動的メンバーシップの規則 (プレビュー) を使用して管理単位のユーザーまたはデバイスを管理する
重要
管理単位の動的メンバーシップの規則は現在プレビューの段階です。 ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される法律条項については、「製品条項」を参照してください。
管理単位のユーザーまたはデバイスを手動で追加または削除できます。 このプレビューでは、規則が設定された管理単位のユーザーまたはデバイスを動的に追加または削除できます。 この記事では、Microsoft Entra 管理センター、PowerShell、または Microsoft Graph API を使用して、動的メンバーシップの規則を持つ管理単位を作成する方法について説明します。
Note
管理単位の動的メンバーシップ規則を、動的グループで使用できるのと同じ属性を使用して作成できます。 使用可能な具体的な属性とその使用方法の例の詳細については、Microsoft Entra ID のグループの動的メンバーシップ ルールに関する記事を参照してください。
手動で割り当てられたメンバーが設定された管理単位では、ユーザー、グループ、デバイスなど、複数のオブジェクトの種類がサポートされていますが、現在のところ、複数のオブジェクトの種類を含む動的メンバーシップの規則が設定された管理単位を作成することはできません。 たとえば、ユーザーまたはデバイスの動的メンバーシップの規則が設定された管理単位を作成できますが、両方を使用することはできません。 グループの動的メンバーシップの規則が設定された管理単位は、現在サポートされていません。
前提条件
- 管理単位の各管理者に対する Microsoft Entra ID P1 または P2 ライセンス
- 管理単位の各メンバーに対する Microsoft Entra ID P1 または P2 ライセンス
- 特権ロール管理者またはグローバル管理者
- PowerShell を使用する場合はMicrosoft Graph PowerShell SDKのインストール
- 管理者の同意 (Microsoft Graph API の Graph エクスプローラーを使用する場合)
- グローバル Azure クラウド (Azure Government や 21Vianet によって運営される Microsoft Azure などの特別なクラウドでは利用できません)
Note
管理単位の動的メンバーシップの規則には、1 つまたは複数の動的管理単位のメンバーである一意のユーザーごとに Microsoft Entra ID P1 ライセンスが必要です。 ユーザーを動的管理単位のメンバーにするために、そのユーザーにライセンスを割り当てる必要はありません。ただし、少なくともそのすべてのユーザーを対象にできるだけのライセンス数が Microsoft Entra 組織に含まれている必要があります。 たとえば、組織のすべての動的管理単位に、合計 1,000 人の一意のユーザーがいる場合、ライセンス要件を満たすには、Microsoft Entra ID P1 に対するライセンスが 1,000 個以上必要です。 動的なデバイス 管理単位のメンバーであるデバイスには、ライセンスは必要ありません。
詳細については、「PowerShell または Graph エクスプローラーを使用するための前提条件」をご覧ください。
動的メンバーシップの規則を追加する
次の手順に従って、ユーザーまたはデバイスの動的メンバーシップの規則が設定された管理単位を作成します。
Microsoft Entra 管理センター
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
ユーザーまたはデバイスを追加する管理単位を選択します。
[プロパティ] を選択します。
[メンバーシップの種類] リストで、追加する規則の種類に応じて、[動的ユーザー] または [動的デバイス] を選択します。
[動的クエリの追加] を選択します。
ルール ビルダーを使用して、動的メンバーシップの規則を指定します。 詳細については、「Azure portal のルール ビルダー」を参照してください。
完了したら、[保存] を選択して動的メンバーシップの規則を保存します。
[プロパティ] ページで、[保存] を選択して、メンバーシップの種類とクエリを保存します。
次のメッセージが表示されます。
管理単位の種類を変更した後、指定した動的メンバーシップの規則に基づいて既存のメンバーシップが変更される可能性があります。
[はい] を選択して続行します。
規則を編集する手順については、次の「動的メンバーシップの規則を編集する」セクションを参照してください。
PowerShell
動的メンバーシップ ルールを作成します。 詳細については、Microsoft Entra ID のグループの動的メンバーシップ ルールに関する記事を参照してください。
Connect-MgGraph コマンドを使して、特権ロール管理者またはグローバル管理者ロールが割り当てられているユーザーと Microsoft Entra ID を接続します。
Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"New-MgDirectoryAdministrativeUnit コマンドを使用し、ダイナミック メンバーシップの規則が設定された管理単位を次のパラメータを用いて作成します。
MembershipType:DynamicまたはAssignedMembershipRule: 前の手順で作成した動的メンバーシップの規則MembershipRuleProcessingState:OnまたはPaused
# Create an administrative unit for users in the United States $params = @{ displayName = "Example Admin Unit" description = "Example Dynamic Membership Admin Unit" membershipType = "Dynamic" membershipRule = "(user.country -eq 'United States')" membershipRuleProcessingState = "On" } New-MgDirectoryAdministrativeUnit -BodyParameter $params
Microsoft Graph API
動的メンバーシップ ルールを作成します。 詳細については、Microsoft Entra ID のグループの動的メンバーシップ ルールに関する記事を参照してください。
Create administrativeUnit API を使用して、動的メンバーシップの規則が設定された新しい管理単位を作成します。
次に、Windows デバイスに適用する動的メンバーシップの規則の例を示します。
要求
POST https://graph.microsoft.com/beta/administrativeUnits本文
{ "displayName": "Windows Devices", "description": "All Contoso devices running Windows", "membershipType": "Dynamic", "membershipRule": "(deviceOSType -eq 'Windows')", "membershipRuleProcessingState": "On" }
動的メンバーシップの規則を編集する
管理単位が動的メンバーシップ用に構成されている場合、動的メンバーシップ エンジンでは、メンバーの追加または削除の所有権のみが保持されるため、管理単位のメンバーを追加または削除するための通常のコマンドは無効になっています。 メンバーシップに変更を加えるには、動的メンバーシップの規則を編集します。
Microsoft Entra 管理センター
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
[ID]>[役割と管理者]>[管理単位] に移動します。
編集する動的メンバーシップの規則を持つ管理単位を選択します。
ルール ビルダーを使用して動的メンバーシップの規則を編集するには、[メンバーシップの規則] を選択します。
また、左側のナビゲーションで [動的メンバーシップの規則] を選択して、ルール ビルダーを開くこともできます。
完了したら、[保存] を選択して動的メンバーシップの規則に加えた変更を保存します。
PowerShell
Update-MgDirectoryAdministrativeUnit コマンドを使用して、ダイナミック メンバーシップの規則を編集します。
# Set a new dynamic membership rule for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRule = "(user.country -eq 'Germany')"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
動的メンバーシップの規則を編集するには、Update administrativeUnit API を使用します。
要求
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
本文
{
"membershipRule": "(user.country -eq "Germany")"
}
動的管理単位を割り当てられるように変更する
動的メンバーシップの規則が設定された管理単位をメンバーが手動で割り当てられる管理単位に変更するには、次の手順に従います。
Microsoft Entra 管理センター
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
[ID]>[役割と管理者]>[管理単位] に移動します。
割り当て済みに変更する管理単位を選択します。
[プロパティ] を選択します。
[メンバーシップの種類] リストで、[割り当て済み] を選択します。
[保存] を選択し、メンバーシップの種類を保存します。
次のメッセージが表示されます。
管理単位の種類を変更した後は、動的な規則は処理されなくなります。 現在の管理単位メンバーは管理単位に残り、その管理単位にメンバーシップが割り当てられます。
[はい] を選択して続行します。
メンバーシップの種類の設定を [動的] から [割り当て済み] に変更しても、現在のメンバーは管理単位内にそのまま維持されます。 さらに、管理単位にグループを追加する機能が有効になっています。
PowerShell
Update-MgDirectoryAdministrativeUnit コマンドを使用して、ダイナミック メンバーシップの規則を編集します。
# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
membershipRuleProcessingState = "Paused"
membershipType = "Assigned"
}
Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params
Microsoft Graph API
メンバーシップの種類の設定を変更するには、Update administrativeUnit API を使用します。
要求
PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}
本文
{
"membershipType": "Assigned"
}