Entra IDで動的デバイスグループを作成する

2021.01.10

Entra IDではユーザーグループやデバイスグループを作成し、リソースを効率的に管理することが出来ます。

しかし、Entra IDにユーザーやデバイスが追加されるたびに手動でグループに追加するのは面倒です。

Entra IDのグループには条件を設定して、その条件を満たすメンバーを動的に管理することが出来ます。

そこで今回はデバイスグループを例として動的に管理する動的グループを作成したいと思います。

1.動的グループとは

動的グループとは、特定の条件を満たすメンバーが自動的に追加・削除されるグループです。

組織内のユーザーの属性や属性の組み合わせに基づいて、セキュリティグループや Microsoft 365グループを構成出来ます。

例えば、ユーザーのプロパティから所属部署ごとのグループに振り分けたり、デバイスOSごとのグループに振り分けたりすることが出来ます。

既に作成済みのグループを動的グループに変更することも可能です。

2.動的グループの制限

2.1.ライセンス

ユーザーグループの動的グループを作成する場合、メンバーに含まれる全ユーザーに「Microsoft Entra ID P1」以上のライセンスが必要です。

なお、デバイスグループの場合は「Microsoft Entra ID P1」は必要ありません。

2.2.メンバーシップ

ユーザーまたはデバイスの動的グループは作成できますが、ユーザーとデバイスの両方を含む規則は作成できません。

また、デバイス所有者のユーザー属性に基づいてデバイスグループを作成することはできないため、デバイスルールでは、デバイスの属性のみを参照できます。

セキュリティグループではユーザーとデバイス、Microsoft 365グループはデバイスのみをメンバーとすることが出来ます。

制限の詳細は下記を参照してください。

Microsoft Entra ID で動的メンバーシップ グループの規則を管理する - Microsoft Entra ID
動的メンバーシップ グループの規則を管理して、グループ メンバーと規則参照を自動的に設定する方法
learn.microsoft.com

3.動的デバイスグループの作成

1.Entra管理センターを開き、グループ作成時もしくは既存グループのプロパティで「メンバーシップの種類」で「動的デバイス」を選択し、「動的クエリの追加」をクリックします。





2.「プロパティ」、「演算子」、「値」に任意の値を指定します。

プロパティ等の詳細については下記の公開情報をご覧ください。

Azure Active Directory の動的グループ メンバーシップ ルール
https://docs.microsoft.com/ja-jp/azure/active-directory/enterprise-users/groups-dynamic-membership


下記はデバイスのOSがWindowsであるという条件です。

  • プロパティ:deviceOSType
  • 演算子:Equals
  • 値:Windows



下記はデバイスのOSがiPhoneであるという条件です。

  • プロパティ:deviceOSType
  • 演算子:Equals
  • 値:iPhone



3.クエリの設定後、クエリが正しいことを確認するために「ルールの検証」-「デバイスの追加」から検証デバイスを追加します。




4.デバイスが追加され、クエリが問題無ければ「状態」が緑色チェックになります。クエリを保存します。




5.最後にグループ設定の変更を保存します。



これで動的デバイスグループの作成は完了です。

今後、Windowsデバイスが Entra ID に登録されると自動的に作成した動的デバイスグループに追加されます。

コメント

タイトルとURLをコピーしました