Go to Qiita Advent Calendar 2024 Top
LoginSignup
9
12

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@hisssa0102(hisssa)

【備忘録】Office365の各グループの機能まとめ その2

Last updated at Posted at 2020-01-27

Office365の各グループはややこしい。ってことで前回、【備忘録】Office365の各グループの機能まとめ その1 にまとめてみた。ユーザー目線でまとめてみたけど、管理者目線でも使い分けしたほうがいい部分があり、まとめてみた。

切り口も別物なのですが、ご容赦を。

2020/08/08ネストに関して加筆しました。

#Intuneでの、アプリケーション配布

Intuneで管理しているデバイスに、クライアントアプリをインストールを設定できる(強制、任意とか)。メールが可能なセキュリティグループ、セキュリティグループ、それからOffice365グループも使える。

image.png

ネストされているグループでも配布可能対象に設定できます。親グループにアプリケーション配布を設定すれば、配下のユーザーのデバイスにもアプリのインストールを構成できます。

#AzureADでの、条件付きアクセス

メールが可能なセキュリティグループ、セキュリティグループ、Office365グループ、配布リストもも使える。

配布リストも割り当て出来て、対象ユーザーのサインインのレポートにも表示されてた。驚き。

image.png

ネストされているグループでは、入れ子になっているグループには付与できない。
個別に設定する必要があります。

#AzureADでの、グループベースのライセンス付与

特定のグループのメンバーには、特定のライセンスを自動付与できる。
メールが可能なセキュリティグループ、セキュリティグループが使えるけど、Office365グループは使えない。

image.png

ネストされているグループでは、入れ子になっているグループには付与できない。
個別に設定する必要があります。

#AzureADでの、エンタープライズアプリケーションへのアクセス権付与

Azure AD AppProxyでのアプリケーション割り当てや、外部SaaSの割り当てもグループベースで割り当ても、グループベースで行える。

先ほどのライセンス付与と同じく、メールが可能なセキュリティグループ、セキュリティグループが使えるけど、Office365グループは使えない。

ネストされているグループでは、入れ子になっているグループには付与できない。
個別に設定する必要があります。

#Azureポータルでのグループ作成
Azure Portalでは、セキュリティグループとOffice365グループしか作成できない。
配布リストやメールが可能なセキュリティグループをつくりたいばあいは、Microsoft365管理センターであれば作成できる。

image.png

#まとめてみた

配布リスト セキュリティグループ メールが可能なセキュリティグループ Office365
グループ		 SharePointグループ 備考
- Intuneでのアプリ配布 Intuneでのアプリ配布 Intuneでのアプリ配布 - -
条件付きアクセス割り当て 条件付きアクセス割り当て 条件付きアクセス割り当て 条件付きアクセス割り当て - ネストしている場合、子グループには適用されない
- グループベースのライセンス付与 グループベースのライセンス付与 - - ネストしている場合、子グループには適用されない
- エンタープライズアプリケーションの割り当て エンタープライズアプリケーションの割り当て - - ネストしている場合、子グループには適用されない
- Azureポータルでの作成 - Azureポータルでの作成 -

#所感

その2で書いた機能をユーザーが設定することはあまりなくて、管理者側が設定することがほとんど。

とはいえメンバーのメンテナンスをユーザー側に渡すケースも多いはず。ユーザー目線だと、1つであれもこれもできたほうがいいのだけど、エンタープライズアプリケーションの割り当てには365グループ(=Teams)は使えない。残念。

たとえば、ある部門が導入したSaaSとかAzure AD AppProxyの対象ユーザーの割り当て(条件付きアクセスを含む)をその部門で実施させたい場合は、「メールが可能なセキュリティグループを作成し、メンテナンスしてもらう」とするのが最上。利用者全体にメールでの一斉周知にも利用できるし、Outlookからメンバーメンテナンスも委任できる。
「必要なグループをすべて指定してもらう」というのも手ですが。

AzureADに関連するアクセス権のメンバー管理する場合は、メールが可能なセキュリティグループがベターではないだろうか。

配布リストで条件付きアクセスを割り当てられることは意外とはいえ、ライセンス付与や条件付きアクセスには使えませんから、に配布リストで管理するメリットはあまりありませんね。

365グループ単位でライセンス割り当てとか、条件付きアクセスとか構成出来たらなぁ・・・。

9
12
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
9
12

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?