1. HOME
  2. Blog
  3. Microsoft 365
  4. セキュリティグループを作成するときの考え方

ブログ

Blog

Microsoft 365

セキュリティグループを作成するときの考え方

設計が大切なセキュリティグループ

ある程度の規模の組織になると、セキュリティグループを作成してユーザーの権限管理をすることが多いかと思います。

グループを適当に作り始めると後が大変になります。すでにグループが乱立している場合もあると思いますが、グループの設計についてどのように考えるかについてご紹介しています。

ここでは、権限管理のためのグループなので、セキュリティグループの話です。メール配信のために利用する配布グループの事は考えておりません。

また、新しいグループである Microsoft 365 グループはここで紹介する管理の方法はできないので、その点については、あらかじめご留意ください。

Microsoft 365 グループについては、こちらで少し説明しています。
2020.03.31
便利で厄介な Microsoft 365 グループ
Microsoft 365 グループの理解は、Teams をはじめとして、Microsoft 365 の管理にとって非常に重要なポイントです...

小さなグループから作っていく

一番の基本は、まず全体の構造を明確にすることです。

セキュリティグループを作成するとき

グループの構造を明確化する

巨大な組織だと、なかなか難しい課題ですが、ある程度の規模までの組織であれば、きちんと組織を構造化して図示するのが分かり易いでしょう。

どんな組織でも、意思決定が必要な場合には、あるメンバーには必ず上司がいるはずです。上司がいないのは、ある意味その組織のトップだけで、基本的には必ず上司がいるのが組織の構造になっていると思います。その組織関係を明確にすることがはじめの1歩です。

実際にセキュリティグループを作成する際にありがちなことなのですが、まず全社員が入っている一番上部のグループから作成してしまうことです。上位のグループから作成してしまうと、下位のグループも一人ひとりユーザーを追加する必要があることになります。最初だけならばいいのですが、異動の時には大変です。例えば、第一営業課のチーム A に在籍するメンバーが経理部のチーム B に異動になったとき、どのような修正が必要か考えてみましょう。もちろん、チーム A からユーザーをはずして、経理部のチーム B にユーザーを追加する、という作業がすぐに思い浮かぶことです。

では、その上の営業部と経理部はどうでしょうか? やはりユーザーを削除して追加するという作業が必要になるでしょう。これが面倒な作業になります。

セキュリティグループの作り方としては、第一営業課のユーザーは、個別に追加せずにセキュリティグループのチームA, B, C をいれればそのような作業がなくなります。営業部は、第一営業課、第二営業課、第三営業課をグループとして追加すればいいのです。

そのように小さなグループにユーザーを入れて、その上は、グループごと入れてしまうことで、セキュリティグループの管理がより容易になります。

上手にネストする

つまり、セキュリティグループを作成するときの重要なポイントは、小さなグループからユーザーを入れて、後は上位のグループには、グループごと入れることを考える、ということが重要だと言うことです。もちろん、実際にはそれほど簡単ではないことは承知しています。

例えば、正社員以外に、派遣社員、アルバイト、契約社員など雇用形態によっても権限が異なるでしょう。でも考え方は同じです。

セキュリティグループ

雇用形態を考えたグループの作成

正社員のセキュリティグループに、そのセキュリティグループを含めたその他の雇用形態のユーザーを追加して、一つ大きなグループを作成して対応します。課の単位や、部の単位でもこのグループを利用すること、雇用形態の異なる社員も含めたグループを作成することができます。最終的には全社員についても同じ事が可能です。

メールが有効なセキュリティグループ

Active Directory にせよ、Azure Active Directory にせよ、セキュリティグループは二つあります。いわゆるセキュリティグループメールが有効なセキュリティグループです。メールが有効なセキュリティグループにすれば、そこで設定したメールアドレスでグループ全員にメールを送信することができるようになります。グループ宛にメールを送信したくない、という強い要件がないのならば、メールが有効なセキュリティグループにするのが良いでしょう。ちなみに、全社員宛にメールを送信できるユーザー権限を制限することもできるので、そうしたコントロールをいれれば、グループ宛のメール送信が乱用されることを防ぐことは可能です。

階層化できないセキュリティグループ

もちろん、全てのグループが階層化できるわけではありません。階層化できないグループは、個別にユーザーを追加したり削除したりする必要があります。

結果的には、グループを正しく管理するには、ユーザーをリスト化して、ぞれぞれのユーザーがどのグループに入っているかを管理することが必要になると思われます。きちんと管理するのであれば、 SharePoint のカスタムリストで管理するのも一つの方法です。

最初にお伝えしたように、このグループ管理は、 Microsoft 365 グループには当てはまりません。なぜならば現時点では、Microsoft 365 グループにグループを入れる機能がないからです。

一日も早く Microsoft 365 グループでもグループを入れることができる機能が実装されることを期待しています。

->各種お問い合わせはこちらから

Related posts

ブログ記事

無料セミナー開催中!