はじめに
Azure ADで、別グループを自動でグループに登録する方法があれば便利ですよね。
今回紹介する方法では、ネストではないので、設定したロールやライセンスについても反映されちゃいます。
何がうれしい
- AADCでオンプレのActiveDirectoryからAzure ADに同期かけている場合、セキュリティグループをMicrosoft365グループに自動で反映させることが出来る。
- Microsoft365グループをTeamsやSharePointに設定している場合、自動で動的ユーザーが反映される。
- メンバーが変わっても、グループレベルでロールやライセンスが自動で反映される。
- 動的と割り当てのグループをまとめたMicrosoft365グループを作成し、TeamsやSharePointに設定しておくと、動的ユーザーを運用しながら、割り当てグループにユーザーを追加することで柔軟にメンバーを変動させることが出来る
などなど、とにかく便利すぎです。
例えば、総務部のグループに人事課、給与課、広報課のグループを登録することで、ユーザーを自動的に総務課に追加することができ、総務課グループの設定がメンバーに反映させることが可能になります。
Microsoft Teamsなど、Microsoft365サービスへの連携も可能になるため、ユーザーが異動等で変更になってもTeamsのメンバーの割り当て等を手動ですることなく、作業を最小限に抑えることが可能になります。
動的グループ設定により、ユーザーのプロファイル作成ルールを運用上作っておくとことで、ほぼグループへの割り当てが不要になるのですが、さらにグループをグループに割り当てることが可能となった(2022/07/08現在)ことから、親グループと子グループにおいて柔軟に運用が可能になります。
オンプレのADとAzureADにおいて連携している場合や、セキュリティグループをMicrosoft365に反映させたい場合に、自動的に反映されるようになるため、運用工数を削減することが可能になり便利です。
以前は、複数のユーザー属性を設計し、プロファイルから動的グループを複雑に設定していたのですが、直接グループを反映させることが可能になり、とても分かりやすくなると思います。現在機能プレビューですが、memberOf 属性を使用できるようになったので方法を紹介します。っていうかほぼ自分の備忘録ですので、参考にされる方は雑な説明ですがご参考程度に覗いてみてください。
参考:Azure Active Directory の動的グループのグループ メンバーシップ (プレビュー)
設定方法
グループの種類(セキュリティ、M365どちらでもOK) → グループ名 → グループのメールアドレス → メンバーシップの種類(動的ユーザー) → 動的クエリの追加
編集(プレビュー版では動的グループ ルール ビルダーと検証機能は、現時点では memberOf には使用できません。)
規則の構文にuser.memberof -any (group.objectId -in [‘groupId’, ‘groupId’])を入力。
グループの概要 → オブジェクトID がgroupIdになっているので、動的グループに登録するグループのオブジェクトIDを入れます。(例では2つですが、複数追加できます。)
OKを選択すると設定完了です。
コメント