Microsoft Entra ID で動的グループを作成または更新する

Microsoft Entra の一部である Microsoft Entra ID では、ユーザーまたはデバイスのプロパティに基づいてグループ メンバーシップを決定するルールを使用できます。 この記事では、Azure portal で動的グループのルールを設定する方法について説明します。

セキュリティ グループと Microsoft 365 グループに対して、動的メンバーシップがサポートされています。 グループ メンバーシップのルールが適用されるときに、ユーザーとデバイスの属性がメンバーシップのルールと一致するかどうかが評価されます。 ユーザーまたはデバイスの属性が変更されると、組織内のすべての動的グループ ルールが、メンバーシップの変更のために処理されます。 ユーザーとデバイスは、グループの条件を満たす場合に、追加または削除されます。

セキュリティ グループはデバイスとユーザーのどちらにも使用できますが、Microsoft 365 グループはユーザー グループのみが可能です。 動的グループを使用するには、Microsoft Entra ID P1 ライセンスまたは Intune for Education ライセンスが必要です。 詳細については、グループの動的メンバーシップ ルールに関するページを参照してください。

Azure portal のルール ビルダー

Microsoft Entra ID には、重要なルールをすばやく作成したり更新したりできるルール ビルダーが用意されています。 ルール ビルダーでは、最大で 5 つの式の作成がサポートされます。 ルール ビルダーを使用すると、いくつかの単純な式を使ってルールを簡単に作成できますが、すべてのルールの再現に使用することはできません。 作成したいルールがルール ビルダーでサポートされていない場合は、テキスト ボックスを使用できます。

以下に、テキスト ボックスを使用して構築することをお勧めする高度なルールまたは構文の例をいくつか示します。

• 5 つを超える式を持つルール
• 直接の部下のルール
• 演算子の優先順位の設定
• 複雑な式を持つルール (例: (user.proxyAddresses -any (_ -contains "contoso")))

注意

ルール ビルダーは、テキスト ボックスで作成された一部のルールを表示できない場合があります。 ルール ビルダーがルールを表示できない場合は、メッセージが表示されることがあります。 ルール ビルダーは、動的グループ ルールのサポートされている構文、検証、または処理をどのような方法でも変更しません。

構文の例、メンバーシップ ルールでサポートされているプロパティ、演算子、および値については、「Microsoft Entra ID の動的グループ メンバーシップ ルール」を参照してください。

グループ メンバーシップ ルールを作成するには

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. [Microsoft Entra ID]>[グループ] の順に選択してください。

3. [すべてグループ] を選び、 [新しいグループ] を選びます。

   

4. [グループ] ページで、新しいグループの名前と説明を入力します。 ユーザーまたはデバイスのいずれかに対して [メンバーシップの種類] を選択し、 [動的クエリの追加] を選択します。 ルール ビルダーでは、最大で 5 つの式がサポートされます。 5 つを超える式を追加するには、テキスト ボックスを使用する必要があります。

   

5. メンバーシップのクエリで使用できるカスタム拡張機能プロパティを表示するには、次のようにします。

   1. [カスタム拡張機能のプロパティを取得します] を選択します。
   2. アプリケーション ID を入力し、 [プロパティの更新] を選択します。

6. ルールを作成した後、 [保存] を選択します。

7. [新規グループ] ページで [作成] をクリックして、グループを作成します。

入力したルールが有効でない場合は、ルールを処理できなかった理由の説明がポータルの通知に表示されます。 ルールを修正する方法を理解するには、こちらを注意深くお読みください。

既存のルールを更新するには

1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. [Microsoft Entra ID] を選びます。

3. [グループ]>[すべてのグループ] の順に選択します。

4. グループを選択して、そのプロファイルを開きます。

5. グループのプロファイル ページで、 [動的メンバーシップ ルール] を選択します。 ルール ビルダーでは、最大で 5 つの式がサポートされます。 5 つを超える式を追加するには、テキスト ボックスを使用する必要があります。

   

6. メンバーシップのルールで使用できるカスタム拡張機能プロパティを表示するには:

   1. [カスタム拡張機能のプロパティを取得します] を選択します。
   2. アプリケーション ID を入力し、 [プロパティの更新] を選択します。

7. ルールを更新した後、 [保存] を選択します。

ウェルカム メールをオンまたはオフにする

新しい Microsoft 365 グループが作成されると、グループに追加されたユーザー宛にメールのウェルカム通知が送信されます。 後で、ユーザーまたはデバイス (セキュリティ グループの場合のみ) のいずれかの属性が変更される場合は、組織内のすべての動的グループ ルールが、メンバーシップの変更のために処理されます。 追加されたユーザーは、ウェルカム通知も受け取ります。 この動作は、Exchange PowerShell を使用してオフにすることができます。

ルールの処理状態をチェックする

動的ルールの処理状態とメンバーシップの最終変更日は、グループの [概要] ページで確認できます。

動的ルール処理の状態には、次の状態メッセージが表示される場合があります。

• 評価中: グループの変更が受信され、更新プログラムが評価されています。
• 処理: 更新プログラムが処理されています。
• 更新の完了:処理が完了し、該当するすべての更新が行われました。
• 処理エラー: メンバーシップのルール評価におけるエラーが原因で、処理を完了できませんでした。
• 更新の一時停止:動的メンバーシップ規則の更新プログラムが管理者によって一時停止されました。 MembershipRuleProcessingState は、"一時停止" に設定されます。

注意

この画面では、 [処理の一時停止]を選択することもできます。 以前は、このオプションは membershipRuleProcessingState プロパティの変更によってのみ使用可能でした。 少なくともグループ管理者ロールが割り当てられているユーザーは、この設定を管理でき、動的なグループ処理を一時停止および再開できます。 正しいロールを持たないグループ所有者には、この設定を編集するために必要な権限がありません。

メンバーシップの最終変更の状態には、次の状態メッセージが表示される場合があります。

• <日付と時刻>:メンバーシップが最後に更新された日時。
• 進行中: 更新は現在進行中です。
• 不明:最終更新時刻を取得することができません。 新しいグループである可能性があります。

重要

動的グループ メンバーシップを一時停止および一時停止解除すると、"メンバーシップの最終変更" の日付にプレースホルダー値が表示されます。 この値は、処理が完了すると更新されます。

特定のグループのメンバーシップ規則の処理中にエラーが発生すると、そのグループの [概要] ページの上部にアラートが表示されます。 24 時間以上、組織内のすべてのグループに対して保留中の動的メンバーシップの更新が処理できない場合は、 [すべてグループ] の上部にアラートが表示されます。

次のステップ

次の記事には、Microsoft Entra ID でグループを使用する方法に関する追加情報が記載されています。

• 既存のグループの表示
• 新しいグループの作成とメンバーの追加
• グループの設定の管理
• グループのメンバーシップの管理
• グループ内のユーザーの動的ルールの管理