社員が入社・退社・異動するたびに、管理者が一人ひとりのライセンスを手動で変更していませんか?
「営業部から開発部に異動したのに、旧ライセンスがそのまま残っている」
「退職者のライセンスを解除し忘れて翌月も課金された」
こういった “ライセンスの無駄払い” は、社員の異動が多い中堅企業で頻繁に起こります。
この問題を根本から解決するのが、Microsoft Entra ID(旧 Azure AD)の 「グループベースのライセンス割り当て」 です。
グループベースのライセンス割り当てとは
概要
グループベースのライセンス割り当ては、セキュリティグループ単位でライセンスを管理する 機能です。
ユーザーをグループに追加するだけで自動的にライセンスが付与され、グループから削除すると自動的に解除されます。
Microsoft Entra ID に含まれるグループベースのライセンスを使うと、1 つまたは複数の製品ライセンスをグループに割り当てることができます。
グループのメンバー全員に確実にライセンスが割り当てられます。
新しいメンバーがグループに参加すると、適切なライセンスが割り当てられます。
グループから離れると、割り当てられていたライセンスが削除されます。
従来の「直接割り当て」との比較
| 比較項目 | 直接割り当て(旧来) | グループベース割り当て |
|---|---|---|
| 割り当て方法 | 管理者が一人ひとり手動 | グループへの追加・削除のみ |
| 異動時の対応 | 手動でライセンス変更が必要 | グループ変更で自動切り替え |
| 退職時の対応 | 手動解除が必要(漏れリスクあり) | グループからの削除・ 無効化で自動解除 |
| 重複払いのリスク | 高い(解除忘れが発生しやすい) | 低い(自動管理) |
| 運用コスト | 高い | 低い |
仕組みの全体像
【動的グループ】 部門属性 = “営業部” ↓ 自動メンバーシップ [営業部グループ] ← ライセンス A (Microsoft 365 E3) を紐付け ↓ グループに入ったら自動付与 / 出たら自動解除 ユーザー (田中さん)
- セキュリティグループを作成(例: lic-m365-e3-営業部)
- グループにライセンスを割り当て(M365 管理センターから)
- ユーザーをグループに追加 → 自動でライセンス付与
- 異動・退職時にグループを変更 → 自動でライセンス切り替え・解除
「重複払い」が防げる理由
Entra ID には、複数のソース(グループや直接割り当て)から同じライセンスが付与されても、同一 SKU のライセンスが複数の割り当て元(直接割り当て・複数グループ)から付与されても、消費されるライセンス数は 1 つです。
例:ユーザーが「全社員グループ」と「営業部グループ」の両方に所属していて、どちらも Microsoft 365 E3 を割り当てている場合でも、消費ライセンス数は 1 となります。
ただし、直接割り当てが残ったままグループからも割り当てられている状態は管理の複雑化を招きます。
グループベースへの移行時は、直接割り当てを段階的に解除することが推奨されています。
参考: Microsoft Entra ID でのグループベースのライセンスとは?
参考: 直接ライセンスを持つユーザーをグループ ライセンスに追加する
動的グループとの組み合わせで「完全自動化」
グループベースのライセンス割り当ての真価は、「動的メンバーシップグループ」と組み合わせた時に発揮されます。
動的グループとは
ユーザーの属性(部署・役職・場所など)に基づいて、グループのメンバーシップを自動的に管理する機能です。
例えば、人事システムで「部署 = 営業部」に変更されると、Entra ID の該当グループに自動的に追加・削除されます。
設定例
ルール: (user.department -eq “営業部”)
→ このルールに合致したユーザーが自動でグループに追加される
→ グループには Microsoft 365 E3 ライセンスが割り当て済み
→ 部署変更で属性が変わると
→ 自動でライセンスが切り替わる
異動シナリオ
田中さん: 営業部 → 開発部 に異動
1. 人事システムで部署属性を更新
2. Microsoft Entra Connect Sync でクラウドに同期
3. 動的グループのルール評価
– 「営業部グループ」からは自動除外 → 旧ライセンス解除
– 「開発部グループ」に自動追加 → 新ライセンス付与
4. 管理者の手作業: ゼロ
ライセンス要件:
動的メンバーシップグループを利用するには、対象ユーザー全員に Microsoft Entra ID P1 以上のライセンス(Microsoft 365 Business Premium、Microsoft 365 E3/E5 などに内包)が必要です。
参考: Microsoft Entra ID で動的メンバーシップ グループのルールを管理する
参考: Azure AD 動的グループで入れ子 (ネスト) グループを作成する
設定手順(管理者向け)
Step 1: ライセンス割り当て用グループの作成
Microsoft Entra 管理センター (https://entra.microsoft.com) にアクセスし、セキュリティグループを作成します。
- グループの種類: セキュリティ
- 名前例: lic-m365-e3-all(命名規則を統一すると管理しやすい)
- メンバーシップの種類: 割り当て済み(手動でユーザーを追加する場合) または 動的ユーザー
Step 2: グループへのライセンス割り当て
重要:
ライセンスの割り当ては Microsoft 365 管理センター から行います。
Entra 管理センターおよび Azure portal でのライセンス割り当て UI は廃止されました。
API と PowerShell は引き続き利用可能です。
Microsoft 365 管理センター (https://admin.microsoft.com) での手順:
- 「課金情報」→「ライセンス」を開く
- 割り当てたいライセンス製品をクリック
- 「グループ」タブから対象グループを選択して割り当て
Step 3: 利用場所(Usage Location)の設定
Microsoftのサービスは国・地域によっては提供されない場合があるため、ユーザーの「利用場所」プロパティを必ず設定してください。
- オンプレミス同期環境では、オンプレ AD の属性を同期する、または PowerShell / Microsoft Graph などで usageLocation を設定します。
Step 4: 割り当て状態の確認
Microsoft Entra 管理センターでグループのライセンス割り当て状態や監査ログを確認できます。
利用可能ライセンス数が不足していると割り当ては失敗する
グループベースのライセンス割り当てでも、利用可能なライセンス数(空きシート数)が不足している場合は自動付与されません。
この場合、ユーザーには「ライセンス割り当てエラー」が表示され、管理者による追加購入または不要ライセンスの回収が必要になります。
特に動的グループを利用している環境では、新入社員追加時に一斉にライセンス不足が発生するケースがあるため、定期的なライセンス残数確認が推奨されます。
参考: グループへのライセンスの割り当て
既存の「直接割り当て」からの移行手順
すでに直接割り当てを運用中の組織が、グループベースに移行する場合の推奨手順です。
- グループを作成し、ライセンスを割り当てる
- 対象ユーザーをグループに追加する(この時点でユーザーには直接 + グループの両方からライセンスが付与されるが、消費数は 1)
- 動作確認: ユーザーがサービスを利用できることを確認
- 直接割り当てを削除する(段階的に実施し、一部のユーザーで検証後に全体展開推奨)
注意:
直接割り当てを残したままグループから外れると、ユーザーはグループから外れた後も直接割り当てのライセンスを保持し続けます。これは意図しない状態になりやすいため、グループ管理への完全移行を推奨します。
重要な制限事項と注意点
入れ子(ネスト)グループはライセンスに非対応
Entra ID のグループベースのライセンス割り当ては、グループに直接所属しているユーザーにのみ ライセンスが付与されます。
入れ子(ネスト)グループのメンバーには届きません。
この制限を回避するには、memberOf 属性を使った 動的グループ を活用する方法があります。
参考: Azure AD における入れ子 (ネスト) グループへの権限付与について
参考: Azure AD 動的グループで入れ子 (ネスト) グループを作成する
ライセンス競合は自動解決されない
複数のグループから相互に競合するサービスプランが割り当てられた場合、Entra ID は自動的に解決しません。
管理者が手動で対処する必要があります。
大規模グループは処理に時間がかかる場合がある
大規模グループや大量変更時には、ライセンス処理や動的グループ評価に時間がかかる場合があります。
PowerShell 移行の必要性
従来の MSOnline / AzureAD PowerShell モジュールは非推奨となっており、Microsoft は Microsoft Graph PowerShell SDK への移行を推奨しています。
参考: Microsoft Graph PowerShell SDK を使用したライセンス管理操作の紹介
参考: Azure AD Graph および MSOnline での従来のライセンスの割り当て方法が廃止され Microsoft Graph によるライセンス管理に変わります
必要なライセンス要件まとめ
グループベースのライセンスの恩恵を受けるすべてのユーザーそれぞれに、以下のいずれかが必要です。
| ライセンス | 備考 |
|---|---|
| Microsoft Entra ID P1 以上 | 有料または試用版 |
| Microsoft 365 Business Premium | |
| Office 365 Enterprise E3 以上 | Office 365 A3 / GCC G3 等も含む |
動的グループを追加で利用する場合も、同様に Entra ID P1 が必要です。
運用設計のベストプラクティス
グループ命名規則の統一
ライセンス管理専用グループは命名規則を統一し、他のグループと区別しやすくします。
例: lic-{製品略称}-{対象範囲} lic-m365-e3-all → M365 E3 を全社員に付与 lic-m365-biz-sales → M365 Business Premium を営業部に付与 lic-entra-p2-admin → Entra ID P2 を IT管理者に付与
動的グループ活用で “グループ管理” すら不要に
人事システムと Entra Connect を連携させ、部署・役職などの属性を同期することで、人事異動 = ライセンス自動変更 の完全自動化が実現します。
ライセンス棚卸しの自動化
Microsoft Graph PowerShell SDK を活用すると、「どのユーザーがどのソースからライセンスを取得しているか」を定期的にレポートできます。
まとめ
| 課題 | グループベースライセンスによる解決策 |
|---|---|
| 手動割り当て漏れ・重複払い | グループ管理で自動化 → ヒューマンエラー排除 |
| 異動時のライセンス切り替え遅延 | 動的グループにより自動切り替え (反映まで時間差あり) |
| 退職者ライセンス解除忘れ | グループからの削除・アカウント無効化で自動解除 |
| PowerShell スクリプトの保守負担 | グループ設定のみで運用可能 |
グループベースのライセンス管理は、“人が動けばライセンスも動く” という自動化の基盤を提供します。
動的グループと組み合わせることで、入退社・異動が多い中堅企業でも、ライセンスの無駄払いや管理漏れを大幅に削減できます。
まずは特定の部署やライセンス種別を対象に小さく始め、運用実績を積んでから全社展開することをお勧めします。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
