Azure Active Directory の動的グループのグループ メンバーシップ (プレビュー)

Microsoft Entra の一部である Azure Active Directory (Azure AD) のこの機能プレビューを使用すると、管理者は、memberOf 属性を使用して他のグループのメンバーを追加することで設定される動的グループと管理単位を作成できます。 これまで Azure AD でグループベースのメンバーシップを読み取ることができなかったアプリは、これらの新しい memberOf グループのメンバーシップ全体を読み取れるようになりました。 これらのグループは、アプリに使用できるだけでなく、ライセンスの割り当てにも使用できます。 次の図は、Security-Group-X と Security-Group-Y のメンバーからなる Dynamic-Group-A を作成する方法を示しています。 Security-Group-X および Security-Group-Y の中にあるグループのメンバーは、Dynamic-Group-A のメンバーにはなりません。

memberOf 属性のしくみを示す図。

このプレビューを使用すると、管理者は Azure portal、Microsoft Graph、PowerShell で memberOf 属性を使用して動的グループを構成できます。 セキュリティ グループ、Microsoft 365 グループ、オンプレミスの Active Directory から同期されるグループはすべて、これらの動的グループのメンバーとして 1 つのグループに追加できます。 たとえば、その動的グループがセキュリティ グループであっても、Microsoft 365 グループ、セキュリティ グループ、オンプレミスから同期されるグループを使用してメンバーシップを定義できます。

前提条件

memberOf 属性を使用して Azure AD 動的グループを作成できるのは、全体管理者、Intune 管理者、ユーザー管理者のロールを持つ管理者のみです。 Azure AD テナントの Azure AD Premium ライセンスが必要です。

プレビューの制限事項

  • 各 Azure AD テナントでは、memberOf 属性を使用する動的グループは 500 個に制限されています。 memberOf グループは、動的グループ メンバー クォータの総数の 5,000 にカウントされます。
  • 各動的グループには、最大 50 個のメンバー グループを含めることができます。
  • セキュリティ グループのメンバーを memberOf 動的グループに追加する場合、セキュリティ グループの直接メンバーのみが動的グループのメンバーになります。
  • ある memberOf 動的グループを使用して、別の memberOf 動的グループのメンバーシップを定義することはできません。 たとえば、グループ B と C のメンバーが含まれる動的グループ A は、動的グループ D のメンバーにすることはできません。
  • memberOf を他のルールと一緒に使用することはできません。 たとえば、動的グループ A にグループ B のメンバーを含める、かつレドモンドにいるユーザーのみを含めるというルールは失敗します。
  • 動的グループ ルール ビルダーと検証機能は、現時点では memberOf には使用できません。
  • memberOf を他の演算子と一緒に使用することはできません。 たとえば、"グループ A のメンバーを動的グループ B に含めることはできない" というルールは作成できません。
  • 規則で指定されたオブジェクトを管理単位にすることはできません。

作業の開始

この機能は、Azure AD ポータル、Microsoft Graph、PowerShell で使用できます。 memberOf はまだルール ビルダーでサポートされていないため、ルール エディターでルールを入力する必要があります。

memberOf 動的グループの作成手順

  1. グローバル管理者、Intune 管理者、ユーザー管理者のいずれかのロールのアクセス許可があるアカウントで Azure portal にサインインします。
  2. [Azure Active Directory]>[グループ] の順に選択し、[新しいグループ] を選択します。
  3. グループの詳細を入力します。 グループの種類は [セキュリティ] または [Microsoft 365]、メンバーシップの種類は [動的ユーザー] または [動的デバイス] に設定できます。
  4. [動的クエリの追加] を選択します。
  5. memberOf は、ルール ビルダーではまだサポートされていません。 [編集] を選択して、[ルール構文] ボックスにルールを書き込みます。
    1. ユーザー ルールの例: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. デバイス ルールの例: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  6. [OK] を選択します。
  7. [グループの作成] を選択します。