動的メンバーシップの規則 (プレビュー) を使用して管理単位のユーザーまたはデバイスを管理する

  • [アーティクル]

重要

管理単位の動的メンバーシップの規則は現在プレビューの段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

管理単位のユーザーまたはデバイスを手動で追加または削除できます。 このプレビューでは、規則が設定された管理単位のユーザーまたはデバイスを動的に追加または削除できます。 この記事では、Azure portal、PowerShell、または Microsoft Graph API を使用して、動的メンバーシップの規則が設定された管理単位を作成する方法について説明します。

注意

管理単位の動的メンバーシップ規則を、動的グループで使用できるのと同じ属性を使用して作成できます。 使用可能な具体的な属性とその使用方法の例の詳細については、「Azure Active Directoryのグループの動的メンバーシップ ルール」を参照してください。

手動で割り当てられたメンバーが設定された管理単位では、ユーザー、グループ、デバイスなど、複数のオブジェクトの種類がサポートされていますが、現在のところ、複数のオブジェクトの種類を含む動的メンバーシップの規則が設定された管理単位を作成することはできません。 たとえば、ユーザーまたはデバイスの動的メンバーシップの規則が設定された管理単位を作成できますが、両方を使用することはできません。 グループの動的メンバーシップの規則が設定された管理単位は、現在サポートされていません。

前提条件

  • 管理単位の各管理者に対する Azure AD Premium P1 または P2 ライセンス
  • 管理単位の各メンバーに対する Azure AD Premium P1 または P2 ライセンス
  • 特権ロール管理者またはグローバル管理者
  • PowerShell を使用する場合の AzureADPreview モジュール
  • Microsoft Graph API の Graph エクスプローラーを使用する場合の管理者の同意
  • グローバル Azure クラウド (Azure Government や Azure China などの特別なクラウドでは利用できません)

Note

管理単位の動的メンバーシップの規則には、1 つまたは複数の動的管理単位のメンバーである一意のユーザーごとに Azure AD Premium P1 ライセンスが必要です。 ユーザーを動的管理単位のメンバーにするために、そのユーザーにライセンスを割り当てる必要はありません。ただし、少なくともそのすべてのユーザーを対象にできるだけのライセンス数が Azure AD 組織に含まれている必要があります。 たとえば、組織のすべての動的管理単位に、合計 1,000 人の一意のユーザーがいる場合、ライセンス要件を満たすには、Azure AD Premium P1 に対するライセンスが 1,000 個以上必要です。 動的なデバイス 管理単位のメンバーであるデバイスには、ライセンスは必要ありません。

詳細については、「PowerShell または Graph エクスプローラーを使用するための前提条件」をご覧ください。

動的メンバーシップの規則を追加する

次の手順に従って、ユーザーまたはデバイスの動的メンバーシップの規則が設定された管理単位を作成します。

Azure portal

  1. Azure portal にサインインします。

  2. [Azure Active Directory] を選択します。

  3. [管理単位] を選択し、ユーザーまたはデバイスを追加する管理単位を選択します。

  4. [プロパティ] を選択します。

  5. [メンバーシップの種類] リストで、追加する規則の種類に応じて、[動的ユーザー] または [動的デバイス] を選択します。

    [メンバーシップの種類] リストが表示されている管理単位の [プロパティ] ページのスクリーンショット。

  6. [動的クエリの追加] を選択します。

  7. ルール ビルダーを使用して、動的メンバーシップの規則を指定します。 詳細については、「Azure portal のルール ビルダー」を参照してください。

    プロパティ、演算子、値を含むルール ビルダーを示す [動的メンバーシップ ルール] ページのスクリーンショット。

  8. 完了したら、[保存] を選択して動的メンバーシップの規則を保存します。

  9. [プロパティ] ページで、[保存] を選択して、メンバーシップの種類とクエリを保存します。

    次のメッセージが表示されます。

    管理単位の種類を変更した後、指定した動的メンバーシップの規則に基づいて既存のメンバーシップが変更される可能性があります。

  10. [はい] を選択して続行します。

規則を編集する手順については、次の「動的メンバーシップの規則を編集する」セクションを参照してください。

PowerShell

  1. 動的メンバーシップ ルールを作成します。 詳細については、「Azure Active Directory の動的グループ メンバーシップ ルール」を参照してください。

  2. Connect-AzureAD コマンドを使用して、特権ロール管理者または全体管理者ロールが割り当てられているユーザーと Azure Active Directory を接続します。

    # Connect to Azure AD
Connect-AzureAD

  3. New-AzureADMSAdministrativeUnit コマンドを使用し、動的メンバーシップの規則が設定された管理単位を次のパラメータを使用して作成します。

    • MembershipType: Dynamic または Assigned
    • MembershipRule: 前の手順で作成した動的メンバーシップの規則
    • MembershipRuleProcessingState: On または Paused
    # Create an administrative unit for users in the United States
$adminUnit = New-AzureADMSAdministrativeUnit -DisplayName "Example Admin Unit" -Description "Example Dynamic Membership Admin Unit" -MembershipType "Dynamic" -MembershipRuleProcessingState "On" -MembershipRule '(user.country -eq "United States")'

Microsoft Graph API

  1. 動的メンバーシップ ルールを作成します。 詳細については、「Azure Active Directory の動的グループ メンバーシップ ルール」を参照してください。

  2. Create administrativeUnit API を使用して、動的メンバーシップの規則が設定された新しい管理単位を作成します。

    次に、Windows デバイスに適用する動的メンバーシップの規則の例を示します。

    要求

    POST https://graph.microsoft.com/beta/administrativeUnits

    本文

    {
  "displayName": "Windows Devices",
  "description": "All Contoso devices running Windows",
  "membershipType": "Dynamic",
  "membershipRule": "(device.deviceOSType -eq \"Windows\")",
  "membershipRuleProcessingState": "On"
}

動的メンバーシップの規則を編集する

管理単位が動的メンバーシップ用に構成されている場合、動的メンバーシップ エンジンでは、メンバーの追加または削除の所有権のみが保持されるため、管理単位のメンバーを追加または削除するための通常のコマンドは無効になっています。 メンバーシップに変更を加えるには、動的メンバーシップの規則を編集します。

Azure portal

  1. Azure portal にサインインします。

  2. [Azure Active Directory] を選択します。

  3. [管理単位] を選択し、編集する動的メンバーシップの規則が設定された管理単位を選択します。

  4. ルール ビルダーを使用して動的メンバーシップの規則を編集するには、[メンバーシップの規則] を選択します。

    ルール ビルダーを開く [メンバーシップ ルール] オプションと [動的メンバーシップ ルール] オプションを含む管理単位のスクリーンショット。

    また、左側のナビゲーションで [動的メンバーシップの規則] を選択して、ルール ビルダーを開くこともできます。

  5. 完了したら、[保存] を選択して動的メンバーシップの規則に加えた変更を保存します。

PowerShell

動的メンバーシップの規則を編集するには、AzureADMSAdministrativeUnit コマンドを使用します。

# Set a new dynamic membership rule for an administrative unit
Set-AzureADMSAdministrativeUnit -Id $adminUnit.Id -MembershipRule '(user.country -eq "Germany")'

Microsoft Graph API

動的メンバーシップの規則を編集するには、Update administrativeUnit API を使用します。

要求

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

本文

{
  "membershipRule": "(user.country -eq "Germany")"
}

動的管理単位を割り当てられるように変更する

動的メンバーシップの規則が設定された管理単位をメンバーが手動で割り当てられる管理単位に変更するには、次の手順に従います。

Azure portal

  1. Azure portal にサインインします。

  2. [Azure Active Directory] を選択します。

  3. [管理単位] を選択し、割り当て済みに変更する管理単位を選択します。

  4. [プロパティ] を選択します。

  5. [メンバーシップの種類] リストで、[割り当て済み] を選択します。

    [メンバーシップの種類] リストが表示され、[割り当て済み] が選択されている管理単位の [プロパティ] ページのスクリーンショット。

  6. [保存] を選択し、メンバーシップの種類を保存します。

    次のメッセージが表示されます。

    管理単位の種類を変更した後は、動的な規則は処理されなくなります。 現在の管理単位メンバーは管理単位に残り、その管理単位にメンバーシップが割り当てられます。

  7. [はい] を選択して続行します。

    メンバーシップの種類の設定を [動的] から [割り当て済み] に変更しても、現在のメンバーは管理単位内にそのまま維持されます。 さらに、管理単位にグループを追加する機能が有効になっています。

PowerShell

メンバーシップの種類の設定を変更するには、AzureADMSAdministrativeUnit コマンドを使用します。

# Change an administrative unit to assigned
Set-AzureADMSAdministrativeUnit -Id $adminUnit.Id -MembershipType "Assigned" -MembershipRuleProcessingState "Paused"

Microsoft Graph API

メンバーシップの種類の設定を変更するには、Update administrativeUnit API を使用します。

要求

PATCH https://graph.microsoft.com/beta/administrativeUnits/{id}

本文

{
  "membershipType": "Assigned"
}

次のステップ