Azure Active Directory の動的グループ メンバーシップ ルールDynamic membership rules for groups in Azure Active Directory

Azure Active Directory (Azure AD) では、複雑な属性ベースのルールを作成して、グループの動的メンバーシップを有効にすることができます。In Azure Active Directory (Azure AD), you can create complex attribute-based rules to enable dynamic memberships for groups. 動的グループ メンバーシップを利用することで、ユーザーの追加と削除に必要な管理費が削減されます。Dynamic group membership reduces the administrative overhead of adding and removing users. この記事では、ユーザーまたはデバイスに対する動的メンバーシップ ルールを作成するためのプロパティと構文について説明します。This article details the properties and syntax to create dynamic membership rules for users or devices. セキュリティ グループまたは Microsoft 365 グループには、動的メンバーシップのルールを設定できます。You can set up a rule for dynamic membership on security groups or Microsoft 365 groups.

ユーザーまたはデバイスのいずれかの属性が変更されると、システムはディレクトリ内のすべての動的なグループ ルールを評価して、この変更によってグループの追加または削除がトリガーされるかどうかを確認します。When any attributes of a user or device change, the system evaluates all dynamic group rules in a directory to see if the change would trigger any group adds or removes. ユーザーまたはデバイスがグループのルールを満たしている場合、それらはそのグループのメンバーとして追加されます。If a user or device satisfies a rule on a group, they are added as a member of that group. ルールを満たさなくなると、削除されます。If they no longer satisfy the rule, they are removed. 動的グループのメンバーを手動で追加または削除することはできません。You can't manually add or remove a member of a dynamic group.

  • デバイスまたはユーザーの動的グループは作成できても、ユーザーとデバイスの両方を含むルールは作成できません。You can create a dynamic group for devices or for users, but you can't create a rule that contains both users and devices.
  • デバイス所有者の属性に基づいてデバイス グループを作成することはできません。You can't create a device group based on the device owners' attributes. デバイス メンバーシップ ルールで参照できるのは、デバイスの属性のみです。Device membership rules can only reference device attributes.


この機能を使うには、少なくとも 1 つの動的グループのメンバーである一意のユーザーごとに Azure AD Premium P1 ライセンスが必要です。This feature requires an Azure AD Premium P1 license for each unique user that is a member of one or more dynamic groups. ユーザーを動的グループのメンバーにするために、そのユーザーにライセンスを割り当てる必要はありませんが、少なくともそのすべてのユーザーを対象にできるだけのライセンス数が Azure AD 組織に含まれている必要があります。You don't have to assign licenses to users for them to be members of dynamic groups, but you must have the minimum number of licenses in the Azure AD organization to cover all such users. たとえば、組織のすべての動的グループに、合計 1,000 人の一意のユーザーがいる場合、ライセンス要件を満たすには、Azure AD Premium P1 に対するライセンスが 1,000 個以上必要です。For example, if you had a total of 1,000 unique users in all dynamic groups in your organization, you would need at least 1,000 licenses for Azure AD Premium P1 to meet the license requirement. 動的なデバイス グループのメンバーであるデバイスには、ライセンスは必要ありません。No license is required for devices that are members of a dynamic device group.

Azure portal のルール ビルダーRule builder in the Azure portal

Azure AD には、重要なルールをすばやく作成したり更新したりできるルール ビルダーが用意されています。Azure AD provides a rule builder to create and update your important rules more quickly. ルール ビルダーでは、最大で 5 つの式の作成がサポートされます。The rule builder supports the construction of up to five expressions. ルール ビルダーを使用すると、いくつかの単純な式を使ってルールを簡単に作成できますが、すべてのルールの再現に使用することはできません。The rule builder makes it easier to form a rule with a few simple expressions, however, it can't be used to reproduce every rule. 作成したいルールがルール ビルダーでサポートされていない場合は、テキスト ボックスを使用できます。If the rule builder doesn't support the rule you want to create, you can use the text box.

以下に、テキスト ボックスを使用して構築することをお勧めする高度なルールまたは構文の例をいくつか示します。Here are some examples of advanced rules or syntax for which we recommend that you construct using the text box:


ルール ビルダーは、テキスト ボックスで作成された一部のルールを表示できない場合があります。The rule builder might not be able to display some rules constructed in the text box. ルール ビルダーがルールを表示できない場合は、メッセージが表示されることがあります。You might see a message when the rule builder is not able to display the rule. ルール ビルダーは、動的グループ ルールのサポートされている構文、検証、または処理をどのような方法でも変更しません。The rule builder doesn't change the supported syntax, validation, or processing of dynamic group rules in any way.

具体的な手順については、動的グループの作成または更新に関するページを参照してください。For more step-by-step instructions, see Create or update a dynamic group.


単一式のルール構文Rule syntax for a single expression

単一式は、メンバーシップ ルールの最もシンプルな形式であり、前述の 3 つの部分でのみ構成されます。A single expression is the simplest form of a membership rule and only has the three parts mentioned above. 単一式のルールは Property Operator Value のようになります。プロパティの構文は の名前です。A rule with a single expression looks similar to this: Property Operator Value, where the syntax for the property is the name of

次は、単一式で正しく構成されたメンバーシップ ルールの例です。The following is an example of a properly constructed membership rule with a single expression:

user.department -eq "Sales"

単一式の場合、かっこは省略可能です。Parentheses are optional for a single expression. メンバーシップ ルール本文の合計文字数が 2,048 文字を超えないようにしてください。The total length of the body of your membership rule cannot exceed 2048 characters.

メンバーシップ ルールの本文の作成Constructing the body of a membership rule

グループにユーザーまたはデバイスを自動的に入力するメンバーシップ ルールは、true または false に帰結するバイナリ式です。A membership rule that automatically populates a group with users or devices is a binary expression that results in a true or false outcome. シンプルなルールの要素は次の 3 つです。The three parts of a simple rule are:

  • プロパティProperty
  • 演算子Operator
  • Value

式の中の要素の順序は、構文エラーを回避するために重要です。The order of the parts within an expression are important to avoid syntax errors.

サポートされているプロパティSupported properties

メンバーシップ ルールを作成するとき、3 種類のプロパティを使用できます。There are three types of properties that can be used to construct a membership rule.

  • BooleanBoolean
  • StringString
  • 文字列コレクションString collection

次は、単一式の作成に使用できるユーザー プロパティです。The following are the user properties that you can use to create a single expression.

ブール型のプロパティProperties of type boolean

PropertiesProperties 使用できる値Allowed values 使用法Usage
accountEnabledaccountEnabled true falsetrue false user.accountEnabled -eq trueuser.accountEnabled -eq true
dirSyncEnableddirSyncEnabled true falsetrue false user.dirSyncEnabled -eq trueuser.dirSyncEnabled -eq true

文字列型のプロパティProperties of type string

PropertiesProperties 使用できる値Allowed values 使用法Usage
citycity 任意の文字列値または nullAny string value or null ( -eq "value")( -eq "value")
countrycountry 任意の文字列値または nullAny string value or null ( -eq "value")( -eq "value")
companyNamecompanyName 任意の文字列値または nullAny string value or null (user.companyName -eq "value")(user.companyName -eq "value")
departmentdepartment 任意の文字列値または nullAny string value or null (user.department -eq "value")(user.department -eq "value")
displayNamedisplayName 任意の文字列値Any string value (user.displayName -eq "value")(user.displayName -eq "value")
employeeIdemployeeId 任意の文字列値Any string value (user.employeeId -eq "value")(user.employeeId -eq "value")
(user.employeeId -ne null)(user.employeeId -ne null)
facsimileTelephoneNumberfacsimileTelephoneNumber 任意の文字列値または nullAny string value or null (user.facsimileTelephoneNumber -eq "value")(user.facsimileTelephoneNumber -eq "value")
givenNamegivenName 任意の文字列値または nullAny string value or null (user.givenName -eq "value")(user.givenName -eq "value")
jobTitlejobTitle 任意の文字列値または nullAny string value or null (user.jobTitle -eq "value")(user.jobTitle -eq "value")
mailmail 任意の文字列値または null (ユーザーの SMTP アドレス)Any string value or null (SMTP address of the user) (user.mail -eq "value")(user.mail -eq "value")
mailNickNamemailNickName 任意の文字列値 (ユーザーのメール エイリアス)Any string value (mail alias of the user) (user.mailNickName -eq "value")(user.mailNickName -eq "value")
mobilemobile 任意の文字列値または nullAny string value or null ( -eq "value")( -eq "value")
objectIdobjectId ユーザー オブジェクトの GUIDGUID of the user object (user.objectId -eq "11111111-1111-1111-1111-111111111111")(user.objectId -eq "11111111-1111-1111-1111-111111111111")
onPremisesSecurityIdentifieronPremisesSecurityIdentifier オンプレミスからクラウドに同期されたユーザーのオンプレミスのセキュリティ識別子 (SID)。On-premises security identifier (SID) for users who were synchronized from on-premises to the cloud. (user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")(user.onPremisesSecurityIdentifier -eq "S-1-1-11-1111111111-1111111111-1111111111-1111111")
passwordPoliciespasswordPolicies なし DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration、DisableStrongPasswordNone DisableStrongPassword DisablePasswordExpiration DisablePasswordExpiration, DisableStrongPassword (user.passwordPolicies -eq "DisableStrongPassword")(user.passwordPolicies -eq "DisableStrongPassword")
physicalDeliveryOfficeNamephysicalDeliveryOfficeName 任意の文字列値または nullAny string value or null (user.physicalDeliveryOfficeName -eq "value")(user.physicalDeliveryOfficeName -eq "value")
postalCodepostalCode 任意の文字列値または nullAny string value or null (user.postalCode -eq "value")(user.postalCode -eq "value")
preferredLanguagepreferredLanguage ISO 639-1 コードISO 639-1 code (user.preferredLanguage -eq "en-US")(user.preferredLanguage -eq "en-US")
sipProxyAddresssipProxyAddress 任意の文字列値または nullAny string value or null (user.sipProxyAddress -eq "value")(user.sipProxyAddress -eq "value")
statestate 任意の文字列値または nullAny string value or null (user.state -eq "value")(user.state -eq "value")
streetAddressstreetAddress 任意の文字列値または nullAny string value or null (user.streetAddress -eq "value")(user.streetAddress -eq "value")
surnamesurname 任意の文字列値または nullAny string value or null (user.surname -eq "value")(user.surname -eq "value")
telephoneNumbertelephoneNumber 任意の文字列値または nullAny string value or null (user.telephoneNumber -eq "value")(user.telephoneNumber -eq "value")
usageLocationusageLocation 2 文字の国または地域コードTwo lettered country/region code (user.usageLocation -eq "US")(user.usageLocation -eq "US")
userPrincipalNameuserPrincipalName 任意の文字列値Any string value (user.userPrincipalName -eq "alias@domain")(user.userPrincipalName -eq "alias@domain")
userTypeuserType member guest nullmember guest null (user.userType -eq "Member")(user.userType -eq "Member")

文字列コレクション型のプロパティProperties of type string collection

PropertiesProperties 使用できる値Allowed values 使用法Usage
otherMailsotherMails 任意の文字列値Any string value (user.otherMails -contains "alias@domain")(user.otherMails -contains "alias@domain")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -contains "SMTP: alias@domain")(user.proxyAddresses -contains "SMTP: alias@domain")

デバイス ルールに使用されるプロパティについては、「デバイスのルール」を参照してください。For the properties used for device rules, see Rules for devices.

サポートされている式の演算子Supported expression operators

次の表は、サポートされているすべての演算子とその単一式用の構文をまとめたものです。The following table lists all the supported operators and their syntax for a single expression. 演算子は、ハイフン (-) のプレフィックスがあってもなくても使用できます。Operators can be used with or without the hyphen (-) prefix.

演算子Operator 構文Syntax
等しくないNot Equals -ne-ne
等しいEquals -eq-eq
指定値で始まらないNot Starts With -notStartsWith-notStartsWith
[指定値で始まる]Starts With -startsWith-startsWith
指定値を含まないNot Contains -notContains-notContains
ContainsContains -contains-contains
一致しないNot Match -notMatch-notMatch
一致するMatch -match-match
場所In -in-in
含まれないNot In -notIn-notIn

-in および -notIn 演算子の使用Using the -in and -notIn operators

ユーザー属性の値を複数の異なる値に対して比較する場合は、-in または -notIn 演算子を使用できます。If you want to compare the value of a user attribute against a number of different values you can use the -in or -notIn operators. 値の一覧の始まりと終わりを示す目的で "[" と "]" の角かっこ記号を使用します。Use the bracket symbols "[" and "]" to begin and end the list of values.

次の例の式は、user.department の値が一覧内のいずれかの値に等しい場合に true に評価されます。In the following example, the expression evaluates to true if the value of user.department equals any of the values in the list:

   user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

-match 演算子の使用Using the -match operator

-match 演算子は、正規表現の照合に使用されます。The -match operator is used for matching any regular expression. 例 :Examples:

user.displayName -match "Da.*"   

Da、Dav、David は true と評価され、aDa は false と評価されます。Da, Dav, David evaluate to true, aDa evaluates to false.

user.displayName -match ".*vid"

David は true と評価され、Da は false と評価されます。David evaluates to true, Da evaluates to false.

サポートされている値Supported values

式内で使用される値は、次に挙げるいくつかの型で構成できます。The values used in an expression can consist of several types, including:

  • 文字列Strings
  • ブール値 – true、falseBoolean – true, false
  • 数値Numbers
  • 配列 – 数値配列、文字列配列Arrays – number array, string array

式内で値を指定するとき、エラーを回避するために、正しい構文を使用することが重要です。When specifying a value within an expression it is important to use the correct syntax to avoid errors. 構文のヒント:Some syntax tips are:

  • 値が文字列でなければ、二重引用符は任意です。Double quotes are optional unless the value is a string.
  • 文字列演算と正規表現演算は、大文字と小文字が区別されません。String and regex operations are not case sensitive.
  • 文字列値に二重引用符が含まれているとき、両方の引用符を ` 文字でエスケープしてください。たとえば、"Sales" が値のとき、user.department -eq `"Sales`" が正しい構文です。When a string value contains double quotes, both quotes should be escaped using the ` character, for example, user.department -eq `"Sales`" is the proper syntax when "Sales" is the value.
  • null を値として使用し、Null チェックを実行することもできます。たとえば、user.department -eq null のようになります。You can also perform Null checks, using null as a value, for example, user.department -eq null.

Null 値の使用Use of Null values

ルールで null 値を指定するには、null 値を使用します。To specify a null value in a rule, you can use the null value.

  • 式で null 値を比較するとき、-eq または -ne を使用します。Use -eq or -ne when comparing the null value in an expression.
  • リテラル文字列値として解釈する場合にのみ、null という語を引用符で囲みます。Use quotes around the word null only if you want it to be interpreted as a literal string value.
  • -not 演算子は、null の比較演算子として使用できません。The -not operator can't be used as a comparative operator for null. 使うと、null または $null のどちらを使ってもエラーになります。If you use it, you get an error whether you use null or $null.

null 値を参照する正しい方法は次のとおりです。The correct way to reference the null value is as follows:

   user.mail –ne null

複数の式を持つルールRules with multiple expressions

グループ メンバーシップ ルールは、複数の単一式を論理演算子 (-and、-or、-not) で結合して作ることができます。A group membership rule can consist of more than one single expression connected by the -and, -or, and -not logical operators. 論理演算子は組み合わせて使用することもできます。Logical operators can also be used in combination.

複数の式で正しく構築されたメンバーシップ ルールの例を次に示します。The following are examples of properly constructed membership rules with multiple expressions:

(user.department -eq "Sales") -or (user.department -eq "Marketing")
(user.department -eq "Sales") -and -not (user.jobTitle -contains "SDE")

演算子の優先順位Operator precedence

演算子はすべて、優先順位の一番高いものから一番低いものの順で下に一覧表示されます。All operators are listed below in order of precedence from highest to lowest. 同じ行にある演算子の優先順位は同じです。Operators on same line are of equal precedence:

-eq -ne -startsWith -notStartsWith -contains -notContains -match –notMatch -in -notIn
-any -all

演算子の優先順位の例を次に示します。この例では、ユーザーに対して 2 つの式が評価されます。The following is an example of operator precedence where two expressions are being evaluated for the user:

   user.department –eq "Marketing" –and –eq "US"

優先順位が要件を満たさない場合にのみ、かっこを追加する必要があります。Parentheses are needed only when precedence does not meet your requirements. たとえば、部門を最初に評価する場合、次のようにかっこを使用して順序を決定します。For example, if you want department to be evaluated first, the following shows how parentheses can be used to determine order: –eq "US" –and (user.department –eq "Marketing" –or user.department –eq "Sales")

複雑な式を持つルールRules with complex expressions

メンバーシップ ルールは、プロパティ、演算子、値がより複雑な形式をとる複雑な式で構成できます。A membership rule can consist of complex expressions where the properties, operators, and values take on more complex forms. 次のいずれかが当てはまるとき、式が複雑であると見なされます。Expressions are considered complex when any of the following are true:

  • プロパティが値の集まりで、具体的には複数値プロパティで構成されるThe property consists of a collection of values; specifically, multi-valued properties
  • 式で -any 演算子と -all 演算子が使用されるThe expressions use the -any and -all operators
  • 式の値自体が 1 つまたは複数の式になるThe value of the expression can itself be one or more expressions

複数値プロパティMulti-value properties

複数値プロパティは、同じ型のオブジェクトのコレクションです。Multi-value properties are collections of objects of the same type. 論理演算子の -any と -all でメンバーシップ ルールを作成するときに使用できます。They can be used to create membership rules using the -any and -all logical operators.

PropertiesProperties Values 使用法Usage
assignedPlansassignedPlans コレクション内の各オブジェクトは、capabilityStatus、service、servicePlanId の文字列プロパティを公開します。Each object in the collection exposes the following string properties: capabilityStatus, service, servicePlanId user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")
proxyAddressesproxyAddresses SMTP: alias@domain smtp: alias@domainSMTP: alias@domain smtp: alias@domain (user.proxyAddresses -any (_ -contains "contoso"))(user.proxyAddresses -any (_ -contains "contoso"))

-any 演算子と -all 演算子を使用するUsing the -any and -all operators

コレクション内の 1 つの項目またはすべての項目に条件を適用するには、それぞれ -any および -all 演算子を使用できます。You can use -any and -all operators to apply a condition to one or all of the items in the collection, respectively.

  • -any (コレクション内の少なくとも 1 つの項目が条件に一致するときに満たされる)-any (satisfied when at least one item in the collection matches the condition)
  • -all (コレクション内のすべての項目が条件に一致するときに満たされる)-all (satisfied when all items in the collection match the condition)

例 1Example 1

assignedPlans は、ユーザーに割り当てられたすべてのサービス プランをリストする複数値プロパティです。assignedPlans is a multi-value property that lists all service plans assigned to the user. 次の式では、同様に [有効] 状態にある Exchange Online (プラン 2) サービス プランを (GUID 値として) 持っているユーザーが選択されます。The following expression selects users who have the Exchange Online (Plan 2) service plan (as a GUID value) that is also in Enabled state:

user.assignedPlans -any (assignedPlan.servicePlanId -eq "efb87545-963c-4e0d-99df-69c6916d9eb0" -and assignedPlan.capabilityStatus -eq "Enabled")

このようなルールを使用し、Microsoft 365 (あるいはその他の Microsoft Online Service) 機能が有効になっているすべてのユーザーをグループ化できます。A rule such as this one can be used to group all users for whom an Microsoft 365 (or other Microsoft Online Service) capability is enabled. 次に、一連のポリシーをグループに適用できます。You could then apply with a set of policies to the group.

例 2Example 2

次の式は、Intune サービス (サービス名 "SCO" によって識別されます) に関連付けられた何らかのサービス プランを持っているすべてのユーザーを選択します。The following expression selects all users who have any service plan that is associated with the Intune service (identified by service name "SCO"):

user.assignedPlans -any (assignedPlan.service -eq "SCO" -and assignedPlan.capabilityStatus -eq "Enabled")

アンダースコア (_) 構文を使用するUsing the underscore (_) syntax

アンダースコア (_) 構文は、いずれかの複数値文字列コレクション プロパティの特定の値の出現回数を一致させて、ユーザーまたはデバイスを動的グループに追加します。The underscore (_) syntax matches occurrences of a specific value in one of the multivalued string collection properties to add users or devices to a dynamic group. -any 演算子または -all 演算子と共に使用します。It is used with the -any or -all operators.

ルール内でアンダースコア (_) を使用して、user.proxyAddress (user.otherMails の場合と同様に機能します) に基づいてメンバーを追加する例を以下に示します。Here's an example of using the underscore (_) in a rule to add members based on user.proxyAddress (it works the same for user.otherMails). このルールは、"contoso" を含むプロキシ アドレスを持つすべてのユーザーをグループに追加します。This rule adds any user with proxy address that contains "contoso" to the group.

(user.proxyAddresses -any (_ -contains "contoso"))

その他のプロパティと一般的なルールOther properties and common rules

"直属の部下" ルールを作成するCreate a "Direct reports" rule

マネージャーのすべての直接の部下が含まれたグループを作成できます。You can create a group containing all direct reports of a manager. 将来、マネージャーの直属の部下が変更されたとき、グループのメンバーシップが自動的に調整されます。When the manager's direct reports change in the future, the group's membership is adjusted automatically.

直属の部下ルールは次の構文で構成されます。The direct reports rule is constructed using the following syntax:

Direct Reports for "{objectID_of_manager}"

有効なルールの例を示します。ここで、"62e19b97-8b3d-4d4a-a106-4ce66896a863" はマネージャーの objectID です。Here's an example of a valid rule where "62e19b97-8b3d-4d4a-a106-4ce66896a863" is the objectID of the manager:

Direct Reports for "62e19b97-8b3d-4d4a-a106-4ce66896a863"

次のヒントはルールを正しく使用するために役立ちます。The following tips can help you use the rule properly.

  • マネージャー ID はマネージャーのオブジェクト ID です。The Manager ID is the object ID of the manager. マネージャーの プロファイル にあります。It can be found in the manager's Profile.
  • ルールを機能させるには、組織のユーザーに対して [マネージャー ID] プロパティを正しく設定します。For the rule to work, make sure the Manager property is set correctly for users in your organization. 現在の値はユーザーの プロファイル で確認できます。You can check the current value in the user's Profile.
  • このルールでは、マネージャーの直属の部下のみがサポートされます。This rule supports only the manager's direct reports. 言い換えると、マネージャーの直属の部下 とさらに その部下でグループを作成することはできません。In other words, you can't create a group with the manager's direct reports and their reports.
  • このルールは、他のメンバーシップ ルールと組み合わせることができません。This rule can't be combined with any other membership rules.

"すべてのユーザー" ルールを作成するCreate an "All users" rule

メンバーシップ ルールを使用し、組織内のすべてのユーザーを含むグループを作成できます。You can create a group containing all users within an organization using a membership rule. 将来、ユーザーが組織に追加されたり、組織から削除されたりしたとき、メンバーシップは自動的に調整されます。When users are added or removed from the organization in the future, the group's membership is adjusted automatically.

"すべてのユーザー" ルールは、-ne 演算子と null 値を利用した単一式で構成されます。The "All users" rule is constructed using single expression using the -ne operator and the null value. このルールでは、メンバー ユーザーと共に B2B ゲスト ユーザーがグループに追加されます。This rule adds B2B guest users as well as member users to the group.

user.objectId -ne null

グループでゲスト ユーザーを除外し、ご自身の組織のメンバーのみを含めるようにする場合は、次の構文を使用できます。If you want your group to exclude guest users and include only members of your organization, you can use the following syntax:

(user.objectId -ne null) -and (user.userType -eq "Member")

"すべてのデバイス" ルールを作成するCreate an "All devices" rule

メンバーシップ ルールを使用し、組織内のすべてのデバイスを含むグループを作成できます。You can create a group containing all devices within an organization using a membership rule. 将来、デバイスが組織に追加されたり、組織から削除されたりしたとき、メンバーシップは自動的に調整されます。When devices are added or removed from the organization in the future, the group's membership is adjusted automatically.

"すべてのデバイス" ルールは、-ne 演算子と null 値を利用した単一式で構成されます。The "All Devices" rule is constructed using single expression using the -ne operator and the null value:

device.objectId -ne null

拡張機能プロパティとカスタム拡張機能プロパティExtension properties and custom extension properties

拡張機能属性とカスタム拡張機能プロパティは、動的メンバーシップ ルールで文字列プロパティとしてサポートされています。Extension attributes and custom extension properties are supported as string properties in dynamic membership rules. 拡張属性はオンプレミスの Window Server AD から同期され、"ExtensionAttributeX" という形式です (X は 1 ~ 15)。Extension attributes are synced from on-premises Window Server AD and take the format of "ExtensionAttributeX", where X equals 1 - 15. プロパティとして拡張機能属性を使用するルールの例を示します。Here's an example of a rule that uses an extension attribute as a property:

(user.extensionAttribute15 -eq "Marketing")

カスタム拡張機能プロパティはオンプレミス Windows Server AD または接続されている SaaS アプリケーションから同期され、形式は user.extension_[GUID]_[Attribute] になります。Custom extension properties are synced from on-premises Windows Server AD or from a connected SaaS application and are of the format of user.extension_[GUID]_[Attribute], where:

  • [GUID] は Azure AD でプロパティを作成したアプリケーションの Azure AD における一意の識別子です[GUID] is the unique identifier in Azure AD for the application that created the property in Azure AD
  • [Attribute] は作成されたプロパティの名前です[Attribute] is the name of the property as it was created

カスタム拡張機能プロパティを使用するルールの例を次に示します。An example of a rule that uses a custom extension property is:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

カスタム プロパティ名は、Graph Explorer を使用してユーザーのプロパティを問い合わせ、プロパティ名を探すことで見つけられます。The custom property name can be found in the directory by querying a user's property using Graph Explorer and searching for the property name. また、動的ユーザー グループのルール ビルダーにある [カスタム拡張機能のプロパティを取得します] リンクを選択し、一意のアプリ ID を入力すると、ユーザーの動的メンバーシップ ルールの作成時に使用するカスタム拡張機能プロパティの完全な一覧が表示されるようになりました。Also, you can now select Get custom extension properties link in the dynamic user group rule builder to enter a unique app ID and receive the full list of custom extension properties to use when creating a dynamic membership rule. この一覧を最新の情報に更新して、そのアプリの新しいカスタム拡張機能プロパティを取得することもできます。This list can also be refreshed to get any new custom extension properties for that app.

デバイスのルールRules for devices

グループのメンバーシップのデバイス オブジェクトを選択するルールを作成することもできます。You can also create a rule that selects device objects for membership in a group. グループ メンバーとしてユーザーとデバイスの両方を含めることはできません。You can't have both users and devices as group members.


organizationalUnit 属性は表示されなくなったため、使用できません。The organizationalUnit attribute is no longer listed and should not be used. この文字列は、特定の場合に Intune によって設定されますが、Azure AD では認識されないため、この属性に基づいてデバイスがグループに追加されることはありません。This string is set by Intune in specific cases but is not recognized by Azure AD, so no devices are added to groups based on this attribute.


systemlabels は、Intune では設定できない読み取り専用の属性です。systemlabels is a read-only attribute that cannot be set with Intune.

Windows 10 の場合、deviceOSVersion 属性の正しい形式は次のとおりです: (device.deviceOSVersion -eq "10.0.17763")。For Windows 10, the correct format of the deviceOSVersion attribute is as follows: (device.deviceOSVersion -eq "10.0.17763"). 書式設定は、Get-MsolDevice PowerShell コマンドレットを使用して検証できます。The formatting can be validated with the Get-MsolDevice PowerShell cmdlet.

次のデバイス属性を使用できます。The following device attributes can be used.

デバイス属性Device attribute Values Example
accountEnabledaccountEnabled true falsetrue false (device.accountEnabled -eq true)(device.accountEnabled -eq true)
displayNamedisplayName 任意の文字列値any string value (device.displayName -eq "Rob iPhone")(device.displayName -eq "Rob iPhone")
deviceOSTypedeviceOSType 任意の文字列値any string value (device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")(device.deviceOSType -eq "iPad") -or (device.deviceOSType -eq "iPhone")
(device.deviceOSType -contains "AndroidEnterprise")(device.deviceOSType -contains "AndroidEnterprise")
(device.deviceOSType -eq "AndroidForWork")(device.deviceOSType -eq "AndroidForWork")
deviceOSVersiondeviceOSVersion 任意の文字列値any string value (device.deviceOSVersion -eq "9.1")(device.deviceOSVersion -eq "9.1")
deviceCategorydeviceCategory 有効なデバイス カテゴリ名a valid device category name (device.deviceCategory -eq "BYOD")(device.deviceCategory -eq "BYOD")
deviceManufacturerdeviceManufacturer 任意の文字列値any string value (device.deviceManufacturer -eq "Samsung")(device.deviceManufacturer -eq "Samsung")
deviceModeldeviceModel 任意の文字列値any string value (device.deviceModel -eq "iPad Air")(device.deviceModel -eq "iPad Air")
deviceOwnershipdeviceOwnership 個人、会社、不明Personal, Company, Unknown (device.deviceOwnership -eq "Company")(device.deviceOwnership -eq "Company")
enrollmentProfileNameenrollmentProfileName Apple Device Enrollment プロファイル名、Android Enterprise 企業所有専用 Enrollment プロファイル名、または Windows Autopilot プロファイル名Apple Device Enrollment Profile name, Android Enterprise Corporate-owned dedicated device Enrollment Profile name, or Windows Autopilot profile name (device.enrollmentProfileName -eq "DEP iPhones")(device.enrollmentProfileName -eq "DEP iPhones")
isRootedisRooted true falsetrue false (device.isRooted -eq true)(device.isRooted -eq true)
managementTypemanagementType MDM (モバイル デバイスの場合)MDM (for mobile devices)
PC (Intune PC エージェントによって管理されるコンピューターの場合)PC (for computers managed by the Intune PC agent)
(device.managementType -eq "MDM")(device.managementType -eq "MDM")
deviceIddeviceId 有効な Azure AD デバイス IDa valid Azure AD device ID (device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")(device.deviceId -eq "d4fe7726-5966-431c-b3b8-cddc8fdb717d")
objectIdobjectId 有効な Azure AD オブジェクト IDa valid Azure AD object ID (device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")(device.objectId -eq "76ad43c9-32c5-45e8-a272-7b58b58f596d")
devicePhysicalIdsdevicePhysicalIds すべてのオートパイロット デバイス、OrderID、PurchaseOrderID など、オートパイロットによって使用される任意の文字列値any string value used by Autopilot, such as all Autopilot devices, OrderID, or PurchaseOrderID (device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")(device.devicePhysicalIDs -any _ -contains "[ZTDId]") (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881") (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
systemLabelssystemLabels Modern Workplace デバイスをタグ付けするための Intune デバイス プロパティに一致する任意の文字列any string matching the Intune device property for tagging Modern Workplace devices (device.systemLabels - "M365Managed" を含む)(device.systemLabels -contains "M365Managed")


デバイスに動的グループを作成する場合、deviceOwnership には、"Company" と等しい値を設定する必要があります。For the deviceOwnership when creating Dynamic Groups for devices you need to set the value equal to "Company". Intune 上のデバイスの所有権には、代わりに Corporate として表されます。On Intune the device ownership is represented instead as Corporate. 詳細については、「OwnerTypes」を参照してください。Refer to OwnerTypes for more details.

次のステップNext steps

次の記事は、Azure Active Directory のグループに関する追加情報を提供します。These articles provide additional information on groups in Azure Active Directory.