Microsoft Entra 外部 ID で B2B コラボレーションのための動的メンバーシップ グループを作成および管理する
適用対象: 従業員テナント 外部テナント (詳細はこちら)
動的メンバーシップ グループとは
動的メンバーシップ グループは、Microsoft Entra 管理センターで使用できる、Microsoft Entra でのセキュリティベースの構成です。 管理者は、ユーザー属性 (userType、部署、国/地域など) に基づいて、Microsoft Entra ID で作成された動的メンバーシップ グループを生成するためのルールを設定できます。 メンバーを属性に基づいて自動的にセキュリティ グループに追加したり、セキュリティ グループから削除したりすることができます。 これらのグループを使用すると、アプリケーションやクラウド リソース (SharePoint サイト、ドキュメント) へのアクセスを付与したり、メンバーにライセンスを割り当てたりすることができます。 Microsoft Entra ID の専用グループの詳細を確認してください。
前提条件
動的メンバーシップ グループを作成および使用するには、Microsoft Entra ID P1 または P2 ライセンスが必要です。 詳細については、「Microsoft Entra ID で動的メンバーシップ グループの属性ベースのルールを作成する」をご覧ください。
"すべてのユーザー" の動的グループの作成
ヒント
この記事の手順は、開始するポータルに応じて若干異なる場合があります。
メンバーシップ ルールを使用し、テナント内のすべてのユーザーを含むグループを作成できます。 将来、ユーザーがテナントに追加されたり、テナントから削除されたりしたとき、メンバーシップは自動的に調整されます。
Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
[ID]>[グループ]>[すべてのグループ] の順に移動し、[新しいグループ] を選択します。
[新しいグループ] ページで、 [グループの種類] の下の [セキュリティ] を選択します。 新しいグループの [グループ名] と [グループの説明] を入力します。
[メンバーシップの種類] で、 [動的ユーザー] 、 [動的クエリの追加] の順に選択します。
[ルール構文] テキスト ボックスの上の [編集] を選択します。 [ルール構文の編集] ページで、テキスト ボックスに次の式を入力します。
user.objectId -ne null
[OK] を選択します。 [ルール構文] ボックスにルールが表示されます。
[保存] を選択します。 これで、新しい動的グループには、B2B ゲスト ユーザーとメンバー ユーザーが含まれるようになります。
[新規グループ] ページで [作成] をクリックして、グループを作成します。
メンバーのみのグループの作成
グループでゲストユーザーを除外し、テナントのメンバーのみを含める場合は、前述のように動的グループを作成しますが、 [ルール構文] ボックスには次の式を入力します。
(user.objectId -ne null) and (user.userType -eq "Member")
次の図は、メンバーのみを含み、ゲストを除外するように変更された動的グループのルール構文を示しています。
ゲストのみのグループの作成
ゲスト ユーザーにポリシー (Microsoft Entra の条件付きアクセス ポリシーなど) を適用できるように、ゲスト ユーザーのみが含まれる新しい動的グループを作成すると便利な場合もあります。 前述のように動的グループを作成しますが、 [ルール構文] ボックスには次の式を入力します。
(user.objectId -ne null) and (user.userType -eq "Guest")
次の図は、ゲストのみを含み、メンバー ユーザーを除外するように変更された動的グループのルール構文を示しています。