きっかけ
SESということで製造業の運用保守をはじめとした各種案件に1人月入っているのですが、自社の事業としてMicrosoft製品を導入する仕事もしていくなかでMicrosoft Entraの質問を部下から受けることがあります。やったことないのになーと思いつつ、答えないわけにはいかないので都度調べて回答しています。
その中で今回「動的メンバーシップ」についての質問を受けたので自分の理解もかねて整理をしました。自分の動的メンバーシップ概念の理解を共有しようと思います。これが動的メンバーシップの理解につながりますと幸いです
動的メンバーシップとは?
- EntraID 内で設定できる機能です。
- 特定のルールや条件に基づいてユーザを自動的にグループに追加 または削除します。
- 条件にマッチするかどうかを自動的に判断するので手動メンテナンスが不要です。
- 大規模な組織で効率的なメンバー管理ができるので面倒な運用を減らすことができます。
- Microsoft Entra ID P1 ライセンスまたは Intune for Education ライセンスが必要です
- E5なら使えますが、E3の場合は追加でライセンスの導入が必要です。
動的メンバーシップを利用する方法
- セキュリティグループまたはM365グループで利用することが可能です。
- Entra管理センターから グループの作成を選択します。
- グループの追加からメンバーシップの種類を「割り当て済み」ではなく「動的ユーザ」または「動的デバイス」を選択することで割当条件の設定が可能になります。 注:Microsoft365グループの場合は「動的デバイス」は選択できません。
- 「動的クエリの追加」を選択してください。
- ルールを入力してフォーカスを外すと、”規則の構文”の部分に条件式が追記されます。
- 式の追加 ボタンを押すと複数条件式が入力できます。条件を入力し終わったら忘れずに保存 しましょう
- 入力し終わると「作成」ボタンが押せるようになるので、押してください。
- グループを作成している旨通知が出ます。しばらく待ちましょう。(ふつうは1分もかからないうちに完了します。)
- 正常に作成されたことが確認できれば、動的メンバーシップ付きのグループが作成されました!
動的メンバーシップの計算式について・・・
参考文献の方の資料がわかりやすいかと思いますが、改めて載せますと・・・
| 意味 | 演算子 |
|---|---|
| 次の値で終わる | -endsWith |
| 次の値で終わらない | -notEndsWith |
| 等しくない | -ne |
| 等しい | -eq |
| 指定値で始まらない | -notStartsWith |
| 指定値で始まる | -startsWith |
| 指定値を含まない | -notContains |
| 指定値を含む | -contains |
| 一致しない | -notMatch |
| 一致する | -match |
| 場所 | -in |
| 含まれない | -notIn |
このユーザは動的メンバーシップに該当するか検証する方法
- 管理>動的メンバーシップルール にて ルールの検証 タブに移動してください。
- 検証対象のユーザを追加すると、グループの条件に該当するかしないかを検証することが可能です。
参考文献
何事にも原則として先達がいらっしゃいます。
これまでの足跡に感謝を込めて共有いたします。
また、下記公式ドキュメントにて詳細に説明がされています。
つかみについてほ本稿でも守備範囲のうちになるかと思いますが、細かいニュアンスなどの情報は公式ドキュメント以上にかなうものはありませんのでこちらを参照してより深い理解に結び付けていただければと思います。
それでは、良い動的メンバーシップライフをお過ごしください。