次の方法で共有

動的なメンバーシップ グループの規則を使用して、管理単位のユーザーまたはデバイスを管理する

管理単位のユーザーまたはデバイスを手動で追加または削除できます。 動的メンバーシップ グループでは、規則を使用した管理単位のユーザーまたはデバイスを動的に追加または削除できます。 この記事では、Microsoft Entra 管理センター、PowerShell、または Microsoft Graph API を使用して、動的メンバーシップ グループのルールが設定された管理単位を作成する方法について説明します。

管理単位の動的メンバーシップ規則を、動的メンバーシップ グループで使用できるのと同じ属性を使用して作成できます。 使用できる特定の属性とその使用方法の例の詳細については、「 Microsoft Entra ID での動的メンバーシップ グループのルールの管理」を参照してください。

メンバーが割り当てられた管理単位では、ユーザー、グループ、デバイスなどの複数のオブジェクトの種類が手動でサポートされていますが、現在、複数のオブジェクトの種類を含む動的メンバーシップ グループの規則を持つ管理単位を作成することはできません。 たとえば、ユーザーまたはデバイスの動的メンバーシップの規則が設定された管理単位を作成できますが、両方はできません。 グループの動的メンバーシップ グループの規則が設定された管理単位は、現在サポートされていません。

前提条件

  • 管理単位の各管理者ごとに Microsoft Entra ID P1 または P2 ライセンス
  • 管理単位の各メンバーごとの Microsoft Entra ID P1 または P2 ライセンス
  • 特権ロール管理者
  • PowerShell を使用する場合の Microsoft Graph PowerShell モジュール
  • 管理者の同意 (Microsoft Graph API の Graph エクスプローラーを使用する場合)
  • グローバル Azure クラウド (Azure Government や 21Vianet によって運営される Microsoft Azure などの特別なクラウドでは利用できません)

管理単位の動的メンバーシップ規則では、1 つ以上の動的管理単位のメンバーである一意のユーザーごとに Microsoft Entra ID P1 ライセンスが必要です。 ユーザーを動的管理単位のメンバーにするために、そのユーザーにライセンスを割り当てる必要はありません。ただし、少なくともそのすべてのユーザーを対象にできるだけのライセンス数が Microsoft Entra 組織に含まれている必要があります。 たとえば、組織のすべての動的管理単位に、合計 1,000 人の一意のユーザーがいる場合、ライセンス要件を満たすには、Microsoft Entra ID P1 に対するライセンスが 1,000 個以上必要です。 デバイスの動的メンバーシップ グループに対する管理単位のメンバーであるデバイスには、ライセンスは必要ありません。

詳細については、「powerShell または Graph Explorerを使用するための 前提条件」を参照してください。

動的メンバーシップ グループのルールを追加

次の手順に従って、ユーザーまたはデバイスの動的メンバーシップ グループの規則が設定された管理単位を作成します。

  1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。

  2. ユーザーまたはデバイスを追加する管理単位を選択します。

  3. [プロパティ] を選択します

  4. [ メンバーシップの種類 ] ボックスの一覧で、追加するルールの種類に応じて、[ 動的ユーザー ] または [ 動的デバイス] を選択します。

    [メンバーシップの種類] リストが表示された [管理単位のプロパティ] ページのスクリーンショット。

  5. [ 動的クエリの追加] を選択します。

  6. ルール ビルダーを使用して、動的メンバーシップ グループの規則を指定します。 詳細については、 Azure portal のルール ビルダーを参照してください。

    プロパティ、演算子、値を含むルール ビルダーを示す [動的メンバーシップ ルール] ページのスクリーンショット。

  7. 完了したら、[ 保存] を選択して、動的メンバーシップ グループのルールを保存します。

  8. [ プロパティ ] ページで、[ 保存 ] を選択してメンバーシップの種類とクエリを保存します。

    次のメッセージが表示されます。

    管理単位の種類を変更した後、指定した動的メンバーシップ グループの規則に基づいて既存のメンバーシップが変更される可能性があります。

  9. [ はい ] を選択して続行します。

ルールを編集する手順については、 次の「動的メンバーシップ グループのルールを編集する」 セクションを参照してください。

動的メンバーシップ グループのルールを編集

管理単位が動的メンバーシップ グループ用に構成されている場合、動的メンバーシップ グループ エンジンでは、メンバーの追加または削除の所有権のみが保持されるため、管理単位のメンバーを追加または削除するための通常のコマンドは無効になっています。 メンバーシップに変更を加えるには、動的メンバーシップ グループの規則を編集します。

  1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。

  2. [Entra ID]>[ロールと管理者]>[管理単位] に移動します。

  3. 編集する動的メンバーシップ グループのルールが設定された管理単位を選択します。

  4. ルール ビルダーを使用して動的メンバーシップ グループのルールを編集するには、[メンバーシップ ルール] を選択します。

    ルール ビルダーを開く[メンバーシップ ルール] オプションと [動的メンバーシップ ルール] オプションを含む管理単位のスクリーンショット。

    左側のナビゲーションで [動的メンバーシップ ルール] を選択して、ルール ビルダーを開くこともできます。

  5. 完了したら、[ 保存] を選択して、動的メンバーシップ グループルールの変更を保存します。

動的管理単位を割り当てられるように変更する

動的メンバーシップ グループの規則が設定された管理単位をメンバーが手動で割り当てられる管理単位に変更するには、次の手順に従います。

  1. Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。

  2. [Entra ID]>[ロールと管理者]>[管理単位] に移動します。

  3. 割り当てるために変更する管理単位を選択します。

  4. [プロパティ] を選択します

  5. [ メンバーシップの種類 ] ボックスの一覧 で、[割り当て済み] を選択します。

    [メンバーシップの種類] リストが表示され、[割り当て済み] が選択されている管理単位の [プロパティ] ページのスクリーンショット。

  6. [ 保存] を 選択してメンバーシップの種類を保存します。

    次のメッセージが表示されます。

    管理単位の種類を変更した後は、動的な規則は処理されなくなります。 現在の管理単位メンバーは管理単位に残り、その管理単位にメンバーシップが割り当てられます。

  7. [ はい ] を選択して続行します。

    メンバーシップの種類の設定を [動的] から [割り当て済み] に変更しても、現在のメンバーは管理単位内にそのまま維持されます。 さらに、管理単位にグループを追加する機能が有効になっています。

次のステップ

  • Last updated on