Microsoft Entra ID での動的なグループ処理を理解して管理する

Microsoft Entra ID の動的メンバーシップグループは、管理者がグループメンバーシップの管理を自動化できる強力な機能です。通常、メンバーシップの変更は数時間以内に処理されます。

ただし、特定の条件下では、メンバーシップの更新が遅れる可能性があります。処理には 24 時間以上かかることがあります。基になる原因を理解することは、管理者が構成を最適化し、不要な処理のボトルネックを回避するのに役立ちます。

動的グループ処理のしくみ

動的なグループ処理は、順番に動作します。 1 つのテナントの変更は、一度にすべてではなく順番に評価および適用されます。大量の変更 (特に多くのユーザーまたはデバイスに影響を与える場合) は、長い処理キューにつながる可能性があります。長いキューは、更新が処理を完了するために必要な時間を延長できます。

処理に影響を与え、メンバーシップの更新に時間がかかる可能性がある 3 つの最大の要因は次のとおりです。

動的グループの数: 多数の動的グループを持つテナントでは、より多くの評価が必要で、処理時間が長くなります。
オブジェクト変更の数: 大量のユーザーまたはデバイスの変更により、長い処理キューが作成され、処理時間が長くなる可能性があります。たとえば、拡張機能の属性の変更、デバイスの追加または削除、ユーザーの一括更新などがあります。
ルールの構成: 特定のルール構成が処理時間に影響を与える可能性があります。たとえば、 Match、 Contains、 memberOf などの非効率的な演算子を選択すると、処理時間が長くなる可能性があります。ルールの複雑さも一因です。

効率的な処理を確保し、遅延を最小限に抑えるには、次のベストプラクティスを検討してください。

テナント内のグループの数を定期的に確認します。非アクティブなグループまたは古いグループを削除します。

不要なグループを一時停止して、処理のパフォーマンスを向上させることができます。このような状況では、グループ処理を一時停止することを検討してください。

計画された大規模な更新: グループメンバーシップに多数の変更を加える予定です。たとえば、500 を超えるグループに変更を加えたり、20,000 を超えるメンバーシップを変更したりする予定です。
予期しない遅延: グループメンバーシップが変更されておらず、予期しない遅延が発生していることがわかります。

処理を一時的に停止するには、[ すべてのグループの一時停止] スクリプトを使用します。再開する前に、サービスの復旧を許可します。

すぐにグループの一時停止を解除しないでください。グループ処理が追いつくためには、少なくとも 24 時間待機することをお勧めします。次に、監査ログを調べて、それらがベースラインに戻っているかどうかを確認します。必要に応じて、一度にすべてではなく、段階的にグループの一時停止を解除します。

ルールで Match 演算子を使用することは、できるだけ避けてください。代わりに、 StartsWith、 Equals、または EndsWith 演算子を使用します。
ルールで Contains 演算子を使用することは、できるだけ避けてください。処理時間の増加につながる可能性があります。
使用する -or 演算子の数を減らします。代わりに、 -in 演算子を使用して、ルールを 1 つの条件にグループ化します。ルールをグループ化すると、簡単に評価できます。
可能であれば、 memberOf 演算子を使用しないでください。現在プレビュー段階であり、バグと制限事項が付属しています。また、特にテナントに多数のグループや頻繁な更新がある場合は、より複雑になる可能性があります。テナント内の既存の memberOf グループを削除することをお勧めします。

動的グループ処理の遅延は、主に大量の変更と多数のグループが原因で発生します。 IT 管理者は、ルールの効率の最適化、変更の監視、必要に応じて不要なグループの一時停止などのベストプラクティスに従うことで、処理のパフォーマンスを向上させ、不要な遅延を回避できます。

このページはお役に立ちましたか?