次の方法で共有

Azure portal で memberOf 属性を使用して動的メンバーシップ グループを構成する

  • [アーティクル]

Microsoft Entra ID のこの機能プレビューを使用すると、管理者は、memberOf 属性を使用して他のグループのメンバーを追加することで設定される動的メンバーシップ グループと管理単位を作成できます。 これまで Microsoft Entra ID でグループベースのメンバーシップを読み取ることができなかったアプリは、これらの新しい memberOf グループのメンバーシップ全体を読み取れるようになりました。 これらのグループは、アプリに使用できるだけでなく、ライセンスの割り当てにも使用できます。

次の図は、Security-Group-X と Security-Group-Y のメンバーからなる Dynamic-Group-A を作成する方法を示しています。 Security-Group-X および Security-Group-Y 内のグループのメンバーは、Dynamic-Group-A のメンバーにはなりません。

memberOf 属性のしくみを示す図。

このプレビューを使用すると、管理者は Azure portal、Microsoft Graph、PowerShell で memberOf 属性を使用して動的メンバーシップ グループを構成できます。 セキュリティ グループ、Microsoft 365 グループ、オンプレミスの Active Directory から同期されるグループはすべて、これらの動的メンバーシップ グループのメンバーとして追加できます。 これらはすべて 1 つのグループに追加することもできます。 たとえば、その動的グループがセキュリティ グループであっても、Microsoft 365 グループ、セキュリティ グループ、オンプレミスから同期されるグループを使用してメンバーシップを定義できます。

前提条件

memberOf 属性を使って Microsoft Entra 動的グループを作成するには、少なくともユーザー管理者である必要があります。 Microsoft Entra テナントに Microsoft Entra ID P1 または P2 ライセンスが必要です。

プレビューの制限事項

  • 各 Microsoft Entra テナントでは、memberOf 属性を使用する動的メンバーシップ グループは 500 個に制限されています。 memberOf グループは、15,000 の動的グループ メンバー クォータの合計にカウントされます。
  • 各動的グループには、最大 50 個のメンバー グループを含めることができます。
  • セキュリティ グループのメンバーを memberOf 動的メンバーシップ グループに追加する場合、セキュリティ グループの直接メンバーのみが動的グループのメンバーになります。
  • ある memberOf 動的グループを使用して、別の memberOf 動的グループのメンバーシップを定義することはできません。 たとえば、グループ B と C のメンバーが含まれる動的グループ A は、動的グループ D のメンバーにすることはできません。
  • memberOf 属性を他のルールと共に使用することはできません。 たとえば、動的グループ A にグループ B のメンバーを含める、かつレドモンドにいるユーザーのみを含めるというルールは失敗します。
  • 動的グループ ルール ビルダーと検証機能は、現時点では memberOf には使用できません。
  • この memberOf 属性は、他の演算子では使用できません。 たとえば、"グループ A のメンバーを動的グループ B に含めることはできない" というルールは作成できません。
  • memberOf 動的メンバーシップ グループに含まれるユーザーは、テナントに多数のグループまたは頻繁な動的メンバーシップ グループの更新がある場合、テナントの処理時間が遅くなる可能性があります。

作業の開始

この機能は、Azure portal、Microsoft Graph、PowerShell で使用できます。 memberOf はまだルール ビルダーでサポートされていないため、ルール エディターでルールを入力する必要があります。

memberOf 動的グループの作成

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. ID>グループ>すべてのグループ を参照します。
  3. 新しいグループを選択します。
  4. グループの詳細を入力します。 グループの種類は [セキュリティ] または [Microsoft 365]、メンバーシップの種類は [動的ユーザー] または [動的デバイス] に設定できます。
  5. [動的クエリの追加] を選択します。
  6. memberOf は、ルール ビルダーではまだサポートされていません。 [編集] を選択して、[ルール構文] ボックスにルールを書き込みます。
    1. ユーザー ルールの例: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. デバイス ルールの例: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. [OK] を選択します。
  8. [グループの作成] を選択します。