Azure Active Directory の動的グループのグループ メンバーシップ (プレビュー)

  • [アーティクル]

Microsoft Entra の一部である Azure Active Directory (Azure AD) のこの機能プレビューを使用すると、管理者は、memberOf 属性を使用して他のグループのメンバーを追加することで設定される動的グループと管理単位を作成できます。 これまで Azure AD でグループベースのメンバーシップを読み取ることができなかったアプリは、これらの新しい memberOf グループのメンバーシップ全体を読み取れるようになりました。 これらのグループは、アプリに使用できるだけでなく、ライセンスの割り当てにも使用できます。 次の図は、Security-Group-X と Security-Group-Y のメンバーからなる Dynamic-Group-A を作成する方法を示しています。 Security-Group-X および Security-Group-Y の中にあるグループのメンバーは、Dynamic-Group-A のメンバーにはなりません。

memberOf 属性のしくみを示す図。

このプレビューを使用すると、管理者は Azure portal、Microsoft Graph、PowerShell で memberOf 属性を使用して動的グループを構成できます。 セキュリティ グループ、Microsoft 365 グループ、オンプレミスの Active Directory から同期されるグループはすべて、これらの動的グループのメンバーとして 1 つのグループに追加できます。 たとえば、その動的グループがセキュリティ グループであっても、Microsoft 365 グループ、セキュリティ グループ、オンプレミスから同期されるグループを使用してメンバーシップを定義できます。

前提条件

memberOf 属性を使用して Azure AD 動的グループを作成できるのは、全体管理者、Intune 管理者、ユーザー管理者のロールを持つ管理者のみです。 Azure AD テナントの Azure AD Premium ライセンスが必要です。

プレビューの制限事項

  • 各 Azure AD テナントでは、memberOf 属性を使用する動的グループは 500 個に制限されています。 memberOf グループは、動的グループ メンバー クォータの総数の 5,000 にカウントされます。
  • 各動的グループには、最大 50 個のメンバー グループを含めることができます。
  • セキュリティ グループのメンバーを memberOf 動的グループに追加する場合、セキュリティ グループの直接メンバーのみが動的グループのメンバーになります。
  • ある memberOf 動的グループを使用して、別の memberOf 動的グループのメンバーシップを定義することはできません。 たとえば、グループ B と C のメンバーが含まれる動的グループ A は、動的グループ D のメンバーにすることはできません。
  • memberOf を他のルールと一緒に使用することはできません。 たとえば、動的グループ A にグループ B のメンバーを含める、かつレドモンドにいるユーザーのみを含めるというルールは失敗します。
  • 動的グループ ルール ビルダーと検証機能は、現時点では memberOf には使用できません。
  • memberOf を他の演算子と一緒に使用することはできません。 たとえば、"グループ A のメンバーを動的グループ B に含めることはできない" というルールは作成できません。

作業の開始

この機能は、Azure portal、Microsoft Graph、PowerShell で使用できます。 memberOf はまだルール ビルダーでサポートされていないため、ルール エディターでルールを入力する必要があります。

memberOf 動的グループの作成手順

  1. グローバル管理者、Intune 管理者、ユーザー管理者のいずれかのロールのアクセス許可があるアカウントで Azure portal にサインインします。
  2. [Azure Active Directory]>[グループ] の順に選択し、[新しいグループ] を選択します。
  3. グループの詳細を入力します。 グループの種類は [セキュリティ] または [Microsoft 365]、メンバーシップの種類は [動的ユーザー] または [動的デバイス] に設定できます。
  4. [動的クエリの追加] を選択します。
  5. memberOf は、ルール ビルダーではまだサポートされていません。 [編集] を選択して、[ルール構文] ボックスにルールを書き込みます。
    1. ユーザー ルールの例: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. デバイス ルールの例: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  6. [OK] を選択します。
  7. [グループの作成] を選択します。