Azure AD のグループ管理について

Azure Azure Active Directory

Azure AD のグループ

Azure AD の中心的な機能といえばアカウントやグループの管理ですよね。
グループは大きく分けて2つあります。

  • セキュリティグループ
  • Microsoft 365 グループ

また、セキュリティグループ、Microsoft 365 グループそれぞれ動的グループというものが作れて条件に合ったユーザー/デバイスを動的にグループに所属させると言う機能も提供されています。

セキュリティグループ

セキュリティグループは以下のように分類されます。

  • セキュリティグループ(メールアドレスなし)
    • オンプレミスADと同期する場合、メールアドレスが設定されていないとこの形式になる
  • メールアドレスが有効なセキュリティグループ
    • クラウドで作成する場合はExchange Onlineの管理画面での操作が必要
    • クラウドで作成した場合、後からメールアドレスを有効にすることが出来ない(オンプレADは可能)

また、グループに割り当てられるものはユーザーとデバイスがあり、メンバーシップは以下のように分類されます。
割り当て済みは手動でユーザーもしくはデバイスを登録できます。 デバイスグループは Azure AD Join / Azure AD Registered デバイスを登録でき、主に Microsoft Intune の利用時に必要となります。

  • 割り当て済み
  • 動的ユーザー
  • 動的デバイス

他のMicrosoft 365 プロダクトで権限など管理する場合、メールアドレスが有効ではないセキュリティグループでは権限が当てられなかったりするので、ユーザーを割り当てる場合はメールアドレスを有効にするか Microsoft 365 グループを選択することをお勧めします。

Microsoft 365 グループ

メンバーに共有メールボックス、カレンダー、ファイル、SharePoint サイトなどへのアクセスを付与できます。
グループ メンバーにはユーザーのみ指定可能です。
Teamsのチームを作成する時にはこのグループが作成されます。
部署毎のチームを作成する場合は、動的グループとして Microsoft 365 グループとして作成して動的に所属部署のユーザーアカウントを入れることも可能です。

Microsoft 365 グループのメンバーシップの種類は以下が選択可能です。

  • 割り当て済み
  • 動的ユーザー

動的ユーザーグループ

条件を指定して動的にユーザーをグループメンバーとして登録できます。
ルールとして指定できるプロパティは以下です。

  • accountEnabled
  • objectId
  • displayName
  • city
  • companyName
  • country
  • department
  • facsimileTelephoneNumber
  • givenName
  • employeeId
  • jobTitle
  • mail
  • mailNickname
  • mobile
  • passwordPolicies
  • physicalDeliveryOfficeName
  • postalCode
  • perferredLanguage
  • sipProxyAddress
  • state
  • streetAddress
  • surname
  • telephoneNumber
  • usageLocation
  • userPrincipalName
  • userType
  • onPremisesSecurityIdentifier
  • otherMails
  • proxyAddresses
  • assignedPlans
  • extensionAttribute1 〜 15

動的デバイスグループ

条件を指定して動的にデバイスをグループメンバーとして登録できます。
ルールとして指定できるプロパティは以下です。

  • accountEnabled
  • objectId
  • displayName
  • isRooted
  • deviceOSType
  • deviceOSVersion
  • deviceCategory
  • deviceManufacturer
  • deviceModel
  • deviceOwnership
  • enrollmentProfileName
  • managementType
  • organizationalUnit
  • deviceId
  • devicePhysicallds
  • systemLabels

例えば、Windowsだけを指定したデバイスグループを作る場合は以下のように指定します。

項目 パラメータ
プロパティ deviceOSType
演算子 Equals
Windows

Windows 11 だけのグループを作りたければ、上記条件に加えて以下をand条件で指定することで作成できます。

項目 パラメータ
プロパティ deviceOSVersion
演算子 Starts With
10.0.22000

AndroidiPhoneといった指定も出来ますので、色々お試しください。

グループへの Azure AD ロールの割り当て

セキュリティ、Microsoft 365 それぞれのグループには Azure AD ロールの割り当てが可能です。
これは例えば情シス部門へ Microsoft Intune の管理権限を割り振りたいという場合に、個人個人のアカウントではなく部署グループにロール割り当てをすることで、部署異動時の管理工数の削減が可能です。
この機能はグループ作成時にのみ有効化できるため、作成時にあらかじめロール割り当てを使うか決めておく必要があります。

f:id:tsukatoh:20220304183829p:plain

グループへのライセンス割り当て

Microsoft 365 / Office 365 ライセンスなどはグループに対して割り当てすることが可能です。
こちらも部署毎にE3だったりE5だったりと別れている場合は、各部署グループにあらかじめライセンス割り当てをしておくことで部署異動時に動的にライセンスをユーザーへ割り当てることができます。

f:id:tsukatoh:20220304183657p:plain

まとめ

Microsoft Azure を使う場合でも、Microsoft 365 を使う場合でも Azure AD のアカウント管理は重要なファクターです。
グループをうまく設計することで、アカウントやデバイスの管理が数倍にも楽になります。
組織にあったグループの設計をして管理工数を減らせる運用を是非目指してみてください。