💭
【Microsoft Entra ID】グループ毎の動作の違い
はじめに
Microsoft Entra IDのグループを使ってライセンス付与や権限等々の制御する場合、主に下記を用いるかと思います。
- セキュリティグループ
- メールが有効なセキュリティグループ
- MS365グループ
それぞれ似たようなことができますが、微妙に差異があって困ったのでまとめることにしました。(どっかに情報ありそうだけど)
実環境で確認しておりますが、もし相違ありましたら遠慮なくコメントいただけますと幸いです。
なお、当該情報は2024/05/21時点となりますのでご注意ください。
一覧
| 名称 | セキュリティグループ | メールが有効なセキュリティグループ | MS365グループ | 備考 |
|---|---|---|---|---|
| グループにメンバー(メールあり)を追加できるか | 〇 | 〇 | 〇 | |
| グループにメンバー(メールなし)を追加できるか | 〇 | × | 〇 | |
| グループにゲストを追加できるか | 〇 | 〇 | 〇 | |
| グループにデバイスを追加できるか | 〇 | × | × | |
| セキュリティグループにグループ追加可能か | 〇 | 〇 | × | 但し、左記のセキュリティグループに管理者ロールが付与されていた場合、メールが有効なセキュリティグループ(MS365グループも)は追加できない。 |
| メールが有効なセキュリティグループにグループ追加可能か | × | 〇 | × | |
| MS365グループにグループ追加可能か | × | × | × | |
| グループに管理者ロールを割当てできるか | 〇 | × | 〇 | 「グループに Microsoft Entra ロールを割り当てることができる」の設定がONになっている必要がある。当該設定はグループ作成後の変更は不可。 |
| グループにライセンスを割当てできるか | 〇 | 〇 | × | |
| グループにエンタープライズアプリケーションを割当てできるか | 〇 | 〇 | 〇 | |
| グループにAzureロールを割当てできるか | 〇 | 〇 | × |
ざっくりまとめ
- メールがないとメールが有効なセキュリティグループに追加できない
- デバイス追加はセキュリティグループのみ
- 管理者ロールの管理をしたいならセキュリティグループが良さそう
- メールが有効なセキュリティグループ同士で入れ子にできるので、メールアドレスもできるしピラミッド的な組織図の管理では良さそう
- MS365グループはTeamsとかメールアドレスもあって便利だけど、ライセンスやAzureロールのところで制限あるよ
Discussion