserPrincipalName eq '{user-principal-name}'"
$odataId = "https://graph.microsoft.com/v1.0/users/" + $userObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

管理単位にグループを追加する

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$groupObj = Get-MgGroup -Filter "DisplayName eq 'group-name'"
$odataId = "https://graph.microsoft.com/v1.0/groups/" + $groupObj.Id
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

管理単位にデバイスを追加する

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$odataId = "https://graph.microsoft.com/v1.0/devices/{device-id}"
New-MgDirectoryAdministrativeUnitMemberByRef -AdministrativeUnitId $adminUnitObj.Id -OdataId $odataId

管理単位に新しいグループを作成する

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq '{admin-unit-id}'"
$params = @{
    "@odata.type" = "#microsoft.graph.group"
    description = "{group-description}"
    displayName = "{group-name}"
    groupTypes = @(
        "Unified"
    )
    mailEnabled = $false
    mailNickname = "{group-name}"
    securityEnabled = $true
}
New-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id -BodyParameter $params

Graph API

管理単位に、ユーザー、グループ、デバイスを追加したり、管理単位に新しいグループを作成したりするには、メンバーの追加 API を使用します。

管理単位にユーザー追加する

要求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/{user-id}"
}

例

{
    "@odata.id":"https://graph.microsoft.com/v1.0/users/john@example.com"
}

管理単位にグループを追加する

要求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/{group-id}"
}

例

{
    "@odata.id":"https://graph.microsoft.com/v1.0/groups/871d21ab-6b4e-4d56-b257-ba27827628f3"
}

管理単位にデバイスを追加する

要求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$ref

本文

{
    "@odata.id":"https://graph.microsoft.com/v1.0/devices/{device-id}"
}

管理単位に新しいグループを作成する

要求

POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/

本文

{
    "@odata.type": "#Microsoft.Graph.Group",
    "description": "{Example group description}",
    "displayName": "{Example group name}",
    "groupTypes": [
        "Unified"
    ],
    "mailEnabled": true,
    "mailNickname": "{examplegroup}",
    "securityEnabled": false
}

次のステップ

• Microsoft Entra ID の管理単位
• 管理単位スコープを使って Microsoft Entra ロールを割り当てる
• 動的メンバーシップ グループの規則を使用して管理単位のユーザーまたはデバイスを管理する
• 管理単位からユーザー、グループ、またはデバイスを削除する