動的 Azure AD グループのグループ メンバーシップのプレビュー

動的 Azure AD グループのグループ メンバーシップのプレビュー

動的グループに他のグループのメンバーを含める

最近まで、動的 Azure AD グループは、メンバーシップに他のグループのメンバーを含める機能をサポートしていませんでした。できます メンバーシップルールの構築 をクリックして、同じアカウントを動的グループに含めることができますが、これらのグループが既に存在し、必要なアカウントを含める場合は、「グループ 1、2、および 3 のメンバーを含める」と言う方が簡単です。

正式な発表が見つかりませんが、マイクロソフトは最近、動的なAzure ADグループのメンバーシップルールで メンバーの 属性。本質的には、 メンバーの は、1 ~ 50 個のグループのメンバーシップを抽出し、それらのグループの個々のメンバーを動的メンバーシップに含めるように Azure AD に指示します。

新しい Azure AD 動的グループの作成

どうやら、プレビュー機能は世界中で利用可能です。Azure AD 管理センターで使用しても成功しませんでした。(任意のタイプの)新しいグループを作成しようとすると、エラーが発生しました: “ラベルポリシーごとに、選択した可視性は許可されません」(図1)。間違いなく、これは私が微調整したいくつかの設定によるものですが、エラーメッセージは控えめに言っても不明瞭です。

Azure AD がグループの作成に失敗する ラベルポリシーごとに、選択した可視性は許可されません
図 1: Azure AD がグループの作成に失敗する

しかし、意志が存在するところでは、あなたは仕事を終わらせ、PowerShellが救助に来ました。次のコマンドで新しい動的グループを作成しました。メンバーシップ ルールは、メンバーシップが指定されたグループ内の任意のユーザー メンバーから取得されることがわかります。

$Group = New-MgGroup -DisplayName "System Innovation" -Description "Dynamic group containing system innovators" -MailEnabled:$True -SecurityEnabled:$False -MailNickname SystemInnovators -GroupTypes "DynamicMembership", "Unified" -MembershipRule "user.memberOf -any (group.objectId -in ['ef4af711-bf83-4ba1-81be-fd98f4098d12',' d6279df7-2eff-4566-ba93-22aa9320385b','b07c7e05-10e0-47a4-acca-767621ac8ddc'])" -MembershipRuleProcessingState "On"

追加されたグループは次のとおりです。

  • メンバーシップが割り当てられた Microsoft 365 グループ。
  • 動的メンバーシップを持つ Microsoft 365 グループ。
  • 固定メンバーシップを持つ配布リスト。

マイクロソフトのドキュメント 配布リストの使用に関する参照は含まれていませんが、Azure AD は配布リストを他のグループと同様に扱うため、動作するように見えました。結局のところ、 Get-MgGroupMember コマンドレット (または Get-AzureADGroupMember まもなく非推奨になるモジュールからまだ変換していない場合) を配布リストに対して実行し、Azure AD がメンバーを一覧表示しても構いません。また、配布リストのメンバーシップを動的な Azure AD グループに含めることができます。約 1 時間後、Azure AD はルールを解決し、重複の削除を含め、新しい動的グループのメンバーシップを構築しました (図 2)。

新しい動的 Azure AD グループのメンバーシップ
図 2: 新しい動的 Azure AD グループのメンバーシップ

プレビューの制限

プレビュー中、動的グループのメンバーシップには最大 50 個のグループを含めることができ、各テナントは最大 500 個の動的グループを持つことができます。 メンバーの メンバーシップルールの属性。セキュリティ グループを動的グループのメンバーシップに追加すると、Azure AD では、セキュリティ グループの直接のメンバーのみが動的グループのメンバーシップに含まれます。

さらに、マイクロソフトは、 メンバーの 属性を使用して、同じく使用する別のグループのメンバーシップを定義します。 メンバーの.それをシンプル(愚か)に保つための古くて実績のある格言は、大声ではっきりと鳴ります。グループ内にグループを入れ子にしたり、物事を複雑にしすぎたりしないでください。将来的には、より複雑な取り決めが可能になるかもしれませんが、プレビューでは、解決する複雑なメンバーシップ ルールを Azure AD に与えないでください。動的グループのメンバーシップ内にグループを含める方法の詳細については、 マイクロソフトのドキュメント.

現時点では、ルールエディタはこのタイプの動的グループでは機能しませんし、管理者がグループのメンバーシップに含める必要があることがわかっているアカウントに対してメンバーシップルールの有効性を確認できる他のルールの検証プレビュー機能も機能しません(図3)。

Azure AD では、動的グループのメンバーシップを検証できません。
図 3: Azure AD は動的グループのメンバーシップを検証できない

ダイナミックなチームも機能する

グループのプロパティを更新して、Teams で有効にしました。ダイナミックなチームのサポートは2018年から行われていますが、常に確認するのが賢明です。幸いなことに、チームの動的メンバーシップが期待どおりに表示されることです (図 4)。

動的 Azure AD グループのチーム メンバーシップ名簿
図 4: 動的 Azure AD グループのチーム メンバーシップ一覧

堅実なアップデート

ドゥーはありませんこれは良い変更です。動的な Azure AD グループの柔軟性と機能を強化するものはすべて良いことです。悪いことは、Microsoft が動的グループに対して Azure AD Premium P1 を必要とすることです (Exchange Online 動的配布リストには追加のライセンスは必要ありません)。 ガイダンス です:

この機能を使用するには、1 つ以上の動的グループのメンバーである一意のユーザーごとに、Azure AD Premium P1 ライセンスまたは Intune for Education が必要です。ユーザーが動的グループのメンバーになるために、ユーザーにライセンスを割り当てる必要はありません。

動的グループがOffice 365 E3に含まれていればいいのですが、人生は時々残酷です…

いつも、たくさんの変化があります。マイクロソフトが Office 365 全体で行うすべての更新プログラムに遅れずについていくことは困難です。購読する Office 365 for IT プロフェッショナル 電子書籍では、何が起こるか、なぜそれが起こるのか、テナントにとって新しい機能や機能が何を意味するのかについて、毎月の洞察を得ることができます。

未分類

Posted by admin