Azure Active Directory で動的グループを作成または更新する

Microsoft Entra の一部である Azure Active Directory (Azure AD) では、ユーザーまたはデバイスのプロパティに基づいてグループ メンバーシップを決定するルールを使用できます。 この記事では、Azure portal で動的グループのルールを設定する方法について説明します。 セキュリティ グループと Microsoft 365 グループに対して、動的メンバーシップがサポートされています。 グループ メンバーシップのルールが適用されるときに、ユーザーとデバイスの属性がメンバーシップのルールと一致するかどうかが評価されます。 ユーザーまたはデバイスの属性が変更されると、組織内のすべての動的グループ ルールが、メンバーシップの変更のために処理されます。 ユーザーとデバイスは、グループの条件を満たす場合に、追加または削除されます。 セキュリティ グループはデバイスとユーザーのどちらにも使用できますが、Microsoft 365 グループはユーザー グループのみが可能です。 動的グループを使用するには、Azure AD Premium P1 ライセンスまたは Intune for Education ライセンスが必要です。 詳細については、グループの動的メンバーシップ ルールに関するページを参照してください。

Azure portal のルール ビルダー

Azure AD には、重要なルールをすばやく作成したり更新したりできるルール ビルダーが用意されています。 ルール ビルダーでは、最大で 5 つの式の作成がサポートされます。 ルール ビルダーを使用すると、いくつかの単純な式を使ってルールを簡単に作成できますが、すべてのルールの再現に使用することはできません。 作成したいルールがルール ビルダーでサポートされていない場合は、テキスト ボックスを使用できます。

以下に、テキスト ボックスを使用して構築することをお勧めする高度なルールまたは構文の例をいくつか示します。

• 5 つを超える式を持つルール
• 直接の部下のルール
• 演算子の優先順位の設定
• 複雑な式を持つルール (例: (user.proxyAddresses -any (_ -contains "contoso")))

注意

ルール ビルダーは、テキスト ボックスで作成された一部のルールを表示できない場合があります。 ルール ビルダーがルールを表示できない場合は、メッセージが表示されることがあります。 ルール ビルダーは、動的グループ ルールのサポートされている構文、検証、または処理をどのような方法でも変更しません。

構文の例、メンバーシップ ルールでサポートされているプロパティ、演算子、および値については、「Azure Active Directory の動的グループ メンバーシップ ルール」を参照してください。

グループ メンバーシップ ルールを作成するには

1. グローバル管理者、Intune 管理者、または Azure AD 組織のユーザー管理者ロールであるアカウントを使用して、Azure portal にサインインします。

2. [Azure Active Directory]>[グループ] を参照します。

3. [すべてグループ] を選び、 [新しいグループ] を選びます。

   

4. [グループ] ページで、新しいグループの名前と説明を入力します。 ユーザーまたはデバイスのいずれかに対して [メンバーシップの種類] を選択し、 [動的クエリの追加] を選択します。 ルール ビルダーでは、最大で 5 つの式がサポートされます。 5 つを超える式を追加するには、テキスト ボックスを使用する必要があります。

   

5. メンバーシップのクエリで使用できるカスタム拡張機能プロパティを表示するには、次のようにします。

   1. [カスタム拡張機能のプロパティを取得します] を選択します。
   2. アプリケーション ID を入力し、 [プロパティの更新] を選択します。

6. ルールを作成した後、 [保存] を選択します。

7. [新規グループ] ページで [作成] をクリックして、グループを作成します。

入力したルールが有効でない場合は、ルールを処理できなかった理由の説明がポータルの Azure 通知に表示されます。 ルールを修正する方法を理解するには、こちらを注意深くお読みください。

既存のロールを更新するには

1. グローバル管理者、グループ管理者、Intune 管理者、または Azure AD 組織のユーザー管理者ロールであるアカウントを使用して、Azure portal にサインインします。

2. [Azure Active Directory]>[グループ]>[すべてのグループ] を参照します。

3. グループを選択して、そのプロファイルを開きます。

4. グループのプロファイル ページで、 [動的メンバーシップ ルール] を選択します。 ルール ビルダーでは、最大で 5 つの式がサポートされます。 5 つを超える式を追加するには、テキスト ボックスを使用する必要があります。

   

5. メンバーシップのルールで使用できるカスタム拡張機能プロパティを表示するには:

   1. [カスタム拡張機能のプロパティを取得します] を選択します。
   2. アプリケーション ID を入力し、 [プロパティの更新] を選択します。

6. ルールを更新した後、 [保存] を選択します。

ウェルカム メールをオンまたはオフにする

新しい Microsoft 365 グループが作成されると、グループに追加されたユーザー宛にメールのウェルカム通知が送信されます。 後で、ユーザーまたはデバイス (セキュリティ グループの場合のみ) のいずれかの属性が変更される場合は、組織内のすべての動的グループ ルールが、メンバーシップの変更のために処理されます。 追加されたユーザーは、ウェルカム通知も受け取ります。 この動作は、Exchange PowerShell を使用してオフにすることができます。

ルールの処理状態をチェックする

動的ルールの処理状態とメンバーシップの最終変更日は、グループの [概要] ページで確認できます。

動的ルール処理の状態には、次の状態メッセージが表示される場合があります。

• 評価中: グループの変更が受信され、更新プログラムが評価されています。
• 処理: 更新プログラムが処理されています。
• 更新の完了:処理が完了し、該当するすべての更新が行われました。
• 処理エラー: メンバーシップのルール評価におけるエラーが原因で、処理を完了できませんでした。
• 更新の一時停止:動的メンバーシップ規則の更新プログラムが管理者によって一時停止されました。 MembershipRuleProcessingState は、"一時停止" に設定されます。

注意

この画面では、 [処理の一時停止]を選択することもできます。 以前は、このオプションは membershipRuleProcessingState プロパティの変更によってのみ使用可能でした。 グローバル管理者、グループ管理者、ユーザー管理者、Intune 管理者は、この設定を管理し、動的なグループ処理を一時停止および再開できます。 正しいロールを持たないグループ所有者には、この設定を編集するために必要な権限がありません。

メンバーシップの最終変更の状態には、次の状態メッセージが表示される場合があります。

• <日付と時刻>:メンバーシップが最後に更新された日時。
• 進行中: 更新は現在進行中です。
• 不明:最終更新時刻を取得することができません。 新しいグループである可能性があります。

特定のグループのメンバーシップ規則の処理中にエラーが発生すると、そのグループの [概要] ページの上部にアラートが表示されます。 24 時間以上、組織内のすべてのグループに対して保留中の動的メンバーシップの更新が処理できない場合は、 [すべてグループ] の上部にアラートが表示されます。

次の手順

次の記事には、Azure Active Directory でグループを使用する方法に関する追加情報が記載されています。

• 既存のグループの表示
• 新しいグループの作成とメンバーの追加
• グループの設定の管理
• グループのメンバーシップの管理
• グループ内のユーザーの動的ルールの管理