Microsoft Graph でグループを管理する

2025-05-01

Microsoft Graph のグループは、リソースへのアクセスを共有するユーザー、デバイス、アプリケーションなどのプリンシパル用のコンテナーです。個々に管理するのではなく、プリンシパルをグループ化することで、アクセス管理を容易にします。

Microsoft Graph のグループリソースの種類には、サポートされているグループの種類とその機能を作成および管理するための API が用意されています。

注:

グループは、職場または学校のアカウントを使用してのみ作成できます。個人用 Microsoft アカウントはグループをサポートしません。
Microsoft Graph のすべてのグループ関連の操作には、管理者の同意が必要です。

Microsoft Graph でサポートされているグループの種類

Microsoft Graph では、次の種類のグループがサポートされています。

Microsoft 365 グループ
セキュリティグループ
メールが有効なセキュリティグループ
配布グループ

注:

動的配布グループは、Microsoft Graph ではサポートされていません。

次の表は、プロパティを使用してグループの種類を識別する方法と、Microsoft Graph グループ API を使用して管理できるかどうかを示しています。主要な差別化要因は、 グループの groupTypes、 mailEnabled、 securityEnabled プロパティの値です。

型	groupTypes	mailEnabled	securityEnabled	Microsoft Graph を使用して管理する
Microsoft 365 グループ	`["Unified"]`	`true`	`true` または `false`	はい
セキュリティグループ	`[]`	`false`	`true`	はい
メールが有効なセキュリティグループ	`[]`	`true`	`true`	いいえ (読み取り専用)
配布グループ	`[]`	`true`	`false`	いいえ (読み取り専用)

詳細については、「Microsoft Entra IDでのグループの比較」を参照してください。

Microsoft 365 グループ

Microsoft 365 グループはコラボレーション用に設計されており、次のような共有リソースへのアクセスを提供します。

Outlook の会話と予定表。
SharePoint ファイルとチームサイト。
OneNote ノートブック。
Plannerプラン。
Intuneデバイス管理。

JSON 形式の Microsoft 365 グループの例を次に示します。

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#groups/$entity",
    "id": "4c5ee71b-e6a5-4343-9e2c-4244bc7e0938",
    "displayName": "OutlookGroup101",
    "groupTypes": ["Unified"],
    "mailEnabled": true,
    "securityEnabled": false,
    "mail": "outlookgroup101@service.microsoft.com",
    "visibility": "Public"
}

Microsoft 365 グループの詳細については、「Microsoft Graph のMicrosoft 365 グループの概要」を参照してください。

セキュリティグループとメールが有効なセキュリティグループ

セキュリティグループは 、リソースへのアクセスを制御します。ユーザー、他のグループ、デバイス、サービスプリンシパルを含めることができます。

メールが有効なセキュリティグループ は、セキュリティグループと同様に機能しますが、メール通信も許可します。これらのグループは、Microsoft Graph では読み取り専用です。詳細については、「メールが有効なセキュリティグループの管理」を参照してください。

JSON 形式のセキュリティグループの例:

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.group",
    "id": "f87faa71-57a8-4c14-91f0-517f54645106",
    "displayName": "SecurityGroup101",
    "groupTypes": [],
    "mailEnabled": false,
    "securityEnabled": true
}

グループメンバーシップ

グループには、静的または動的メンバーシップを含めることができます。動的メンバーシップでは、ルールを使用して、プロパティに基づいてメンバーを自動的に追加または削除します。すべてのオブジェクト型が Microsoft 365 およびセキュリティグループのメンバーになるわけではありません。

次の表に、セキュリティグループまたは Microsoft 365 グループのいずれかに追加できるメンバーの種類を示します。

オブジェクトの種類	セキュリティグループのメンバー	Microsoft 365 グループのメンバー
User
セキュリティグループ
Microsoft 365 グループ
デバイス
サービスプリンシパル
組織の連絡先

動的メンバーシップ

動的メンバーシップとは、プリンシパルがプロパティに基づいてグループに追加または削除されていることを意味します。たとえば、"マーケティング" 部門のすべてのユーザーを含むようにグループを設定できます。ユーザーがその部署に追加されると、ユーザーは自動的にグループに追加されます。同様に、ユーザーが部署を離れた場合、ユーザーはグループから削除されます。

動的グループのメンバーにできるのは、ユーザーとデバイスだけです。動的メンバーシップには、動的グループ内の一意のユーザーごとに Microsoft Entra ID P1 ライセンスが必要です。

メンバーシップルールは、Microsoft Entra ID動的グループルール構文を使用して定義されます。

動的メンバーシップ規則の例:

"membershipRule": "user.department -eq \"Marketing\""

動的メンバーシップには、groupTypes プロパティの"DynamicMembership"値が必要です。ダイナミックメンバーシップルールは、membershipRuleProcessingState プロパティを使用してオンまたはオフにできます。静的メンバーシップから動的メンバーシップにグループを更新できます。

動的な Microsoft 365 グループを作成するための要求の例:

POST https://graph.microsoft.com/beta/groups
Content-type: application/json

{
    "description": "Marketing department folks",
    "displayName": "Marketing department",
    "groupTypes": [
        "Unified",
        "DynamicMembership"
    ],
    "mailEnabled": true,
    "mailNickname": "marketing",
    "securityEnabled": false,
    "membershipRule": "user.department -eq \"Marketing\"",
    "membershipRuleProcessingState": "on"
}


// Code snippets are only available for the latest version. Current version is 5.x

// Dependencies
using Microsoft.Graph.Beta.Models;

var requestBody = new Group
{
	Description = "Marketing department folks",
	DisplayName = "Marketing department",
	GroupTypes = new List<string>
	{
		"Unified",
		"DynamicMembership",
	},
	MailEnabled = true,
	MailNickname = "marketing",
	SecurityEnabled = false,
	MembershipRule = "user.department -eq \"Marketing\"",
	MembershipRuleProcessingState = "on",
};

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Groups.PostAsync(requestBody);

重要

Microsoft Graph SDK では、既定で v1.0 バージョンの API が使用され、ベータ版で使用可能なすべての型、プロパティ、API がサポートされているわけではありません。 SDK を使用してベータ API にアクセスする方法の詳細については、「ベータ API で Microsoft Graph SDK を使用する」を参照してください。

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。



mgc-beta groups create --body '{\
    "description": "Marketing department folks",\
    "displayName": "Marketing department",\
    "groupTypes": [\
        "Unified",\
        "DynamicMembership"\
    ],\
    "mailEnabled": true,\
    "mailNickname": "marketing",\
    "securityEnabled": false,\
    "membershipRule": "user.department -eq \"Marketing\"",\
    "membershipRuleProcessingState": "on"\
}\
'

重要

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。



// Code snippets are only available for the latest major version. Current major version is $v0.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-beta-sdk-go"
	  graphmodels "github.com/microsoftgraph/msgraph-beta-sdk-go/models"
	  //other-imports
)

requestBody := graphmodels.NewGroup()
description := "Marketing department folks"
requestBody.SetDescription(&description) 
displayName := "Marketing department"
requestBody.SetDisplayName(&displayName) 
groupTypes := []string {
	"Unified",
	"DynamicMembership",
}
requestBody.SetGroupTypes(groupTypes)
mailEnabled := true
requestBody.SetMailEnabled(&mailEnabled) 
mailNickname := "marketing"
requestBody.SetMailNickname(&mailNickname) 
securityEnabled := false
requestBody.SetSecurityEnabled(&securityEnabled) 
membershipRule := "user.department -eq \"Marketing\""
requestBody.SetMembershipRule(&membershipRule) 
membershipRuleProcessingState := "on"
requestBody.SetMembershipRuleProcessingState(&membershipRuleProcessingState) 

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
groups, err := graphClient.Groups().Post(context.Background(), requestBody, nil)

重要

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。


// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

Group group = new Group();
group.setDescription("Marketing department folks");
group.setDisplayName("Marketing department");
LinkedList<String> groupTypes = new LinkedList<String>();
groupTypes.add("Unified");
groupTypes.add("DynamicMembership");
group.setGroupTypes(groupTypes);
group.setMailEnabled(true);
group.setMailNickname("marketing");
group.setSecurityEnabled(false);
group.setMembershipRule("user.department -eq \"Marketing\"");
group.setMembershipRuleProcessingState("on");
Group result = graphClient.groups().post(group);

重要

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。


const options = {
	authProvider,
};

const client = Client.init(options);

const group = {
    description: 'Marketing department folks',
    displayName: 'Marketing department',
    groupTypes: [
        'Unified',
        'DynamicMembership'
    ],
    mailEnabled: true,
    mailNickname: 'marketing',
    securityEnabled: false,
    membershipRule: 'user.department -eq \"Marketing\"',
    membershipRuleProcessingState: 'on'
};

await client.api('/groups')
	.version('beta')
	.post(group);

重要

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。


<?php
use Microsoft\Graph\Beta\GraphServiceClient;
use Microsoft\Graph\Beta\Generated\Models\Group;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestBody = new Group();
$requestBody->setDescription('Marketing department folks');
$requestBody->setDisplayName('Marketing department');
$requestBody->setGroupTypes(['Unified', 'DynamicMembership', 	]);
$requestBody->setMailEnabled(true);
$requestBody->setMailNickname('marketing');
$requestBody->setSecurityEnabled(false);
$requestBody->setMembershipRule('user.department -eq \"Marketing\"');
$requestBody->setMembershipRuleProcessingState('on');

$result = $graphServiceClient->groups()->post($requestBody)->wait();

重要

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。


Import-Module Microsoft.Graph.Beta.Groups

$params = @{
	description = "Marketing department folks"
	displayName = "Marketing department"
	groupTypes = @(
	"Unified"
"DynamicMembership"
)
mailEnabled = $true
mailNickname = "marketing"
securityEnabled = $false
membershipRule = "user.department -eq "Marketing""
membershipRuleProcessingState = "on"
}

New-MgBetaGroup -BodyParameter $params

重要

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。


# Code snippets are only available for the latest version. Current version is 1.x
from msgraph_beta import GraphServiceClient
from msgraph_beta.generated.models.group import Group
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
request_body = Group(
	description = "Marketing department folks",
	display_name = "Marketing department",
	group_types = [
		"Unified",
		"DynamicMembership",
	],
	mail_enabled = True,
	mail_nickname = "marketing",
	security_enabled = False,
	membership_rule = "user.department -eq \"Marketing\"",
	membership_rule_processing_state = "on",
)

result = await graph_client.groups.post(request_body)

重要

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

要求は、201 Created 応答コードと、応答本文で新しく作成されたグループオブジェクトを返します。

注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#groups/$entity",
    "id": "6f7cd676-5445-47c4-9c2b-c47da4671da2",
    "createdDateTime": "2023-01-20T07:00:31Z",
    "description": "Marketing department folks",
    "displayName": "Marketing department",
    "groupTypes": [
        "Unified",
        "DynamicMembership"
    ],
    "mail": "marketing@contoso.com",
    "mailEnabled": true,
    "mailNickname": "marketing",
    "membershipRule": "user.department -eq \"Marketing\"",
    "membershipRuleProcessingState": "On"
}

その他のグループ設定

次のようなグループの他の設定を構成できます。

設定	適用対象
グループの有効期限	Microsoft 365 グループ
グループ設定	Microsoft 365 グループ
オンプレミスの同期設定	セキュリティとMicrosoft 365 グループ

組織のゲストに対するグループ検索の制限事項

アプリは、/groups リソース (たとえば、https://graph.microsoft.com/beta/groups) を照会することで、organizationのディレクトリ内のグループを検索できます。この機能は管理者とメンバーが使用できますが、ゲストには使用できません。

ゲストは、アプリに付与されたアクセス許可に応じて、特定のグループのプロファイル (たとえば、 https://graph.microsoft.com/beta/group/fc06287e-d082-4aab-9d5e-d6fd0ed7c8bc) を表示できます。ただし、複数の結果を返す /groups リソースに対してクエリを実行することはできません。

メンバーは通常、グループリソースへのより広範なアクセス権を持ちますが、ゲストにはアクセス許可が制限され、特定のグループ機能へのアクセスが制限されます。詳細については、「メンバーとゲストの既定のアクセス許可を比較する」を参照してください。

適切なアクセス許可を持つアプリは、 /groups/{id}/membersなどのナビゲーションプロパティを使用してグループプロファイルにアクセスできます。

グループベースのライセンス

グループベースのライセンスを使用すると、1 つ以上の製品ライセンスをMicrosoft Entra グループに割り当てることができます。新しいメンバーを含むグループメンバーは、これらのライセンスを自動的に継承します。メンバーがグループを脱退すると、そのライセンスは自動的に削除されます。この機能は、securityEnabled が true に設定されているセキュリティグループとMicrosoft 365 グループでのみ使用できます。

詳細については、「Microsoft Entra IDでのグループベースのライセンスとは」を参照してください。

メインデータストアの外部に格納されているプロパティ

ほとんどのグループリソースデータはMicrosoft Entra IDに格納されますが、autoSubscribeNewMembers や allowExternalSenders などの一部のプロパティは Microsoft Exchange に格納されます。これらのプロパティは、他のグループプロパティと同じ [作成] または [更新] 要求本文に含めることはできません。

また、メインデータストアの外部に格納されているプロパティは、変更の追跡ではサポートされていません。これらのプロパティに対する変更は、デルタクエリ応答には表示されません。

次のグループプロパティは、メインデータストアの外部に格納されます。
accessType、 allowExternalSenders、 autoSubscribeNewMembers、 cloudLicensing、 hideFromAddressLists、 hideFromOutlookClients、 isFavorite、 isSubscribedByMail、 unseenConversationsCount、 unseenCount、 unseenMessagesCount、 membershipRuleProcessingStatus、 isArchived。

グループ API の一般的なユースケース

Microsoft Graph グループ API では、次の一般的な操作がサポートされています。

ユースケース	API 操作
グループの作成と管理	作成、一覧表示、更新、削除
グループメンバーシップを管理する	メンバーの一覧表示、メンバーの追加、メンバーの削除
グループの所有権を管理する	所有者の一覧表示、所有者の追加、所有者の削除
Microsoft 365 グループ機能	Teams の会話、予定表イベント、 OneNote ノートブックを管理し、有効にする

グループを管理するためのMicrosoft Entraロール

グループを管理するには、サインインしているユーザーに適切な Microsoft Graph アクセス許可があり、サポートされているMicrosoft Entraロールが割り当てられている必要があります。

グループを管理するための最小特権ロールは次のとおりです。

ディレクトリ製作者
グループ管理者
ユーザー管理者

詳細については、「グループを管理するための最小特権ロール」を参照してください。

次の手順

グループの操作を開始する

次の方法で共有

Microsoft Graph でグループを管理する

Microsoft Graph でサポートされているグループの種類

Microsoft 365 グループ

セキュリティ グループとメールが有効なセキュリティ グループ

グループ メンバーシップ

動的メンバーシップ

その他のグループ設定

組織のゲストに対するグループ検索の制限事項

グループベースのライセンス

メイン データ ストアの外部に格納されているプロパティ

グループ API の一般的なユース ケース

グループを管理するためのMicrosoft Entraロール

次の手順

フィードバック

その他のリソース

セキュリティグループとメールが有効なセキュリティグループ

グループメンバーシップ

メインデータストアの外部に格納されているプロパティ

グループ API の一般的なユースケース