グループに割り当てられている Microsoft Entra ロールのトラブルシューティングを行う

Microsoft Entra グループに Microsoft Entra ロールを割り当てる際の一般的な質問とトラブルシューティングのヒントを次に示します。

グループ管理者ですが、[グループに Microsoft Entra ロールを割り当てることができる] スイッチが表示されません。

特権ロール管理者は、ロールの割り当ての対象となるグループを作成できます。 このロールのユーザーには、このスイッチが表示されます。

Microsoft Entra ロールに割り当てられているグループのメンバーシップを変更できるのは誰ですか?

既定では、ロール割り当て可能なグループのメンバーシップを管理できるのは特権ロール管理者ですが、グループ所有者を追加して、ロール割り当て可能なグループの管理を委任できます。

組織のヘルプデスク管理者ですが、ディレクトリ閲覧者であるユーザーのパスワードを更新できません。 なぜですか?

そのユーザーは、ロールを割り当て可能なグループ経由でディレクトリ閲覧者となった可能性があります。 ロールを割り当て可能なグループのすべてのメンバーと所有者は保護されています。 特権認証管理者ロールのユーザーは、保護されたユーザーの資格情報をリセットできます。

あるユーザーのパスワードを更新できません。 そのユーザーには、高い特権ロールは一切割り当てられていません。 更新できないのはなぜですか?

そのユーザーは、ロールを割り当て可能なグループの所有者である可能性があります。 特権の昇格を避けるため、ロールを割り当て可能なグループの所有者は保護されています。 たとえば、Contoso_Security_Admins というグループがセキュリティ管理者ロールに割り当てられており、Bob がそのグループの所有者で、Alice は組織内のパスワード管理者であるとします。 この保護が存在しないとすれば、Alice が Bob の資格情報をリセットして、Bob の ID を引き継ぐことが可能になります。 そうなると、Alice は自身や他のユーザーを Contoso_Security_Admins グループに追加して、その組織のセキュリティ管理者になることができてしまいます。 あるユーザーがグループの所有者であるかどうかを確認するには、そのユーザーの所有オブジェクトの一覧を取得し、そのグループのいずれかで isAssignableToRole が true に設定されているかどうかを確認します。 設定されている場合、そのユーザーは保護対象であり、この動作は仕様によるものです。 所有オブジェクトの取得については、次のドキュメントを参照してください。

Microsoft Entra ロールに割り当てることができるグループ (具体的には、isAssignableToRole プロパティが true に設定されているグループ) にアクセス レビューを作成できますか?

はい、できます。 特権ロール管理者は、ロール割り当て可能なグループにアクセス レビューを作成できます。

アクセス パッケージを作成して、Microsoft Entra ロールに割り当てることができるグループをその中に配置することはできますか?

はい、できます。 ユーザー管理者には、任意のグループをアクセス パッケージに配置するアクセス許可があります。 グローバル管理者には何も変更はありませんが、ユーザー管理者ロールのアクセス許可には若干の変更が加えられています。 ロールを割り当て可能なグループをアクセス パッケージに配置するには、ユーザー管理者であると同時に、ロールを割り当て可能なそのグループの所有者でもある必要があります。 エンタープライズ ライセンス管理でアクセス パッケージを作成できるユーザーの完全な表を次に示します。

Microsoft Entra ディレクトリ ロール エンタイトルメント管理ロール セキュリティ グループの追加* Microsoft 365 グループの追加* アプリの追加 SharePoint Online サイトの追加
グローバル管理者 該当なし ✔️ ✔️ ✔️ ✔️
ユーザー管理者 該当なし ✔️ ✔️ ✔️
Intune 管理者 カタログ所有者 ✔️ ✔️    
Exchange 管理者 カタログ所有者   ✔️    
Teams サービス管理者 カタログ所有者   ✔️    
SharePoint 管理者 カタログ所有者   ✔️   ✔️
アプリケーション管理者 カタログ所有者     ✔️  
クラウド アプリケーション管理者 カタログ所有者     ✔️  
User カタログ所有者 グループ所有者の場合のみ グループ所有者の場合のみ アプリ所有者の場合のみ  

*グループはロールを割り当て可能ではありません。つまり、isAssignableToRole = false です。 グループがロールを割り当て可能な場合は、アクセス パッケージを作成するユーザーは、ロールを割り当て可能なそのグループの所有者でもある必要があります。

[割り当てられたロール] に [割り当ての削除] オプションが見つかりません。 ユーザーへのロールの割り当てをどうすれば削除できますか?

この回答は、Microsoft Entra ID P1 組織にのみ適用されます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. ユーザーを選択します。
  4. [割り当てられたロール] を選択します。
  5. 削除するロールの割り当てを選択します。
  6. 割り当ての削除 を選択して、直接ロールの割り当てを削除します。

間接的なロールの割り当てを削除するには、そのロールに割り当てられているグループからユーザーを削除します。

ロールを割り当て可能なすべてのグループを表示するにはどうすればよいですか?

次の手順のようにします。

  1. Microsoft Entra 管理センターにサインインします。
  2. ID>グループ>すべてのグループ を参照します。
  3. [フィルターの追加] を選択します。
  4. [ロールを割り当て可能] でフィルター処理を実行します。

プリンシパルに直接または間接的に割り当てられているロールを確認するにはどうすればよいですか?

次の手順のようにします。

  1. Microsoft Entra 管理センターにサインインします。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. ユーザーを選択します。
  4. [割り当てられたロール] を選択します。
  5. Microsoft Entra ID P1 ライセンスをお持ちの場合は、[割り当てパス] 列を表示してください。
  6. Microsoft Entra ID P2 ライセンスをお持ちの場合は、[メンバーシップ] 列を表示してください。

ロールに割り当てるための新しいグループを作成する必要があるのはなぜですか?

既存のグループをロールに割り当てると、その既存のグループの所有者がこのグループに他のメンバーを追加し、それらの新しいメンバーが自分はロールを持つことになるということを認識しない事態が起こり得ます。 ロールを割り当て可能なグループは強力なので、それを保護するために多くの制限が設けられています。 グループを管理しているユーザーが驚くような変更をグループに加えることは望ましくありません。