次の方法で共有

動的グループのトラブルシューティング

このトラブルシューティング ガイドは、Microsoft Entra ID の動的グループに関する問題を診断して解決するのに役立ちます。

重要

動的メンバーシップ グループの変更は、通常、数時間以内に処理されます。 ただし、グループの数、変更の数、ルールの複雑さなどの要因によっては、処理に 24 時間以上かかる場合があります。 詳細については、「 Microsoft Entra ID での動的グループ処理の理解と管理」を参照してください。

動的グループの識別と管理

グループが動的グループであるかどうかを確認するには、「 グループが動的グループであるかどうかを評価する」を参照してください

動的なグループ作成の問題

関連情報

グループ作成に関する推奨記事:

動的グループまたはルールの作成に関する一般的な問題:

  • Azure portal で動的グループを作成できないか、PowerShell で動的グループを作成するときにエラーが発生します。 「 動的グループを作成できませんを参照してください。

  • ルールを作成する属性が見つかりません。 「 動的メンバーシップ ルールを作成するを参照してください。

  • PowerShell で動的グループを作成しようとすると、 "許可される最大グループ数" エラーが表示されます。テナント内の動的グループの上限である 15,000 グループに達しました。 新しい動的グループを作成するには、まず既存の動的グループを削除します。 上限を引き上げる方法はありません。

動的メンバーシップの更新に関する問題

動的グループを作成し、ルールを構成しましたが、次のような一般的な問題が発生しました。

グループにメンバーが表示されない、一部のユーザーまたはデバイスがグループに表示されない、または間違ったユーザーまたはデバイスがグループに表示される。

ルールの既存のメンバーが削除されます。

  • この動作は仕様です。 ルールを有効にしたり変更したりすると、または属性を変更すると、グループの既存のメンバーは削除されます。 ルールの評価から返されたユーザーは、グループのメンバーとして追加されます。

ルールを追加または変更した直後にメンバーシップの変更は表示されません。

  • メンバーシップの評価は、バックグラウンド プロセスとして定期的に実行されます。 プロセスにかかる時間は、ディレクトリ内のユーザー数と、ルールのために作成されるグループのサイズによって変わります。 ユーザー数の少ないディレクトリであれば通常、グループ メンバーシップの変更が数分以内に反映されます。 ディレクトリのユーザー数が多いと、変更が反映されるまでに 30 分以上かかる場合があります。

  • プロセスが完了したかどうかを確認するには、メンバーシップの処理の状態を調べます。 ページが更新されたことを確認するには、Azure portal のグループの [概要] ページで最終更新日を調べます。

  • グループを強制的に処理するには、「グループを強制的に今すぐ処理する」を参照してください。

ルール処理エラーが発生します。

動的なグループの削除または復元の問題

グループを削除するとエラーが発生します。

削除されたグループを復元しましたが、更新プログラムは表示されませんでした。

  • 動的なグループを削除し復元する場合、そのグループは新しいグループとみなされ、規則に従って再度追加されます。 テナント サイズなどの要因によっては、このプロセスの完了に時間がかかる場合があります。

グループが動的グループであるかどうかを評価する

グループが動的グループかどうかを確認するには:

  1. Azure Portal にサインインします。

  2. [グループの 表示 ] タブでグループを選択し、 メンバーの種類Dynamic に設定されているかどうかを確認します。

動的グループ メンバーシップルールを検証する

Microsoft Entra ID は、動的グループルールを検証する手段を提供します。 Validate ルール タブでは、サンプル グループ メンバーに対して動的ルールを検証して、ルールが期待どおりに動作していることを確認できます。

動的グループ ルールを作成または更新するときに、この情報を使用して、ユーザーまたはデバイスがグループのメンバーになるためのルール条件を満たしているかどうかを判断できます。 これにより、メンバーシップが予期されない場合のトラブルシューティングにも役立つ場合があります。

詳細については、「 動的グループ メンバーシップ ルール (プレビュー) を Microsoft Entra ID で有効にする」を参照してください。

動的グループ作成に関する問題のトラブルシューティング

動的なグループまたはルールを作成するときに問題が発生しました。

動的グループを作成できない

Azure portal で動的グループを作成するオプションが表示されないか、PowerShell で動的グループを作成するときにエラーが発生しました。

  1. テナントに適切なライセンスがあることを確認します。

  2. グループを作成するユーザーが適切な管理者アクセス許可を持っていることを確認します。

    • 新しいグループを作成する権限があることを確認します。 グローバル管理者は、Azure ポータルまたはアクセス パネルでグループの作成を無効にできます。 場合によっては、管理者に新しいグループを作成してもらうか、適切なアクセス許可を付与してもらう必要があります。

  3. 作成するグループの種類に対して、グループ作成のアクセス許可が有効になっていることを確認します。

    • グローバル管理者は、Azure portal または アクセス パネル で作成されたセキュリティグループまたは Office 365 グループのグループ作成アクセス許可を管理できます。ユーザーは Azure portal でセキュリティ グループを作成できますまたはユーザーは Azure portal で Office 365 グループを作成できますすべてのグループ>の 下の Azure portal の設定。 この設定は、動的グループにも適用されます。

  4. 特定のユーザーが、グループを作成できるユーザーの一覧に含まれているかどうかを確認します。

    • Microsoft Entra ID P1 Premium ライセンスをお持ちの場合、グローバル管理者はグループの作成を制限してユーザーのグループを選択できます。 適切なアクセス許可があることを確認する必要があります。

PowerShell で動的グループを作成するときに、許可される最大グループ数のエラーが表示される

このエラーは、テナント内の動的グループの上限に達したことを意味します。 テナント内のグループの数を確認します。 テナントあたりの動的グループの最大数は 15,000 です。

新しい動的グループを作成するには、まず既存の動的グループをいくつか削除する必要があります。 上限を増やす方法はありません。

動的グループ ルールの作成に関する問題のトラブルシューティング

ルールを作成する属性が見つかりません

  1. サポートされているプロパティの リストにユーザー属性があることを確認。 リストに含まれていない場合は、現在サポートされていません。
  2. デバイス属性がデバイス属性の リストにあることを確認します。 リストに含まれていない場合は、現在サポートされていません。 詳細については、「 Microsoft Entra ID のグループのダイナミック メンバーシップルールを参照してください。

動的メンバーシップ ルールを作成できません

  1. テナントに適切なライセンスがあることを確認します。 動的グループでは、テナントに Microsoft Entra ID P1 プレミアム ライセンスが必要です。

  2. 組み込みの User Attributes が見つからない場合は、その属性がサポートされているプロパティの リストにあることを確認。 一覧にない場合は、現在サポートされていません。

  3. 組み込みの Device Attributes を探している場合は、その属性がデバイス属性の リストにあることを確認。 一覧にない場合は、現在サポートされていません。

  4. Azure portal の Simple Rule ドロップダウンに属性が見つからない場合は、 Advanced Rule を使用してルールを作成します。

    1. 構文が正確であり、プロパティの型と値の両方が一致していることを確認します。

    2. また、適切なオブジェクト プレフィックスを追加してプロパティを選択していることを確認します。

      • 例: user.countrydevice.deviceOSType

    3. サポートされている演算子の一覧や一般的なルールの例など高度なルールを作成する方法に関するガイドについて説明します。

  5. 動的ユーザー ルールには Extension 属性 も使用します。 これらのルールは、単純なルールの作成時にドロップダウン リストに表示されます。

    • カスタム属性名は、 PowerShell を使用してユーザーの属性にクエリを実行し、属性名を検索することで、ディレクトリ内で見つけることができます。 これらの属性は、高度な規則を構築するときにも使用できます。

  6. 動的グループを作成するユーザーの Role が、 Company Administrator または User Administrator であることを確認します。

  7. グループが埋まるまで時間を確保してください。

  8. Simple Rule Builder では、最大 5 つの式がサポートされます。 ルールに 5 つ以上の式を追加するには、テキスト ボックスを使用する必要があります。

動的メンバーシップの更新に関する問題のトラブルシューティング

動的グループを作成し、ルールを構成しましたが、これらのいずれかの問題が発生しました。

  • グループにメンバーがいません。
  • 一部のユーザーまたはデバイスがグループに表示されない。
  • 不正なユーザーまたはデバイスがグループに表示されない。

メンバーが期待どおりに追加または削除されない

  1. メンバーの処理状態を確認しそれが完了しているかどうかを確認し、Azure portal のグループの [概要] ページで最終更新日を確認して最新であることを確認します。

  2. メンバーシップの処理状態が処理エラーであり、更新が一時停止している場合、管理者または PG チームに、グループの処理をエラー状態から再開するよう依頼してください。

  3. ユーザーまたはデバイスの動的メンバーシップを評価する」の手順に従って、ユーザーまたはデバイスがメンバーシップの規則を満たしているかどうかを確認します。

  4. ポリシーで許可されていないゲスト ユーザーの追加の問題によって、処理状態が影響を受けていないことを確認します。

    • グループが Office365 グループで、ユーザーがゲスト ユーザーである場合、ディレクトリ設定でテナントにゲスト ユーザーの追加が許可されていないと、そのゲスト ユーザーをグループに追加することはできません。

    • 1 つのグループでゲスト ユーザーの追加エラーが発生すると、同じテナント内の同じグループと他のグループの更新がブロックされます。 以下を選択できます:

      • テナント内のグループの Manage ゲスト ユーザー 設定に従って、ゲスト ユーザーの追加を許可します。
      • グループ ルールを変更して、ゲスト ユーザーを除外するには、 (user.userType -eq "member")を追加します。

  5. すべてが正しければ、グループが表示されるまで待ちます。 テナントのサイズによっては、グループが初回やルール変更後に反映されるまでに時間がかかる場合があります。 グループ処理の完了を許可するには、少なくとも 24 時間待機することをお勧めします。

  6. 処理状態が完了と表示され、問題が解決しない場合は、 グループの処理をリセット して、一時的なシステムの問題を解決できます。

    処理中の状態が in processing として表示される場合は、待機を続けます。

ユーザーまたはデバイスの動的メンバーシップを評価する

ユーザーまたはデバイスがグループに含まれる規則を満たすかどうかを評価するには、 Manual 検証を使用します。

手動検証

ルールのユーザー属性またはデバイス属性 ( Azure ポータルまたは PowerShell を使用して の値を検証します。

  • ルールを満たすユーザーが存在することを確認します。
  • デバイスの場合は、デバイスのプロパティを調べて、同期された属性に期待される値が含まれていることを確認します。

office365 グループのゲスト ユーザー設定を管理する

まず、Azure AD PowerShell モジュールを インストールします

  1. ディレクトリに接続します。 詳細については、「 PowerShell を使用してディレクトリに接続する方法 を参照してください。

  2. ディレクトリ設定を確認します。

    1. テナントのディレクトリ設定を読み取ります。 ディレクトリ レベルでの読み取り設定
    2. ゲスト ユーザー設定を確認します。次の図に示すように、 AllowToAddGueststrue の場合、そのグループの設定を確認します。 AllowToAddGuestsfalseの場合、グループ レベルの設定に関係なく、ゲスト ユーザーを追加することはできません。

    AllowToAddGuests 設定を確認するスクリーンショット。

  3. テナント レベルで設定を更新します。 テナント レベルでゲスト ユーザー設定を変更するには、「 PowerShell を使用してテナント レベルで設定を更新する方法

  4. グループの設定を確認します。 ゲスト ユーザー設定をターゲット値 (該当する場合) に変更するには、「 PowerShell を使用して特定のグループの設定を確認および更新する方法」を参照してください。

ルールの既存のメンバーが削除される

この動作は仕様です。 ルールを有効にしたり変更したりすると、または属性を変更すると、グループの既存のメンバーは削除されます。 ルールの評価から返されたユーザーは、グループのメンバーとして追加されます。

ルールを更新した直後にメンバーシップの変更が表示されない

メンバーシップの評価は、バックグラウンド プロセスで定期的に行われます。 プロセスにかかる時間は、複数の要因によって決まります。

グループを強制的に今すぐ処理する

動的グループの処理をリセットします。 Azure portal で、メンバーシップ ルールを更新してルールの中央に空白を追加することで、再処理を手動でトリガーします。

ルール処理エラーを修正する

ルール パーサー エラー 誤った使用法 正しい使用法
エラー: 属性はサポートされていません (user.invalidProperty -eq "値") (user.department -eq "value")
該当する属性が、サポートされているプロパティ一覧に記載されていることを確認してください。
エラー: 属性で演算子がサポートされていません (ユーザーアカウントが有効 - 含まれる true) (ユーザーのアカウントが有効化されている場合)
使用される演算子は、プロパティ型ではサポートされていません (この例では、-contains はブール型では使用できません)。 プロパティの型に合った適切な演算子を使用してください。
エラー: クエリ コンパイル エラー 1. (user.department -eq "営業")(user.department -eq "マーケティング")
2. (user.userPrincipalName -match "*@domain.ext")		 1. 演算子が不足しています。 -and または -or を使用して 2 つの述語を結合します: (user.department -eq "Sales") または (user.department -eq "Marketing")
2. -match に使用されている正規表現に誤りがあります
(user.userPrincipalName -match ".*@domain.ext")
または、次の式を使用: (user.userPrincipalName -match "@domain.ext$")

動的グループの削除または復元のトラブルシューティング

Microsoft Entra ID でグループを削除しようとする前に、エラーを回避するために、割り当てられているすべてのライセンスを削除したことを確認してください。

(グループの削除全般の詳細については、 を参照してください。グループを削除

グループを削除する

  1. グループは、 Microsoft Graph PowerShell の Remove-MgGroup コマンドレットを使用してディレクトリから削除できます。

  2. Microsoft Entra ID でグループを削除する前に、エラーを回避するために、割り当てられているすべてのライセンスを削除したことを確認してください

削除されたグループを復元する

  • Office 365 グループが削除されても、そのグループは、完全に削除されるまでは、最大 30 日間に限り復元できます。 完全に削除されると、そのグループは復元できなくなります。 グループの復元の詳細については、「 削除された Microsoft 365 グループを Microsoft Entra ID で復元するを参照してください。
  • この機能は、セキュリティ グループと配布グループではサポートされていません。
  • Office 365 グループを復元する権限があることを確認します。 グループを復元できるのは、グローバル管理者、ユーザー アカウント管理者、Intune サービス管理者、またはグループの所有者だけです。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。