Microsoft Entra ID でロール割り当て可能なグループを作成する

[アーティクル]
11/30/2023

Microsoft Entra ID P1 または P2 では、ロールを割り当て可能なグループを作成して、それらのグループに Microsoft Entra ロールを割り当てることができます。ロール割り当て可能なグループを新しく作成するには、[グループに Microsoft Entra ロールを割り当てることができる] を [はい] に設定するか、isAssignableToRole プロパティを true に設定します。ロール割り当て可能なグループを動的メンバーシップグループ型の一部にすることはできません。 Microsoft Entra では、1 つのテナントに最大 500 個のロール割り当て可能なグループを含めることができます。

この記事では、Microsoft Entra 管理センター、PowerShell、または Microsoft Graph API を使用して、ロールを割り当て可能なグループを作成する方法について説明します。

前提条件

Microsoft Entra ID P1 または P2 ライセンス
特権ロール管理者
Microsoft Graph PowerShell を使用する場合、Microsoft.Graph モジュール
Azure AD PowerShell を使用する場合の Azure AD PowerShell モジュール
Microsoft Graph API の Graph エクスプローラーを使用する場合の管理者の同意

詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。

Microsoft Entra 管理センター

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
ID>グループ>すべてのグループ を参照します。
[新しいグループ] を選びます。
[新しいグループ] ページで、グループの種類、名前、説明を指定します。
[グループに Microsoft Entra ロールを割り当てることができる] を [はい] に設定します。

このオプションは、このオプションを設定できるロールである特権ロール管理者に表示されます。
グループのメンバーと所有者を選択します。オプションでグループにロールを割り当てることもできますが、こちらでロールを割り当てる必要はありません。
［作成］ を選択します

次のメッセージが表示されます。

Microsoft Entra ロール割り当ての対象となるグループの作成は、後で変更できない設定です。この機能を追加しますか?
[はい] を選択します。

ロールを割り当てていた場合にはそれが付いた状態で、グループが作成されます。

New-MgGroup コマンドを使用して、ロール割り当て可能なグループを作成します。

この例は、セキュリティロールを割り当て可能なグループを作成する方法を示しています。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

この例は、Microsoft 365 ロールを割り当て可能なグループを作成する方法を示しています。

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

New-AzureADMSGroup コマンドを使用して、ロール割り当て可能なグループを作成します。

$group = New-AzureADMSGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled $false -SecurityEnabled $true -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole $true

この種類のグループでは、isPublic は常に false、isSecurityEnabled は常に true になります。

ロールを割り当て可能なグループに 1 つのグループのユーザーとサービスプリンシパルをコピーする

#Basic set up
Install-Module -Name AzureAD
Import-Module -Name AzureAD
Get-Module -Name AzureAD

#Connect to Azure AD. Sign in as Privileged Role Administrator. This role can create a role-assignable group.
Connect-AzureAD

#Input variabled: Existing group
$idOfExistingGroup = "14044411-d170-4cb0-99db-263ca3740a0c"

#Input variables: New role-assignable group
$groupName = "Contoso_Bellevue_Admins"
$groupDescription = "This group is assigned to Helpdesk Administrator built-in role in Azure AD."
$mailNickname = "contosobellevueadmins"

#Create new security group which is a role assignable group. For creating a Microsoft 365 group, set GroupTypes="Unified" and MailEnabled=$true
$roleAssignablegroup = New-AzureADMSGroup -DisplayName $groupName -Description $groupDescription -MailEnabled $false -MailNickname $mailNickname -SecurityEnabled $true -IsAssignableToRole $true

#Get details of existing group
$existingGroup = Get-AzureADMSGroup -Id $idOfExistingGroup
$membersOfExistingGroup = Get-AzureADGroupMember -ObjectId $existingGroup.Id

#Copy users and service principals from existing group to new group
foreach($member in $membersOfExistingGroup){
if($member.ObjectType -eq 'User' -or $member.ObjectType -eq 'ServicePrincipal'){
Add-AzureADGroupMember -ObjectId $roleAssignablegroup.Id -RefObjectId $member.ObjectId
}
}

Microsoft Graph API

Create group API を使用して、ロール割り当て可能なグループを作成します。

この例は、セキュリティロールを割り当て可能なグループを作成する方法を示しています。

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

この例は、Microsoft 365 ロールを割り当て可能なグループを作成する方法を示しています。

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

この種類のグループでは、isPublic は常に false、isSecurityEnabled は常に true になります。

次の方法で共有

Microsoft Entra ID でロール割り当て可能なグループを作成する

前提条件

Microsoft Entra 管理センター

PowerShell

ロールを割り当て可能なグループに 1 つのグループのユーザーとサービスプリンシパルをコピーする

Microsoft Graph API

次のステップ

フィードバック

その他のリソース