コース: システム管理の基礎知識 by Microsoft x LinkedIn
グループを作成して管理する
オンプレミスの Active Directory Domain での グループ作成は、 Azure Active Directory と それほど変わりません。 この画面は、 オンプレミスの Active Directory で、 Active Directory ユーザーと コンピューターを開いているところです。 これから新しいグループを 作成していきます。 これらのフォルダか 組織単位へのいずれかを 右クリックし、 続いて、「新規作成」> 「グループ」の順に選択します。 ウィザードが表示され、 グループ名の入力を求められます。 ここでは、Accounting Group と 呼ぶことにします。 最初のボックスに記入すると、 Windows 2000 より前と 書かれている2番目のボックスにも 自動的に追加されます。 その下のグループのスコープと グループの種類は、 何を選ぶかで、 結果がかなり違うので、 重要な設定項目です。 グループの種類は、 規定では、セキュリティになっています。 この設定で作成したグループに 共有フォルダや アプリケーションなどへの アクセス許可を割り当てると、 あとからこのグループに追加された ユーザーも、 許可されたリソースを 使用できるようになります。 もうひとつの配布という設定は、 Microsoft Exchange の メールサーバーの利用に関係します。 Exchange Online を 使用している場合は、 Azure Active Directory コネクタで、 グループ内のすべてのユーザーを 同期しない限り、 Azure Portal に反映されません。 左側は、グループのスコープです。 「ドメインローカル」を選ぶと、 現在ログインしている ローカルのドメインに限定されます。 「グローバル」にすると、 同じフォレストに含まれる すべてのドメインが対象になります。 「ユニバーサル」にすると、 さまざまなフォレストのユーザーと グループを含む、 グループを作成することができます。 デフォルトでは、 「グローバル」になっていて、 シングルドメインかマルチドメインを カバーできるように設定されます。 これは将来、同じフォレストの下に 新しいドメインを作成しても そのグループを 使用できるようにするためです。 「OK」をクリックします。 そして、名前の列の幅を広げると、 作成したアカウンティンググループが 表示されていることがわかります。 では、Active Directory に 新しいユーザーを作成し、 そのユーザーを グループに追加してみましょう。 右クリックして、 「新規作成」>「ユーザー」の順に 選択すると、 ウィザードが表示されます。 名前を入力する欄には、 Accounting ユーザーと 書くことにします。 「ユーザーのログオン名」という欄には、 acctuserと入れて、 「次へ」をクリックします。 次はパスワードの作成です。 規定のルールに従って このパスワードは 長さを7文字以上とし、 大文字と数字をそれぞれ少なくとも 1文字ずつは含めるようにします。 その下には、 いくつかのオプションがあります。 状況に応じて、ユーザーは 次回ログオン時にパスワード変更が必要、 パスワードを無期限にするといった 設定を行うことができますが、 ユーザーはパスワードを変更できない という設定は、 選ばないほうがいいでしょう。 多くの場合、日数に応じて パスワードをローテーションで 使い回すことになってしまうからです。 そして最後のオプションは、 アカウントを無効にする設定です。 これは、架空のユーザーなので、 「パスワードを無期限にする」に チェックを入れて、 「次へ」「完了」の順にクリックします。 では、Accounting Group に移動して、 「メンバー」をクリックします。 ここで「追加」ボタンをクリックし 名前を入力する欄に acc まで入れて、 「名前の確認」をクリックしてみましょう。 一致する項目の一覧に、 新たに作成した アカウンティングユーザーが 入っています。 このユーザーを選択して、 グループに追加します。 今度は、portal.azure.com の azure portal です。 Azure Active Directory を クリックします。 そうすると、 Azure Active Directory にある すべてのユーザーと、 グループのリストが表示されるはずです。 現在は、オンプレミスの Active Directory を Azure Portal に 同期していませんが、問題ありません。 同期がなくても、グループを作成し、 ユーザーを割り当てる方法を 紹介できます。 これが今あるユーザーのリストです。 ひとつ戻って、 グループのリストにします。 ここから、新しいグループを作成します。 リストのうち、 グループの種類の欄を見ると、 ここにあるグループのうち、 2つは Microsoft 365 という 種類になっています。 「新しいグループ」をクリックすると、 グループの種類にセキュリティと Microsoft 365 のオプションが 表示されます。 前にも説明しましたが、 セキュリティグループは、 オンプレミスと まったく同じように機能します。 セキュリティグループは、 共有フォルダやアプリケーションなどの リソースに アクセスするためのグループです。 一方、Microsoft 365 の グループは、 オンプレミスの Active Directory Domain で見た 配布のグループと同じようになります。 つまり、このグループに ユーザーを追加すれば、 個別にメールを送らなくても、 グループにメールを送るだけで、 全員に一斉に届くわけです。 このグループには、 MyEmailGroup という 名前を付けることにします。 するとこのように、 規定のドメイン名で グループのメールアドレスが 自動的に作成されます。 「グループの説明」という欄には、 このグループについての 説明を入力することができます。 「メンバーシップの種類」は、 割り当て済みに 設定されていることがわかります。 これは、そのグループに ユーザーを個別に 追加できることを意味します。 割り当て済み以外の選択肢は、 動的なメンバーシップです。 動的とは、特定のルールを持つ グループを作成し、 その規則に該当する人を 自動的にメンバーに追加する ということです。 例えば、シカゴに住んでいるという 情報が、プロパティの中にある人、 といったルールを指定すれば、 Azure Active Directory ユーザーの中の該当する全員が 自動的にメンバーになります。 これは、オンプレミスで作成する グループには、当てはまりません。 オンプレミスの Active Directory Domain に ダイナミックアクセス制御と呼ばれる 機能を追加すれば、 動的なメンバーシップグループを 作成することも可能になりますが、 それには、複雑な設定が必要です。 では、先に進み、グループの所有者を 設定しましょう。 次に、メンバーを選択していきます。 メンバーは一人から何人でも 追加できます。 「作成」ボタンをクリックします。 右上に、グループが正常に作成されました というメッセージが出ましたが、 このグループを表示させるには、 更新する必要があります。 「更新」をクリックすると、 作成された MyEmailGroup が 表示されました。 ところで、そもそもなぜ グループを作成する必要があるのかと 思う人もいるでしょう。 リソースにグループを追加する場合として、 例えば、「共有」フォルダへの グループの追加を考えてみましょう。 企業では、多くのユーザーが 採用されたり、離職したりを 繰り返しています。 中には、入れ替わりが激しい 企業もあります。 こうした企業に、 たくさんの共有フォルダがあると、 入れ替わりのたびに それぞれのフォルダに入って、 追加や削除しなければなりません。 しかし、共有リソースのメンバーを グループ単位にして、 個別のユーザーを該当するグループの メンバーとする方法なら、 移動に伴う処理は、ひとつのグループへの 追加、または削除だけで済みます。 グループの作成と管理に関しては、 オンプレミスと Azure の Active Directory に 大きな違いはありません。 どちらも、セキュリティか、 配布のどちらかを選択して、 グループを作成することで、 システム管理者の時間と労力を 大幅に削減できるのです。
コースをダウンロードして学習しましょう。
ラーニングコースをダウンロードしてオフラインで視聴しましょう。ダウンロードしたコースはLinkedInラーニングのモバイルアプリ (iOSまたはAndroid) で視聴できます。