Microsoft Entra ID でロール割り当て可能なグループを作成する

この記事では、Microsoft Entra 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用してロール割り当て可能なグループを作成する方法について説明します。

Microsoft Entra ID P1 または P2 では、ロールを割り当て可能なグループを作成して、それらのグループに Microsoft Entra ロールを割り当てることができます。 ロール割り当て可能なグループを新しく作成するには、[グループに Microsoft Entra ロールを割り当てることができる] を [はい] に設定するか、isAssignableToRole プロパティを true に設定します。 ロール割り当て可能なグループを動的メンバーシップ グループ型の一部にすることはできません。 Microsoft Entra では、1 つのテナントに最大 500 個のロール割り当て可能なグループを含めることができます。

前提条件

• Microsoft Entra ID P1 または P2 ライセンス
• 特権ロール管理者
• PowerShell を使用する場合の Microsoft Graph PowerShell モジュール
• Microsoft Graph API の Graph エクスプローラーを使用する場合の管理者の同意

詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。

ロール割り当て可能なグループを作成する

管理センター

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

1. Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。

2. ID>グループ>すべてのグループ を参照します。

3. [新しいグループ] を選びます。

4. [新しいグループ ] ページで、グループの種類、名前、説明を指定します。

5. [グループに Microsoft Entra ロールを割り当てることができる] を [はい] に設定します。

   このオプションは、このオプションを設定できるロールである特権ロール管理者に表示されます。

   

6. グループのメンバーと所有者を選択します。 オプションでグループにロールを割り当てることもできますが、こちらでロールを割り当てる必要はありません。

7. ［作成］ を選択します

   次のメッセージが表示されます。

   Microsoft Entra ロール割り当ての対象となるグループの作成は、後で変更できない設定です。 この機能を追加しますか?

   

8. [はい] を選択します。

   ロールを割り当てていた場合にはそれが付いた状態で、グループが作成されます。

PowerShell

New-MgGroup コマンドを使用して、ロール割り当て可能なグループを作成します。

この例は、セキュリティ ロールを割り当て可能なグループを作成する方法を示しています。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

この例は、Microsoft 365 ロールを割り当て可能なグループを作成する方法を示しています。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Graph API

Create group API を使用して、ロール割り当て可能なグループを作成します。

この例は、セキュリティ ロールを割り当て可能なグループを作成する方法を示しています。

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

応答

HTTP/1.1 201 Created

この例は、Microsoft 365 ロールを割り当て可能なグループを作成する方法を示しています。

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

この種類のグループでは、isPublic は常に false で、isSecurityEnabled は常に true です。

次のステップ

• Microsoft Entra ロールを割り当てる
• Microsoft Entra グループを使用してロールの割り当てを管理する
• グループに割り当てられている Microsoft Entra ロールのトラブルシューティングを行う