動的メンバーシップ グループの規則を使用して管理単位のユーザーまたはデバイスを管理する

管理単位のユーザーまたはデバイスを手動で追加または削除できます。 動的メンバーシップ グループでは、ルールを使用して動的に管理単位のユーザーまたはデバイスを追加または削除できます。 この記事では、Microsoft Entra 管理センター、PowerShell、または Microsoft Graph API を使用して、動的メンバーシップ グループのルールが設定された管理単位を作成する方法について説明します。

Note

管理単位の動的メンバーシップ ルールは、動的メンバーシップ グループで使用できるものと同じ属性を使用して作成できます。 使用可能な具体的な属性とその使用方法の例の詳細については、「Microsoft Entra ID の動的メンバーシップ グループのルールを管理する」をご覧ください。

メンバーが割り当てられた管理単位では、ユーザー、グループ、デバイスなどの複数のオブジェクトの種類が手動でサポートされていますが、現在、複数のオブジェクトの種類を含む動的メンバーシップ グループの規則を持つ管理単位を作成することはできません。 たとえば、ユーザーまたはデバイスの動的メンバーシップ グループのルールが設定された管理単位を作成できますが、ユーザーとデバイス両方のものは作成できません。 グループの動的メンバーシップ グループのルールが設定された管理単位は、現在サポートされていません。

前提条件

• 管理単位の各管理者に対する Microsoft Entra ID P1 または P2 ライセンス
• 管理単位の各メンバーに対する Microsoft Entra ID P1 または P2 ライセンス
• 特権ロール管理者
• PowerShell を使用する場合の Microsoft Graph PowerShell モジュール
• 管理者の同意 (Microsoft Graph API の Graph エクスプローラーを使用する場合)
• グローバル Azure クラウド (Azure Government や 21Vianet によって運営される Microsoft Azure などの特別なクラウドでは利用できません)

Note

管理単位の動的メンバーシップ規則では、1 つ以上の動的管理単位のメンバーである一意のユーザーごとに Microsoft Entra ID P1 ライセンスが必要です。 ユーザーを動的管理単位のメンバーにするために、そのユーザーにライセンスを割り当てる必要はありません。ただし、少なくともそのすべてのユーザーを対象にできるだけのライセンス数が Microsoft Entra 組織に含まれている必要があります。 たとえば、組織のすべての動的管理単位に、合計 1,000 人の一意のユーザーがいる場合、ライセンス要件を満たすには、Microsoft Entra ID P1 に対するライセンスが 1,000 個以上必要です。 デバイスの動的メンバーシップ グループに対する管理単位のメンバーであるデバイスには、ライセンスは必要ありません。

詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。

動的メンバーシップ グループのルールを追加する

次の手順に従って、ユーザーまたはデバイスの動的メンバーシップ グループのルールが設定された管理単位を作成します。

管理センター

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

1. Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。

2. ユーザーまたはデバイスを追加する管理単位を選択します。

3. [プロパティ] を選択します。

4. [メンバーシップの種類] リストで、追加する規則の種類に応じて、[動的ユーザー] または [動的デバイス] を選択します。

   

5. [動的クエリの追加] を選択します。

6. ルール ビルダーを使用して、動的メンバーシップ グループのルールを指定します。 詳細については、「Azure portal のルール ビルダー」を参照してください。

   

7. 完了したら、[保存] を選択して動的メンバーシップ グループのルールを保存します。

8. [プロパティ] ページで、[保存] を選択して、メンバーシップの種類とクエリを保存します。

   次のメッセージが表示されます。

   管理単位の種類を変更すると、設定した動的メンバーシップ グループのルールに基づいて既存のメンバーシップが変更される場合があります。

9. [はい] を選択して続行します。

ルールを編集する手順については、以降の「動的メンバーシップ グループのルールを編集する」セクションをご覧ください。

PowerShell

1. 動的メンバーシップ グループ ルールを作成します。 詳細については、「Microsoft Entra ID の動的メンバーシップ グループのルールを管理する」をご覧ください。

2. Connect-MgGraph コマンドを使って、特権ロール管理者ロールが割り当てられているユーザーと Microsoft Entra ID を接続します。

   Connect-MgGraph -Scopes "AdministrativeUnit.ReadWrite.All"
   

3. New-MgDirectoryAdministrativeUnit コマンドを使用して、動的メンバーシップ グループのルールが設定された管理単位を次のパラメータにより作成します。

   • MembershipType: Dynamic または Assigned
   • MembershipRule: 前の手順で作成した動的メンバーシップの規則
   • MembershipRuleProcessingState: On または Paused

   # Create an administrative unit for users in the United States
   $params = @{
      displayName = "Example Admin Unit"
      description = "Example Dynamic Membership Admin Unit"
      membershipType = "Dynamic"
      membershipRule = "(user.country -eq 'United States')"
      membershipRuleProcessingState = "On"
   }
   
   New-MgDirectoryAdministrativeUnit -BodyParameter $params
   

Graph API

1. 動的メンバーシップ グループのルールを作成します。 詳細については、Microsoft Entra ID のグループの動的メンバーシップ ルールに関する記事を参照してください。

2. 動的メンバーシップ グループのルールが設定された新しい管理単位を作成するには、Create administrativeUnit API を使用します。

   次に、Windows デバイスに適用される動的メンバーシップ グループのルールの例を示します。

   要求

   POST https://graph.microsoft.com/v1.0/directory/administrativeUnits
   

   本文​​

   {
     "displayName": "Windows Devices",
     "description": "All Contoso devices running Windows",
     "membershipType": "Dynamic",
     "membershipRule": "(deviceOSType -eq 'Windows')",
     "membershipRuleProcessingState": "On"
   }
   

動的メンバーシップ グループのルールを編集する

管理単位が動的メンバーシップ グループ用に構成されている場合、動的メンバーシップ グループ エンジンではメンバーの追加または削除の所有権のみが保持されるため、管理単位のメンバーを追加または削除する通常のコマンドは無効になっています。 メンバーシップに変更を加えるには、動的メンバーシップ グループのルールを編集します。

管理センター

1. Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。

2. [ID]>[役割と管理者]>[管理単位] に移動します。

3. 編集する動的メンバーシップ グループのルールが設定された管理単位を選択します。

4. [メンバーシップ ルール] を選択し、ルール ビルダーを使用して動的メンバーシップ グループのルールを編集します。

   

   また、左側のナビゲーションで [動的メンバーシップの規則] を選択して、ルール ビルダーを開くこともできます。

5. 完了したら、[保存] を選択して動的メンバーシップ グループのルールに加えた変更を保存します。

PowerShell

動的メンバーシップ グループ ルールを編集するには、Update-MgDirectoryAdministrativeUnit コマンドを使用します。

# Set a new rules for dynamic membership groups for an administrative unit
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRule = "(user.country -eq 'Germany')"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Graph API

動的メンバーシップ グループのルールを編集するには、Update administrativeUnit API を使用します。

要求

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

本文​​

{
  "membershipRule": "(user.country -eq "Germany")"
}

動的管理単位を割り当てられるように変更する

動的メンバーシップ グループのルールが設定された管理単位を、メンバーが手動で割り当てられる管理単位に変更するには、次の手順に従います。

管理センター

1. Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。

2. [ID]>[役割と管理者]>[管理単位] に移動します。

3. 割り当て済みに変更する管理単位を選択します。

4. [プロパティ] を選択します。

5. [メンバーシップの種類] リストで、[割り当て済み] を選択します。

   

6. [保存] を選択し、メンバーシップの種類を保存します。

   次のメッセージが表示されます。

   管理単位の種類を変更した後は、動的な規則は処理されなくなります。 現在の管理単位メンバーは管理単位に残り、その管理単位にメンバーシップが割り当てられます。

7. [はい] を選択して続行します。

   メンバーシップの種類の設定を [動的] から [割り当て済み] に変更しても、現在のメンバーは管理単位内にそのまま維持されます。 さらに、管理単位にグループを追加する機能が有効になっています。

PowerShell

動的メンバーシップ グループのルールを編集するには、Update-MgDirectoryAdministrativeUnit コマンドを使用します。

# Change an administrative unit to assigned
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example Admin Unit'"
$params = @{
   membershipRuleProcessingState = "Paused"
   membershipType = "Assigned"
}

Update-MgDirectoryAdministrativeUnit -AdministrativeUnitId $adminUnit.Id -BodyParameter $params

Graph API

メンバーシップの種類の設定を変更するには、Update administrativeUnit API を使用します。

要求

PATCH https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}

本文​​

{
  "membershipType": "Assigned"
}

次のステップ

• 管理単位スコープを使用して Microsoft Entra ロールを割り当てる
• 管理単位にユーザーまたはグループを追加する
• Microsoft Entra の管理単位: トラブルシューティングと FAQ