ダイナミック メンバーシップの構成

  • 7 分

Microsoft Teams は、動的メンバーシップを使用して、Microsoft 365 グループに関連付けられたチームをサポートします。

動的メンバーシップを使用すると、Microsoft Entra ID の特定のユーザー属性をチェックする 1 つ以上のルールによってチームのメンバーを定義できます。 ユーザーは、ユーザー属性の変更やユーザーのテナントへの参加、テナントからの脱退が行われると、そのユーザーが自動的に、指定されたチームに追加されたり、チームから削除されます。 考えられるシナリオは次のとおりです。

  • 病院では、看護師、医師、外科医が通信をブロードキャストするための個別のチームを作成できます。 病院が一時従業員に依存している場合、この機能は特に重要です。
  • 大学は、頻繁に変更される非常勤教員を含む、大学内のすべての教員のチームを作成できます。
  • 航空会社では、必要に応じて頻繁に変更されるフライト乗務員が自動的に割り当てられたり削除したりするためにチームを作成したいと考えています。

この機能を使用すると、メンバーシップを手動で管理するのではなく、特定の条件セットに基づいて特定のチームのメンバーが自動的に更新されます。

注:

動的グループを使用するには、スコープ内のすべてのユーザーに対して Microsoft Entra ID P1 ライセンスが必要です。

チームの Microsoft 365 グループで有効になった後、動的なメンバーシップの変更を反映するには、数分から 2 時間かかる場合があります。 Teams の動的グループ メンバーシップの場合は、次の点を考慮する必要があります。

  • ルールでは、誰がチームのチーム メンバーであるかを定義できますが、誰がチーム所有者であるかを定義することはできません。
  • メンバーは動的グループルールによって定義されるため、所有者はチームのメンバーとしてユーザーを追加または削除できません。
  • メンバーは、動的グループに支援されたチームを離れることはできません。

動的メンバーシップの有効化

チームで動的メンバーシップを有効にするには、Microsoft Entra 管理センター または PowerShell を使用して、基になる Microsoft 365 グループ メンバーシップ規則を変更する必要があります。 メンバーシップを変更しても、グループへの参照は変更されません。 グループがアクセスに使用される場合、動的メンバーシップ ルールによって追加されたすべてのメンバーは、グループのリソースにアクセスできます。

現在、動的メンバーシップを持つチームを直接作成する方法はありません。 チームを作成してから、関連付けられた Microsoft 365 グループのメンバーシップルールを変更するか、動的ユーザー メンバーシップの種類で Microsoft 365 グループを作成してから、既存の Microsoft 365 グループからチームを作成できます。

警告

既存の静的グループを動的グループに変更すると、既存のすべてのメンバーがグループから削除され、メンバーシップ ルールが処理されて新しいメンバーが追加されます。 グループを使用してアプリまたはリソースへのアクセスを制御する場合は、メンバーシップ ルールが完全に処理されるまで、元のメンバーがアクセスできなくなる可能性があることにご注意ください。 新しいメンバーシップ ルールを事前にテストして、グループのメンバーシップが期待どおりであることを確認する必要があります。

Microsoft Entra 管理センターを使用する

既存のチームのグループメンバーシップをルールベースの動的メンバーシップに変更するには、次の手順を実行します。

  1. Microsoft Entra 組織内のグローバル管理者、ユーザー管理者、またはグループ管理者であるアカウントを使用して、Microsoft Entra 管理センターにサインインします。

  2. 左側のウィンドウ メニューで、[グループ] を選択します。

  3. [すべての グループ] リストから、変更するグループを開きます。

  4. [プロパティ] をクリックします。 選択したグループの [プロパティ] ページで、[メンバーシップの種類] の [動的ユーザー] を選択します。

    Microsoft Entra ID のメンバーシップの種類のスクリーンショット。

  5. [動的 クエリの追加] を選択し、ルールを指定します。

    Microsoft Entra ID での動的クエリの追加のスクリーンショット。

  6. ルールを作成したら、[保存] をクリックして [プロパティ] ページに戻ります。

  7. グループの [プロパティ] ページで [保存] を選択し変更を保存します。 グループの メンバーシップの種類 がグループ一覧ですぐに更新されます。

Microsoft Graph PowerShell を使用する

グループのメンバーシップの種類を変更するには、Microsoft Graph PowerShell を使用します。

メモ: Azure AD および MSOnline PowerShell モジュールは廃止予定であり、PowerShell コマンドは Microsoft Graph PowerShell を反映するように変更されています。

次のコマンドを使用して、グループを動的メンバーシップに切り替えます。

Set-MgGroup -Id $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule

$groupTypes 変数を作成するには、既存のグループのグループタイプを取得し、それに文字列 "dynamicMembership" を追加する必要があります。

$groupTypes = (Get-MgGroup -Id $groupId).GroupTypes
$groupTypes.Add("DynamicMembership")

動的メンバーシップ ルールの作成

1 つ以上の式からルールを作成できます。 1 つの式の形式は プロパティ演算子値です。 例: user.department -eq "Sales"。 1 つのルールに複数の式を追加する場合は、同じ演算子を使用してそれらを結合し、すべての式を独自の括弧内に保持できます。

(user.department -eq "Sales") -and (user.department -eq "Marketing")

メンバーシップ ルールの構築に使用できるプロパティには、3 つのタイプがあります。

  • Boolean

  • String

  • String collection

サポートされている演算子は次のとおりです。

演算子 構文
不等号 -ne
等しい -eq
次の値で始まらない -notStartsWith
次の値で始まる startsWith
含まれない -notContains
Contains -contains
一致しない -notMatch
一致 -match
In IN
次に含まれない -notIn

式で使用される値は、次に示すいくつかの種類で構成されます。

  • 文字列

  • ブール型 – true、false

  • 数値

  • 配列 – 数値配列、文字列配列

式内で値を指定する場合は、エラーを回避するために正しい構文を使用することが重要です。 構文のヒントには、次のようなものがあります。

  • 値が文字列の場合を指定しない限り、二重引用符は省略可能です。

  • 文字列と正規表現の操作では、大文字と小文字は区別されません。

  • 文字列値に二重引用符が含まれている場合、両方の引用符は文字 (") を使用してエスケープする必要があります。たとえば、 user.department -eq "Sales" "Sales" が値の場合は適切な構文です。

  • また、値として null を使用して Null チェックを行うこともできます (たとえば、user.department -eq null)。

詳細については、「 Microsoft Entra ID のグループの動的メンバーシップルール」を参照してください。