次の方法で共有

Microsoft Entra ID で動的メンバーシップ グループを作成または更新する

  • [アーティクル]

ルールを使用して、Microsoft Entra ID のユーザーまたはデバイスのプロパティに基づいて動的メンバーシップ グループを決定できます。 この記事では、Azure portal で動的メンバーシップ グループのルールを設定する方法について説明します。

ユーザーまたはデバイスのプロパティに基づくグループ メンバーシップは、セキュリティ グループと Microsoft 365 グループでサポートされています。 動的メンバーシップ グループのルールが適用されるときに、ユーザーとデバイスの属性はメンバーシップ ルールとの一致について評価されます。 ユーザーまたはデバイスの属性が変更されると、組織内のすべての動的メンバーシップ グループのルールが、変更のために処理されます。 ユーザーとデバイスは、動的メンバーシップ グループの条件を満たす場合、追加または削除されます。 Microsoft Entra ID では、1 つのテナントに最大 15,000 個の動的メンバーシップ グループを含めることができます。

セキュリティ グループにはデバイスまたはユーザーを含めることができますが、Microsoft 365 グループにはユーザーのみを含めることができます。

動的メンバーシップ グループを使用するには、Microsoft Entra ID P1 ライセンスまたは Intune for Education ライセンスが必要です。 詳細については、「 Microsoft Entra ID での動的メンバーシップ グループのルールの管理」を参照してください。

Azure portal のルール ビルダー

Microsoft Entra ID には、重要なルールをすばやく作成したり更新したりできるルール ビルダーが用意されています。 ルール ビルダーでは、最大で 5 つの式の作成がサポートされます。

ルール ビルダーを示すスクリーンショット。式を追加するためのアクションが強調表示されています。

ルール ビルダーを使用すると、いくつかの単純な式を使用してルールを簡単に作成できます。 ただし、すべてのルールを再現するために使用することはできません。 ルール ビルダーが作成するルールをサポートしていない場合は、テキスト ボックスを使用できます。

テキスト ボックスを使用することをお勧めする高度な規則または構文の例を次に示します。

ルール ビルダーは、テキスト ボックスで作成された一部のルールを表示できない場合があります。 ルール ビルダーでルールを表示できない場合に、メッセージが表示されることがあります。 ルール ビルダーは、動的メンバーシップ グループのルールのサポートされている構文、検証、または処理をどのような方法でも変更しません。

メンバーシップ ルールの構文とサポートされているプロパティ、演算子、値の例については、「 Microsoft Entra ID での動的メンバーシップ グループのルールの管理」を参照してください。

動的メンバーシップ グループのルールを作成する

  1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. Microsoft Entra ID>Groups を選択します。

  3. [ すべてのグループ] を選択し、[ 新しいグループ] を選択します。

    新しいグループを追加するための選択を示すスクリーンショット。

  4. [ グループ ] ウィンドウで、新しいグループの名前と説明を入力します。 ユーザーまたはデバイスの メンバーシップの種類 の値を選択し、[ 動的クエリの追加] を選択します。

  5. ルール ビルダーで、最大 5 つの式を追加します。 5 つを超える式を追加するには、テキスト ボックスを使用する必要があります。

    ルールを構成するためのペインを示すスクリーンショット。式を追加するためのボタンが強調表示されています。

  6. メンバーシップ クエリで使用できるカスタム拡張機能プロパティを表示するには:

    1. [ カスタム拡張機能のプロパティを取得する] を選択します。
    2. アプリケーション ID を入力し、 [プロパティの更新] を選択します。

  7. ルールの作成が完了したら、[ 保存] を選択します。

  8. [ 新しいグループ ] ページで、[ 作成 ] を選択してグループを作成します。

入力したルールが有効でない場合は、ルールを処理できなかった理由の説明がポータルに表示されます。 ルールを修正する方法を理解するには、こちらを注意深くお読みください。

既存のルールを更新する

  1. グループ管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. [Microsoft Entra ID] を選びます。

  3. [グループ]>[すべてのグループ] の順に選択します。

  4. グループを選択して、そのプロファイルを開きます。

  5. グループのプロファイル ページで、 [動的メンバーシップ ルール] を選択します。 ルール ビルダーでは、最大で 5 つの式がサポートされます。 5 つを超える式を追加するには、テキスト ボックスを使用する必要があります。

    動的メンバーシップ グループのルール ビルダーを示すスクリーンショット。

  6. メンバーシップ ルールで使用できるカスタム拡張機能プロパティを表示するには:

    1. [ カスタム拡張機能のプロパティを取得する] を選択します。
    2. アプリケーション ID を入力し、 [プロパティの更新] を選択します。

  7. ルールの更新が完了したら、[ 保存] を選択します。

ウェルカム メールのオンとオフを切り替える

管理者が新しい Microsoft 365 グループを作成すると、グループに追加されたユーザーはウェルカム メール通知を受け取ります。 後で、ユーザーまたはデバイスの属性 (セキュリティ グループのみ) が変更された場合、組織内の動的メンバーシップ グループのすべてのルールが変更のために処理されます。 追加されたユーザーは、ウェルカム通知も受け取ります。

Exchange PowerShell でこの動作を有効または無効にすることができます。

ルールの処理状態を確認する

動的メンバーシップ グループの概要ページで、ルール処理の状態と最後のメンバーシップ変更の日付を確認できます。

動的メンバーシップ グループの状態を示すスクリーンショット。

動的ルール処理ステータスには、次のステータス メッセージが表示されます。

  • 評価中: グループの変更が受信され、更新プログラムが評価されています。
  • 処理: 更新プログラムが処理されています。
  • 更新完了: 処理が完了し、適用可能なすべての更新が行われました。
  • 処理エラー: メンバーシップ ルールの評価中にエラーが発生したため、処理を完了できませんでした。
  • 更新が一時停止されました:管理者は、動的メンバーシップ グループを更新するルールを一時停止しました。 MembershipRuleProcessingStatePaused に設定されます。
  • 未開始: 処理が開始されていません。

このページには、 一時停止処理 オプションが含まれます。 以前は、このオプションは、 membershipRuleProcessingState プロパティの変更によってのみ使用されていました。 少なくとも グループ管理者 ロールを持つユーザーは、この設定を管理でき、動的メンバーシップ グループの処理を一時停止および再開できます。 正しいロールを持たないグループ所有者には、この設定を編集するために必要な権限がありません。

[最後のメンバーシップの変更] には、次のステータス メッセージが表示されます。

  • <日付と時刻>: メンバーシップはこの日時に最後に更新されました。
  • 進行中: 更新は現在進行中です。
  • 不明:最終更新時刻を取得することができません。 新しいグループである可能性があります。

重要

動的メンバーシップ グループの処理を一時停止および一時停止解除すると、 最後のメンバーシップ変更 日にプレースホルダー値が表示されます。 この値は、処理が完了した後に更新されます。

特定のグループのメンバーシップ ルールの処理中にエラーが発生した場合は、グループの概要ページの上部にアラートが表示されます。 組織内のすべてのグループに対して 24 時間以上、動的メンバーシップ グループの保留中の更新を処理できない場合は、 アラートが [すべてのグループ] の上に表示されます。

システムの遅延が原因で動的グループ メンバーシップが更新されていないことを示すアラートのスクリーンショット。

関連コンテンツ