Microsoft Entra ID で動的メンバーシップ グループを作成または更新する
Microsoft Entra の一部である Microsoft Entra ID では、ユーザーまたはデバイスのプロパティに基づいて動的メンバーシップ グループを決定するルールを使用できます。 この記事では、Azure portal で動的メンバーシップ グループのルールを設定する方法について説明します。
ユーザーまたはデバイスのプロパティに基づくグループ メンバーシップは、セキュリティ グループと Microsoft 365 グループでサポートされています。 動的メンバーシップ グループのルールが適用されるときに、ユーザーとデバイスの属性はメンバーシップ ルールとの一致について評価されます。 ユーザーまたはデバイスの属性が変更されると、組織内のすべての動的メンバーシップ グループのルールが、変更のために処理されます。 ユーザーとデバイスは、動的メンバーシップ グループの条件を満たす場合、追加または削除されます。 Microsoft Entra では、1 つのテナントに最大 15,000 個の動的メンバーシップ グループを含めることができます。
Note
セキュリティ グループはデバイスとユーザーのどちらにも使用できますが、Microsoft 365 グループはユーザーのみを対象にできます。
動的メンバーシップ グループを使用するには、Microsoft Entra ID P1 ライセンスまたは Intune for Education ライセンスが必要です。 詳細については、「Microsoft Entra ID の動的メンバーシップ グループのルールを管理する」を参照してください。
Azure portal のルール ビルダー
Microsoft Entra ID には、重要なルールをすばやく作成したり更新したりできるルール ビルダーが用意されています。 ルール ビルダーでは、最大で 5 つの式の作成がサポートされます。 ルール ビルダーを使用すると、いくつかの単純な式を使ってルールを簡単に作成できますが、すべてのルールの再現に使用することはできません。 作成したいルールがルール ビルダーでサポートされていない場合は、テキスト ボックスを使用できます。
以下に、テキスト ボックスを使用して構築することをお勧めする高度なルールまたは構文の例をいくつか示します。
- 5 つを超える式を持つルール
- 直接の部下のルール
- 演算子の優先順位の設定
- 複雑な式を持つ規則たとえば、
(user.proxyAddresses -any (_ -contains "contoso"))
Note
ルール ビルダーは、テキスト ボックスで作成された一部のルールを表示できない場合があります。 ルール ビルダーがルールを表示できない場合は、メッセージが表示されることがあります。 ルール ビルダーは、動的メンバーシップ グループのルールのサポートされている構文、検証、または処理をどのような方法でも変更しません。
構文の例、メンバーシップ ルールでサポートされているプロパティ、演算子、および値については、「Microsoft Entra ID の動的メンバーシップ グループのルールを管理する」をご覧ください。
動的メンバーシップ グループのルールを作成するには
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。
[Microsoft Entra ID]>[グループ] の順に選択してください。
[すべてグループ] を選び、 [新しいグループ] を選びます。
[グループ] ページで、新しいグループの名前と説明を入力します。 ユーザーまたはデバイスのいずれかに対して [メンバーシップの種類] を選択し、 [動的クエリの追加] を選択します。 ルール ビルダーでは、最大で 5 つの式がサポートされます。 5 つを超える式を追加するには、テキスト ボックスを使用する必要があります。
メンバーシップのクエリで使用できるカスタム拡張機能プロパティを表示するには、次のようにします。
- [カスタム拡張機能のプロパティを取得します] を選択します。
- アプリケーション ID を入力し、 [プロパティの更新] を選択します。
ルールを作成した後、 [保存] を選択します。
[新規グループ] ページで [作成] をクリックして、グループを作成します。
入力したルールが有効でない場合は、ルールを処理できなかった理由の説明がポータルの通知に表示されます。 ルールを修正する方法を理解するには、こちらを注意深くお読みください。
既存のルールを更新するには
グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。
[Microsoft Entra ID] を選びます。
[グループ]>[すべてのグループ] の順に選択します。
グループを選択して、そのプロファイルを開きます。
グループのプロファイル ページで、 [動的メンバーシップ ルール] を選択します。 ルール ビルダーでは、最大で 5 つの式がサポートされます。 5 つを超える式を追加するには、テキスト ボックスを使用する必要があります。
メンバーシップのルールで使用できるカスタム拡張機能プロパティを表示するには:
- [カスタム拡張機能のプロパティを取得します] を選択します。
- アプリケーション ID を入力し、 [プロパティの更新] を選択します。
ルールを更新した後、 [保存] を選択します。
ウェルカム メールをオンまたはオフにする
新しい Microsoft 365 グループが作成されると、グループに追加されたユーザー宛にメールのウェルカム通知が送信されます。 後で、ユーザーまたはデバイスの属性 (セキュリティ グループのみ) が変更された場合、組織内の動的メンバーシップ グループのすべてのルールが変更のために処理されます。 追加されたユーザーは、ウェルカム通知も受け取ります。 この動作は、Exchange PowerShell を使用してオフにすることができます。
ルールの処理状態をチェックする
ルールの処理状態とメンバーシップの最終変更日は、動的メンバーシップ グループの [概要] ページで確認できます。
動的ルール処理の状態には、次の状態メッセージが表示される場合があります。
- 評価中: グループの変更が受信され、更新プログラムが評価されています。
- 処理: 更新プログラムが処理されています。
- 更新プログラムの完了: 処理が完了し、適用可能なすべての更新が行われました。
- 処理エラー: メンバーシップのルール評価におけるエラーが原因で、処理を完了できませんでした。
- 更新の一時停止: 管理者によって一時停止された動的メンバーシップ グループの更新のルール。 MembershipRuleProcessingState は、"一時停止" に設定されます。
- 未開始: 処理がまだ開始されていません。
Note
この画面では、 [処理の一時停止]を選択することもできます。 以前は、このオプションは membershipRuleProcessingState プロパティの変更によってのみ使用可能でした。 少なくともグループ管理者ロールが割り当てられているユーザーは、この設定を管理でき、動的メンバーシップ グループの処理を一時停止および再開できます。 正しいロールを持たないグループ所有者には、この設定を編集するために必要な権限がありません。
メンバーシップの最終変更の状態には、次の状態メッセージが表示される場合があります。
- <日付と時刻>:メンバーシップが最後に更新された日時。
- 進行中: 更新は現在進行中です。
- 不明:最終更新時刻を取得することができません。 新しいグループである可能性があります。
重要
動的メンバーシップ グループの処理の一時停止および一時停止解除をすると、"メンバーシップの最終変更" の日付にプレースホルダー値が表示されます。 この値は処理が完了すると更新されます。
特定のグループのメンバーシップ規則の処理中にエラーが発生すると、そのグループの [概要] ページの上部にアラートが表示されます。 24 時間以上、組織内のすべてのグループに対して保留中の動的メンバーシップ グループの更新が処理できない場合は、[すべてグループ] の上部にアラートが表示されます。
次のステップ
次の記事には、Microsoft Entra ID でグループを使用する方法に関する追加情報が記載されています。