動的グループと Azure Active Directory B2B コラボレーションDynamic groups and Azure Active Directory B2B collaboration

動的グループとはWhat are dynamic groups?

Azure Active Directory (Azure AD) のセキュリティ グループ メンバーシップの動的な構成は、Azure Portal で利用できます。Dynamic configuration of security group membership for Azure Active Directory (Azure AD) is available in the Azure portal. 管理者は、ユーザー属性 (userType、部門、国/地域など) に基づいて、Azure AD で作成されたグループのメンバーを設定するためのルールを指定できます。Administrators can set rules to populate groups that are created in Azure AD based on user attributes (such as userType, department, or country/region). メンバーを属性に基づいて自動的にセキュリティ グループに追加したり、セキュリティ グループから削除したりすることができます。Members can be automatically added to or removed from a security group based on their attributes. これらのグループを使用すると、アプリケーションやクラウド リソース (SharePoint サイト、ドキュメント) へのアクセスを付与したり、メンバーにライセンスを割り当てたりすることができます。These groups can provide access to applications or cloud resources (SharePoint sites, documents) and to assign licenses to members. 動的なグループの詳細については、「Azure Active Directory の専用グループ」を参照してください。Read more about dynamic groups in Dedicated groups in Azure Active Directory.

動的グループを作成および使用するには、適切な Azure AD Premium P1 または P2 ライセンスが必要です。The appropriate Azure AD Premium P1 or P2 licensing is required to create and use dynamic groups. 詳細については「Azure Active Directory で動的グループ メンバーシップの属性ベースのルールを作成する」の記事を参照してください。Learn more in the article Create attribute-based rules for dynamic group membership in Azure Active Directory.

"すべてのユーザー" の動的グループの作成Creating an "all users" dynamic group

メンバーシップ ルールを使用し、テナント内のすべてのユーザーを含むグループを作成できます。You can create a group containing all users within a tenant using a membership rule. 将来、ユーザーがテナントに追加されたり、テナントから削除されたりしたとき、メンバーシップは自動的に調整されます。When users are added or removed from the tenant in the future, the group's membership is adjusted automatically.

  1. テナントのグローバル管理者またはユーザー管理者ロールが割り当てられたアカウントで Azure portal にサインインします。Sign in to the Azure portal with an account that is assigned the Global administrator or User administrator role in the tenant.

  2. [Azure Active Directory] を選択します。Select Azure Active Directory.

  3. [管理] の下の [グループ] を選択し、 [新しいグループ] を選択します。Under Manage, select Groups, and then select New group.

  4. [新しいグループ] ページで、 [グループの種類] の下の [セキュリティ] を選択します。On the New Group page, under Group type, select Security. 新しいグループの [グループ名][グループの説明] を入力します。Enter a Group name and Group description for the new group.

  5. [メンバーシップの種類] で、 [動的ユーザー][動的クエリの追加] の順に選択します。Under Membership type, select Dynamic User, and then select Add dynamic query.

  6. [ルール構文] テキスト ボックスの上の [編集] を選択します。Above the Rule syntax text box, select Edit. [ルール構文の編集] ページで、テキスト ボックスに次の式を入力します。On the Edit rule syntax page, type the following expression in the text box:

    user.objectId -ne null
    
  7. [OK] を選択します。Select OK. [ルール構文] ボックスにルールが表示されます。The rule appears in the Rule syntax box:

    すべてのユーザーの動的グループに対するルール構文

  8. [保存] を選択します。Select Save. これで、新しい動的グループには、B2B ゲスト ユーザーとメンバー ユーザーが含まれるようになります。The new dynamic group will now include B2B guest users as well as member users.

  9. [新規グループ] ページで [作成] をクリックして、グループを作成します。Select Create on the New group page to create the group.

メンバーのみのグループの作成Creating a group of members only

グループでゲストユーザーを除外し、テナントのメンバーのみを含める場合は、前述のように動的グループを作成しますが、 [ルール構文] ボックスには次の式を入力します。If you want your group to exclude guest users and include only members of your tenant, create a dynamic group as described above, but in the Rule syntax box, enter the following expression:

(user.objectId -ne null) and (user.userType -eq "Member")

次の図は、メンバーのみを含み、ゲストを除外するように変更された動的グループのルール構文を示しています。The following image shows the rule syntax for a dynamic group modified to include members only and exclude guests.

ユーザーの種類がメンバーと等しい場合のルールを示す

ゲストのみのグループの作成Creating a group of guests only

ゲスト ユーザーにポリシー (Azure AD の条件付きアクセス ポリシーなど) を適用できるように、ゲスト ユーザーのみが含まれる新しい動的グループを作成すると便利な場合もあります。You might also find it useful to create a new dynamic group that contains only guest users, so that you can apply policies (such as Azure AD Conditional Access policies) to them. 前述のように動的グループを作成しますが、 [ルール構文] ボックスには次の式を入力します。Create a dynamic group as described above, but in the Rule syntax box, enter the following expression:

(user.objectId -ne null) and (user.userType -eq "Guest")

次の図は、ゲストのみを含み、メンバー ユーザーを除外するように変更された動的グループのルール構文を示しています。The following image shows the rule syntax for a dynamic group modified to include guests only and exclude member users.

ユーザーの種類がゲストと等しい場合のルール

次のステップNext steps