こんにちは、あんこ先生です。
アプリの共有、グループで設定したくありませんか?
人事異動があると、人数×アプリ数の変更が必要になりますよね。
アプリやユーザー数が少ない場合はさほど苦には感じませんが、なるべく省力化したいですよね。
そんな問題を解決するため、アプリの共有時にグループも表示させる方法を紹介します。
この方法なら、グループのメンバーを変更すれば、アプリの権限も連動するようになります。
テナントの設定によっては行えない作業もありますので、そのときは偉い人に設定してもらいましょう。
Contents
アプリの共有時にグループも表示させる方法
通常、アプリの共有はユーザーかすべてのユーザーを選択します。
アプリごとに数十人を入力していくのはしんどいですよね。
しかしユーザーと異なり、通常グループはアプリの共有時に候補として挙がってきません。
これは、グループのセキュリティ設定が無効になっているからです。
詳しい仕組みはわかりませんが、SecurityEnabledという項目で判定しているようです。
既存のグループの設定を有効に変えるには、グループの管理者権限とPowerShellの操作が必要です。
特にPowerShellの操作は環境を破壊しかねないため、自信がなければ偉い人(管理者)に依頼してみましょう。
じゃあ、結局偉い人のさじ加減ひとつなの?
あきらめないで!
グループの新規作成ならセキュリティ設定が有効の状態で作成することができます。
セキュリティ設定が有効なグループの作成方法
グループの作成は、TeamsやPlannerなど様々なところから行えます。
基本、意識していなくても、いつのまにか作成されています。
ただし、これらのグループはセキュリティ設定が無効な状態で作成されます。
セキュリティ設定が有効なグループは、Azureポータルから作成する必要があります。
グループの作成方法│Azureポータル
グループの作成方法は至ってかんたんです。
リンクからポータルにアクセス > Azure Active Directory(表示) > グループ > 新しいグループ の順で押していくだけです。
最低限設定が必要なのは次の6点です。
グループの種類
セキュリティとMicrosoft365の2種類があります。
アプリの共有管理が目的であれば、Microsoft365を選んでください。
- セキュリティ
グループメンバーにユーザーだけでなく、デバイスやグループを指定できます。 - Microsoft365
共有メールボックス、カレンダー、ファイル、SharePointサイトなどへのアクセスを付与できます。また、グループメンバーにはユーザーのみ指定できます。
グループの名
そのままです。
部門やエリア、管理職などわかりやすい名称がオススメです。
グループのメールアドレス
そのままです。
このアドレスに届いたメールは、グループメンバー全員が確認できます。
メンバーシップの種類
グループに対して動的メンバーシップまたは割り当て済みメンバーシップを選択できます。
前者は●●支店とか社員番号XXXX以上など条件を満たしたユーザーが自動で加入します。
反面、条件を満たさなくなった時点で脱退されます。
ここがちゃんと設定されていれば、人事異動後の再設定が不要になります。
ただ、動的メンバーシップの権限が割り当てられていないと設定できません。
その場合、多少面倒ですが個別にユーザーを割り当てていきます。
所有者
そのままです。
自分以外も設定できますが、その場合このグループに対する特権はなくなります。
他者を所有者としたい場合、自分も含めて2名体制としましょう。
メンバー
割り当て済みメンバーシップとした場合、個別にユーザーを割り当てていきます。
アプリの共有をグループで行う
PowerAppsの共有画面で、グループが表示されたら成功です。
そのグループで共有すると、所属する全ユーザーがアプリを使用できます。
以後、グループのメンバーを修正すればそれに基づいたユーザーのみ使用できます。
アプリとグループが1:1の関係だと効果は薄いですが、多:1になると効率が跳ね上がります。
なお、グループのユーザー修正も、Azureポータルから行えます。
リンクからポータルにアクセス > Azure Active Directory(表示) > グループ > グループ選択 > メンバー の順に押していきます、
グループに関する予備知識
- グループでTeamsを利用したい場合
既に所有するチームから新しいチームを作成する > Microsoft 365 グループ で追加します。 - アプリ共有時
ユーザーが所有および参加していないグループも候補に挙がる。
グループで共有した場合、メール通知にチェックを入れても通知されない。 - Outlook グローバルアドレス一覧
Microsoft365で作成したグループは表示される。
既存グループのセキュリティ設定を有効にする
ここからは、自己責任でお願いします。
詳細はここで詳しく紹介されています。
AzureADコマンドレットの初期設定
AzureAD PowerShell モジュールの登録
Azure AD PowerShell モジュールを登録するために、次のコマンドを使用します。
- install-module azuread
- import-module azuread
正常終了のメッセージは表示されないためわかりにくいですね。
AzureADに接続- Connect-AzureAD
- M365にサインイン
AzureADに接続できたら、次のメッセージが表示されます。
はじかれるようならアクセス権限がないのであきらめましょう。
グループのオブジェクトIDを調べる
グループの一覧に表示されています。
コピーしておきましょう。
グループのセキュリティ設定が有効か確認する
- Get-AzureADGroup -ObjectId 08276ff7-5b79-4054-84ae-c22894087814 | select *
確認だけなので失敗しても大丈夫です。
最下段のSecurityEnabledがFalseなので、セキュリティ設定は無効です。
グループのセキュリティ設定を有効に変更する
- Set-AzureADGroup -ObjectId 08276ff7-5b79-4054-84ae-c22894087814 -SecurityEnabled $True
- Get-AzureADGroup -ObjectId 08276ff7-5b79-4054-84ae-c22894087814 | select *
この処理は、管理者かグループの所有者でないと変更できません。
変更処理後、もう一度設定を確認します。
最下段のSecurityEnabledがTrueになったので、セキュリティ設定は有効です。
もちろん、同様の手順で無効にすることもできます。
アプリの共有時にグループも表示させる方法のまとめ
今回はアプリの共有時にグループも表示させる方法を紹介しました。
AzureADポータルにアクセスしてグループを新規に作成する方法は、危険が少なくオススメです。
既存グループの変更はリスクが伴うので、自己責任でお願いしますね。
グループでアプリを共有すれば、以後グループのユーザーを修正するだけでアプリの共有情報も更新されます。
今回作成したグループをTeamsと紐づければ、そちらでも同様の管理ができるようになります。
セキュリティ意識高い系企業の場合、検知されて後日お叱りを受けるかもしれません。
PowerShellの利用は計画的に・・・