Microsoft Entra ID の動的グループのグループ メンバーシップ
Microsoft Entra ID のこの機能プレビューを使用すると、管理者は、memberOf
属性を使用して他のグループのメンバーを追加することで設定される動的グループと管理単位を作成できます。 これまで Microsoft Entra ID でグループベースのメンバーシップを読み取ることができなかったアプリは、これらの新しい memberOf
グループのメンバーシップ全体を読み取れるようになりました。 これらのグループは、アプリに使用できるだけでなく、ライセンスの割り当てにも使用できます。
次の図は、Security-Group-X と Security-Group-Y のメンバーからなる Dynamic-Group-A を作成する方法を示しています。 Security-Group-X および Security-Group-Y 内のグループのメンバーは、Dynamic-Group-A のメンバーにはなりません。
このプレビューを使用すると、管理者は Azure portal、Microsoft Graph、PowerShell で memberOf
属性を使用して動的グループを構成できます。 セキュリティ グループ、Microsoft 365 グループ、オンプレミスの Active Directory から同期されるグループはすべて、これらの動的グループのメンバーとして追加できます。 これらはすべて 1 つのグループに追加することもできます。 たとえば、その動的グループがセキュリティ グループであっても、Microsoft 365 グループ、セキュリティ グループ、オンプレミスから同期されるグループを使用してメンバーシップを定義できます。
前提条件
memberOf
属性を使って Microsoft Entra 動的グループを作成するには、少なくともユーザー管理者である必要があります。 Microsoft Entra テナントに Microsoft Entra ID P1 または P2 ライセンスが必要です。
プレビューの制限事項
- 各 Microsoft Entra テナントでは、
memberOf
属性を使用する動的グループは 500 個に制限されています。memberOf
グループは、15,000 の動的グループ メンバー クォータの合計にカウントされます。 - 各動的グループには、最大 50 個のメンバー グループを含めることができます。
- セキュリティ グループのメンバーを
memberOf
動的グループに追加する場合、セキュリティ グループの直接メンバーのみが動的グループのメンバーになります。 - ある
memberOf
動的グループを使用して、別のmemberOf
動的グループのメンバーシップを定義することはできません。 たとえば、グループ B と C のメンバーが含まれる動的グループ A は、動的グループ D のメンバーにすることはできません。 memberOf
属性を他のルールと共に使用することはできません。 たとえば、動的グループ A にグループ B のメンバーを含める、かつレドモンドにいるユーザーのみを含めるというルールは失敗します。- 動的グループ ルール ビルダーと検証機能は、現時点では
memberOf
には使用できません。 - この
memberOf
属性は、他の演算子では使用できません。 たとえば、"グループ A のメンバーを動的グループ B に含めることはできない" というルールは作成できません。
作業の開始
この機能は、Azure portal、Microsoft Graph、PowerShell で使用できます。 memberOf
はまだルール ビルダーでサポートされていないため、ルール エディターでルールを入力する必要があります。
memberOf 動的グループの作成
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- ID>グループ>すべてのグループ を参照します。
- 新しいグループを選択します。
- グループの詳細を入力します。 グループの種類は [セキュリティ] または [Microsoft 365]、メンバーシップの種類は [動的ユーザー] または [動的デバイス] に設定できます。
- [動的クエリの追加] を選択します。
- memberOf は、ルール ビルダーではまだサポートされていません。 [編集] を選択して、[ルール構文] ボックスにルールを書き込みます。
- ユーザー ルールの例:
user.memberof -any (group.objectId -in ['groupId', 'groupId'])
- デバイス ルールの例:
device.memberof -any (group.objectId -in ['groupId', 'groupId'])
- ユーザー ルールの例:
- [OK] を選択します。
- [グループの作成] を選択します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示