Azure AD Group Types Explained – Security / Microsoft 365 Groups. Microsoftの現在のイテレーションは、顧客にシームレスなエクスペリエンスを提供することを目指した数年にわたる技術開発の結果です。したがって、Microsoftはグループ機能を作成し、ユーザーがリソースを管理できるようにしました。ただし、これにより、多くのオブジェクトタイプが作成されました。例えば、Microsoft 365とAzure Active Directory セキュリティグループ。
この記事ブログを始めましょう、Azure ADグループの種類について説明します – セキュリティ / Microsoft 365 グループ。
こちらも読んでみてください:Azureセキュリティベストプラクティス – コンプライアンス用(チェックリスト)
しばしば、これら2つの間の区別はユーザーにとって明確ではなく、ユーザーは特定のタスクにどちらのグループを選択すべきか常に確信が持てません。
Microsoft 365 グループとは何ですか?
主に、Microsoft 365は、ユーザーが協力して作業することをより簡単にすることを目指して構築されています。したがって、Microsoft 365 グループはそれを念頭に置いて構築されています。これらのグループは、ユーザーが協力したい人々の一団を選択し、その後、彼らの間で共有されるリソースのプールを設定できるようにします。
Microsoft 365セキュリティグループを使用すると、指定されたユーザーのセットに対して一様なアクセスを一連のリソースに付与できます。すべてのOutlook、Skype for Business、Planner、SharePoint、OneNote、Power BI、およびDynamics CRM が、これらのおかげで統一されたアクセス許可セットを利用できる可能性があります。Microsoft 365セキュリティグループを使用して、会社外のユーザーを招待するオプションさえあります。
また、Active Directory PowerShellモジュールのインストール方法とインポートも参照してください。
Azure ADセキュリティグループとは何ですか?
最初に、Azure セキュリティ グループは、オンプレミスの Active Directory セキュリティ グループと同様の方法で機能します。Windows AD から同期して Azure AD Connect で作成するか、Azure AD で直接作成します。静的メンバーシップのオプションがあります。また、メンバーシップを定義するためにルールを使用することもできます。さらに、AD セキュリティ グループは Azure AD のオブジェクトを管理する際に便利です。
グループ内の各人には、SharePoint リソースへのアクセス権が与えられるか、グループ全体にライセンスが与えられます。セキュリティ グループの各メンバーに手動で権限を与える必要はありません。代わりに、所望の権限を持つすべての人にグループ全体にセキュリティ ポリシーを適用します。
ここで重要な点は、セキュリティ グループがユーザー、デバイス、他のグループ、さらにはサービス プリンシパルをメンバーとして含むのに対し、Microsoft 365 グループにはユーザーのみが含まれるということです。
メンバーシップカテゴリ
まずは、さらに踏み込む前に、Azureメンバーシップの種類について説明しましょう。これらのグループには3つの種類のメンバーシップがあります。割り当てられたもの、動的ユーザー、そして動的メンバーシップです。
- 割り当てられた:これにより、グループにユーザーを追加し、独自の権限を割り当てることができます。
- 動的ユーザー:動的メンバーシップルールを使用して、ユーザーを自動的に追加および削除できるようになります。これを行うには、システムがディレクトリの動的グループルールを確認し、メンバーがルールの要件に一致するかどうか(追加される)、または一致しなくなったかどうか(削除される)を確認します。
- 動的デバイス:これにより、グループルールを使用してデバイスを自動的に追加および削除できるようになります。これを行うには、システムがデバイスのプロパティがルールの要件に一致するかどうか(デバイスが追加される)、または一致しなくなったかどうか(デバイスが削除される)を確認します。
アクセス権の割り当て方法
グループを作成した後の次のステップは、アクセス権限を決定することです。アクセス権限を割り当てる方法は4つあります:直接割り当て、グループ割り当て、外部機関による割り当て、およびルールベースの割り当て。
直接割り当て:ここでは、リソース所有者がユーザーを直接割り当てます。
グループ割り当て:リソース所有者はリソースにAzure ADグループを割り当て、自動的にすべてのグループメンバーにアクセス権を付与します。グループ所有者とリソース所有者は、メンバーを追加または削除する権限を持っています。アクセス
外部機関による割り当て:この場合、オンプレミスディレクトリやSaaSアプリがアクセスを提供します。リソース所有者は、リソースにアクセスを提供するためにグループを割り当て、外部ソースがグループメンバーを管理します。
ルールベースの割り当て:リソース所有者はグループを作成し、ユーザーをリソースに割り当てるためのルールを使用します。ユーザー属性がルールを決定します。この場合、リソース所有者は、リソースにアクセスするために必要な属性と値を決定します。
それらの管理の違い
これらのグループを誰が管理していますか?
Azure AD セキュリティ グループ
Azure AD セキュリティ グループに関しては、これらのグループを管理する複数のユーザー グループがあります。これらのユーザー グループには、グループ管理者、ユーザー管理者、特権ロール管理者、およびグローバル管理者が含まれます。特筆すべきは、オンプレミスのWindows ADから同期されたこれらのグループを Azure AD で管理できないことです。これらのグループは、たとえば、コンピューターとActive Directory ユーザーなどのオンプレミス ツールを使用してのみ管理します。最も重要なのは、Azure ADConnect がこれらの場合に便利であり、Azure AD で行われた変更を同期します。
Microsoft 365 グループはどうですか?
Microsoft 365のグループでは、グループの所有者がグループがサポートするアプリケーションのいずれかでグループのメンバーシップを制御する機能があります。たとえば、グループの所有者はTeamsアプリ、Outlook、Outlook Online、またはSharePointサイトそのものからグループにメンバーを追加できます。
1つのアプリで行われたグループの変更は、グループがサポートする残りのアプリで自動的に同期されます。
留意すべき重要な点は、異なるアプリケーションを使用した管理の経験が異なるためです。所有者は特定のタスクを完了するために特定のアプリを使用する必要がある場合があります。たとえば、グループのプライバシー設定を更新したい場合は、OutlookまたはOutlook Onlineを使用する必要があります。これは、SharePointがこの設定の変更を許可していないためです。
管理者権限を持つユーザーはまた、Microsoft 365 グループをAzureポータルとPowerShellを介して作成します。さらに、これらの管理者ユーザーは、同じインターフェースを使用してグループの設定とメンバーシップを制御することもできます。
次に、Azure AD グループタイプの説明 – セキュリティ/Microsoft 365 グループでは、グループの管理方法を説明します。
グループの管理方法は?
Azure AD セキュリティ グループ
また、Azureには、これらのグループを管理するための幅広い方法を提供するよく記載されたAPIがあります。グラフィカルユーザーインターフェースであるAzureポータルは、これらのリソースを管理するための主要な手段です。適切な権限を持つユーザーは、Azureポータルを使用してAzure ADセキュリティグループを編集、作成、表示、および削除できます。
Azure Active Directory Security Groupsも、PowerShellを使用してAzure ADモジュールで管理できます。ただし、このモジュールは.Net Coreと互換性がないため、Windows PowerShell 5.xホストが必要です。
Microsoft 365 groups
Microsoft 365 Groupsは、Outlook、Outlook on the Web、Outlook Mobile、SharePoint、Planner、Teamsなど、さまざまなアプリケーションから作成されます。これらのグループを作成するために使用するツールは、グループの使用目的に大きく依存します。
たとえば、オフィス全体のメールとカレンダーに基づいたグループを作成する必要がある場合は、Outlookが最適な選択です。職場の全員に情報を広めたい場合は、Yammerグループが最良のオプションです。また、チャットベースのプロジェクトグループを作成したい場合は、Microsoft Teamsをお勧めします。
アクセス可能性については、グループはプライベートまたはパブリックのいずれかです。グループのオーナーがグループを公開できるものにするか、プライベートに保つかを決定します。パブリックグループのコンテンツをすべてのユーザーが閲覧したり、グループに参加したりできます。プライベートグループでは、グループの管理者の承認を受けたメンバーのみがコンテンツを閲覧でき、新しいメンバーはグループの管理者によって承認される必要があります。
招待されたゲストを除いて、パブリックグループもプライベートグループも、組織外の人々にアクセスを許可しないことに注意することが重要です。
使用法の違い
Azure ADセキュリティグループ
重要なことに、Azure ADセキュリティグループはMicrosoft 365ではほとんど使用されません。ただし、グループベースのライセンスをユーザーに割り当てるために使用されることがあります。これは、オンボーディング中に自動化する必要がある場合に役立ちます。
Microsoft 365ライセンス
もう1つの使用法は、SharePointグループです。
基本的に、SharePoint グループは Azure AD セキュリティ グループを SharePoint リソースへのアクセス権を付与するために追加できます。ただし、これはリスクがあると考えられています。なぜなら、SharePoint サイトの管理者や所有者は、誰がサイトにアクセスできるか、または Azure AD セキュリティ グループのメンバーであるかを知ることができないからです。
Microsoft 365 Groups
明らかに、Microsoft は Microsoft 365 グループ をリソースの権限付与の将来と位置づけています。Microsoft 365 グループは、Microsoft 365 ユーザーが最小限の管理で Microsoft 365 アプリケーション スイート全体を利用できるという特徴的な利点があります。
グループ所有者は、グループが何を行っているかを見るための明確な視点を持っています。要約すると、Microsoft 365 グループは、SharePoint ファイル、Teams のリアルタイム コラボレーション、Exchange メールのディスカッションをセキュアかつ管理します。
Azure AD グループの種類について説明した記事「Azure AD Group Types Explained – Security / Microsoft 365 Groups」をお読みいただき、ありがとうございます。この記事はこれで終了します。
Azure ADグループタイプ – セキュリティ / Microsoft 365グループ 結論
長い間、Microsoft 365とAzure ADセキュリティグループは、Microsoftユーザーにとって不可欠なツールであり続けてきました。これらのグループは、それぞれ固有の機能、管理方法、および使用上の制限があります。そのため、それらの違いを理解してから使用することを常にお勧めします。
マイクロソフトがOffice 365グループをアプリケーション内のリソース管理に移行することを望んでいることは明らかですが、Azure ADセキュリティグループの知識も、それらの使用が必要とされる状況で役立つことがあります。
Source:
https://infrasos.com/azure-ad-group-types-explained-security-microsoft-365-groups/