次の方法で共有


動的メンバーシップ グループの規則を使用して管理単位のユーザーまたはデバイスを管理する

管理単位のユーザーまたはデバイスを手動で追加または削除できます。 動的メンバーシップ グループを使用すると、ルールを使用して管理単位のユーザーまたはデバイスを動的に追加または削除できます。 この記事では、Microsoft Entra 管理センター、PowerShell、または Microsoft Graph API を使用して、動的メンバーシップ グループのルールが設定された管理単位を作成する方法について説明します。

Note

管理単位の動的メンバーシップ ルールは、動的メンバーシップ グループで使用できるものと同じ属性を使用して作成できます。 使用可能な具体的な属性とその使用方法の例の詳細については、「Microsoft Entra ID の動的メンバーシップ グループのルールを管理する」をご覧ください。

メンバーが手動で割り当てられた管理単位では、ユーザー、グループ、デバイスなど、複数のオブジェクトの種類がサポートされていますが、現在のところ、動的メンバーシップ グループのルールに複数のオブジェクトの種類が含まれる管理単位を作成することはできません。 たとえば、ユーザーまたはデバイスの動的メンバーシップ グループのルールが設定された管理単位を作成できますが、ユーザーとデバイス両方のものは作成できません。 グループの動的メンバーシップ グループのルールが設定された管理単位は、現在サポートされていません。

前提条件

  • 管理単位の各管理者に対する Microsoft Entra ID P1 または P2 ライセンス
  • 管理単位の各メンバーに対する Microsoft Entra ID P1 または P2 ライセンス
  • 特権ロール管理者
  • PowerShell を使用する場合はMicrosoft Graph PowerShell SDKのインストール
  • 管理者の同意 (Microsoft Graph API の Graph エクスプローラーを使用する場合)
  • グローバル Azure クラウド (Azure Government や 21Vianet によって運営される Microsoft Azure などの特別なクラウドでは利用できません)

Note

管理単位の動的メンバーシップの規則には、1 つまたは複数の動的管理単位のメンバーである一意のユーザーごとに Microsoft Entra ID P1 ライセンスが必要です。 ユーザーを動的管理単位のメンバーにするために、そのユーザーにライセンスを割り当てる必要はありません。ただし、少なくともそのすべてのユーザーを対象にできるだけのライセンス数が Microsoft Entra 組織に含まれている必要があります。 たとえば、組織のすべての動的管理単位に、合計 1,000 人の一意のユーザーがいる場合、ライセンス要件を満たすには、Microsoft Entra ID P1 に対するライセンスが 1,000 個以上必要です。 デバイスの動的メンバーシップ グループに対する管理単位のメンバーであるデバイスには、ライセンスは必要ありません。

詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。

動的メンバーシップ グループのルールを追加する

次の手順に従って、ユーザーまたはデバイスの動的メンバーシップ グループのルールが設定された管理単位を作成します。

Microsoft Entra 管理センター

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. ユーザーまたはデバイスを追加する管理単位を選択します。

  3. [プロパティ] を選択します。

  4. [メンバーシップの種類] リストで、追加する規則の種類に応じて、[動的ユーザー] または [動的デバイス] を選択します。

    [メンバーシップの種類] リストが表示されている管理単位の [プロパティ] ページのスクリーンショット。

  5. [動的クエリの追加] を選択します。

  6. ルール ビルダーを使用して、動的メンバーシップ グループのルールを指定します。 詳細については、「Azure portal のルール ビルダー」を参照してください。

    プロパティ、演算子、値を含むルール ビルダーを示す [動的メンバーシップ ルール] ページのスクリーンショット。

  7. 完了したら、[保存] を選択して動的メンバーシップ グループのルールを保存します。

  8. [プロパティ] ページで、[保存] を選択して、メンバーシップの種類とクエリを保存します。

    次のメッセージが表示されます。

    管理単位の種類を変更すると、設定した動的メンバーシップ グループのルールに基づいて既存のメンバーシップが変更される場合があります。

  9. [はい] を選択して続行します。

ルールを編集する手順については、以降の「動的メンバーシップ グループのルールを編集する」セクションをご覧ください。

PowerShell

  1. 動的メンバーシップ グループ ルールを作成します。 詳細については、「Microsoft Entra ID の動的メンバーシップ グループのルールを管理する」をご覧ください。

  2. Connect-MgGraph コマンドを使って、特権ロール管理者ロールが割り当てられているユーザーと Microsoft Entra ID を接続します。

    Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
    
  3. New-MgDirectoryAdministrativeUnit コマンドを使用して、動的メンバーシップ グループのルールが設定された管理単位を次のパラメータにより作成します。

    • MembershipType: Dynamic または Assigned
    • MembershipRule: 前の手順で作成した動的メンバーシップの規則
    • MembershipRuleProcessingState: On または Paused
    # Create an administrative unit for users in the United States
    $params = @{
       displayName = "Example Admin Unit"
       description = "Example Dynamic Membership Admin Unit"
       membershipType = "Dynamic"
       membershipRule = "(user.country -eq 'United States')"
       membershipRuleProcessingState = "On"
    }
    
    New-MgDirectoryAdministrativeUnit -BodyParameter $params
    

Microsoft Graph API

  1. 動的メンバーシップ グループのルールを作成します。 詳細については、Microsoft Entra ID のグループの動的メンバーシップ ルールに関する記事を参照してください。

  2. 動的メンバーシップ グループのルールが設定された新しい管理単位を作成するには、Create administrativeUnit API を使用します。

    次に、Windows デバイスに適用される動的メンバーシップ グループのルールの例を示します。

    要求

    POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
    

    本文​​

    {
      "displayName": "Windows Devices",
      "description": "All Contoso devices running Windows",
      "membershipType": "Dynamic",
      "membershipRule": "(deviceOSType -eq 'Windows')",
      "membershipRuleProcessingState": "On"
    }
    

動的メンバーシップ グループのルールを編集する

管理単位が動的メンバーシップ グループ用に構成されている場合、動的メンバーシップ グループ エンジンではメンバーの追加または削除の所有権のみが保持されるため、管理単位のメンバーを追加または削除する通常のコマンドは無効になっています。 メンバーシップに変更を加えるには、動的メンバーシップ グループのルールを編集します。

Microsoft Entra 管理センター

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID]>[役割と管理者]>[管理単位] に移動します。

  3. 編集する動的メンバーシップ グループのルールが設定された管理単位を選択します。

  4. [メンバーシップ ルール] を選択し、ルール ビルダーを使用して動的メンバーシップ グループのルールを編集します。

    ルール ビルダーを開く [メンバーシップ ルール] オプションと [動的メンバーシップ ルール] オプションを含む管理単位のスクリーンショット。

    また、左側のナビゲーションで [動的メンバーシップの規則] を選択して、ルール ビルダーを開くこともできます。

  5. 完了したら、[保存] を選択して動的メンバーシップ グループのルールに加えた変更を保存します。

PowerShell

動的メンバーシップ グループ ルールを編集するには、Update-MgDirectoryAdministrativeUnit コマンドを使用します。

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

動的メンバーシップ グループのルールを編集するには、Update administrativeUnit API を使用します。

要求

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

本文

{
  "membershipRule": "(user.country -eq "Germany")"
}

動的管理単位を割り当てられるように変更する

動的メンバーシップ グループのルールが設定された管理単位を、メンバーが手動で割り当てられる管理単位に変更するには、次の手順に従います。

Microsoft Entra 管理センター

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [ID]>[役割と管理者]>[管理単位] に移動します。

  3. 割り当て済みに変更する管理単位を選択します。

  4. [プロパティ] を選択します。

  5. [メンバーシップの種類] リストで、[割り当て済み] を選択します。

    [メンバーシップの種類] リストが表示され、[割り当て済み] が選択されている管理単位の [プロパティ] ページのスクリーンショット。

  6. [保存] を選択し、メンバーシップの種類を保存します。

    次のメッセージが表示されます。

    管理単位の種類を変更した後は、動的な規則は処理されなくなります。 現在の管理単位メンバーは管理単位に残り、その管理単位にメンバーシップが割り当てられます。

  7. [はい] を選択して続行します。

    メンバーシップの種類の設定を [動的] から [割り当て済み] に変更しても、現在のメンバーは管理単位内にそのまま維持されます。 さらに、管理単位にグループを追加する機能が有効になっています。

PowerShell

動的メンバーシップ グループのルールを編集するには、Update-MgDirectoryAdministrativeUnit コマンドを使用します。

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Microsoft Graph API

メンバーシップの種類の設定を変更するには、Update administrativeUnit API を使用します。

要求

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

本文

{
  "membershipType": "Assigned"
}

次のステップ