グループを作成、構成、管理する
Microsoft Entra グループは、ユーザーの整理に役立ち、アクセス許可の管理をより簡単にします。 グループを使用すると、リソース所有者 (または Microsoft Entra ディレクトリ所有者) は、グループのすべてのメンバーにアクセス許可のセットを割り当てることができ、各人に権限を与える必要がありません。 グループでは、セキュリティ境界を定義し、特定のユーザーを追加および削除して、最小限の労力でアクセスを許可または拒否することができます。 さらなる利点として、Microsoft Entra ID では、ユーザーが所属している部署や役職など、ルールに基づいてメンバーシップを定義する機能がサポートされています。
Microsoft Entra ID では、2 つの異なる種類のグループを定義できます。
- セキュリティ グループ - 最も一般な種類のグループであり、ユーザー グループのメンバーと共有リソースへのコンピューター アクセスを管理するために使用されます。 たとえば、特定のセキュリティ ポリシーのセキュリティ グループを作成できます。 このようにすると、すべてのメンバーにアクセス許可のセットを一度に付与でき、各メンバーにアクセス許可を個別に追加する必要がありません。 このオプションには、Microsoft Entra 管理者が必要です。
- Microsoft 365 グループ - 共有メールボックス、カレンダー、ファイル、SharePoint サイトなどへのアクセス権をメンバーに付与することで、コラボレーションの機会を提供します。 このオプションを使用すると、組織外のユーザーにグループへのアクセス権を付与することもできます。 このオプションは、ユーザーおよび管理者が使用できます。
利用可能なグループを表示する
[Microsoft Entra - ID] ダッシュボードの [管理] グループの下にある [グループ] アイテムを通してすべてのグループを表示できます。 新しい Microsoft Entra ID デプロイには定義済みのグループは一つも含まれていません。
注意する必要があるグループの 2 つ目の特性は、メンバーシップの種類です。 これにより、個人メンバーをグループに追加する方法が指定されます。 次の 2 種類があります。
- 割り当て済み - メンバーは手動で追加および管理されます。
- 動的 - メンバーはルールに基づいて追加され、動的グループが作成されます。 これらのグループは引き続きセキュリティ グループまたは Microsoft 365 グループのいずれかであり、メンバーはルールによって制御されます。
動的グループ
最後のグループの種類は動的グループです。それは名前が暗示しているように、グループが使用されるたびに数式によってメンバーシップが生成されます。 動的グループには、属性値がフィルターと一致する Active Directory 内の受信者が含まれます。 受信者のプロパティがフィルターと一致するように変更された場合、受信者が誤ってグループ メンバーになり、グループに送信されたメッセージの受信が開始される可能性があります。 明確に定義された一貫したアカウント プロビジョニング プロセスにより、この問題が発生する可能性が低くなります。
この動的グループは、Microsoft Entra ID のすべての有効なメンバーで構成されます。