スキップしてメイン コンテンツに移動

Azure AD でグループに別のグループを自動登録する。~memberOfを使った動的グループ (202206時点 プレビュー版)

 


出典:Microsoft

はじめに

Azure ADで、別グループを自動でグループに登録する方法があれば便利ですよね。

今回紹介する方法では、ネストではないので、設定したロールやライセンスについても反映されちゃいます。

何がうれしい

  • AADCでオンプレのActiveDirectoryからAzure ADに同期かけている場合、セキュリティグループをMicrosoft365グループに自動で反映させることが出来る。
  • Microsoft365グループをTeamsやSharePointに設定している場合、自動で動的ユーザーが反映される。
  • メンバーが変わっても、グループレベルでロールやライセンスが自動で反映される。
  • 動的と割り当てのグループをまとめたMicrosoft365グループを作成し、TeamsやSharePointに設定しておくと、動的ユーザーを運用しながら、割り当てグループにユーザーを追加することで柔軟にメンバーを変動させることが出来る

などなど、とにかく便利すぎです。

例えば、総務部のグループに人事課、給与課、広報課のグループを登録することで、ユーザーを自動的に総務課に追加することができ、総務課グループの設定がメンバーに反映させることが可能になります。

Microsoft Teamsなど、Microsoft365サービスへの連携も可能になるため、ユーザーが異動等で変更になってもTeamsのメンバーの割り当て等を手動ですることなく、作業を最小限に抑えることが可能になります。

動的グループ設定により、ユーザーのプロファイル作成ルールを運用上作っておくとことで、ほぼグループへの割り当てが不要になるのですが、さらにグループをグループに割り当てることが可能となった(2022/07/08現在)ことから、親グループと子グループにおいて柔軟に運用が可能になります。

オンプレのADとAzureADにおいて連携している場合や、セキュリティグループをMicrosoft365に反映させたい場合に、自動的に反映されるようになるため、運用工数を削減することが可能になり便利です。

以前は、複数のユーザー属性を設計し、プロファイルから動的グループを複雑に設定していたのですが、直接グループを反映させることが可能になり、とても分かりやすくなると思います。現在機能プレビューですが、memberOf 属性を使用できるようになったので方法を紹介します。っていうかほぼ自分の備忘録ですので、参考にされる方は雑な説明ですがご参考程度に覗いてみてください。


参考:Azure Active Directory の動的グループのグループ メンバーシップ (プレビュー)

https://docs.microsoft.com/ja-jp/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of


設定方法

AzureAD → グループ → 新しいグループ

グループの種類(セキュリティ、M365どちらでもOK) → グループ名 → グループのメールアドレス → メンバーシップの種類(動的ユーザー) → 動的クエリの追加




編集(プレビュー版では動的グループ ルール ビルダーと検証機能は、現時点では memberOf には使用できません。)


規則の構文にuser.memberof -any (group.objectId -in ['groupId', 'groupId'])を入力。

グループの概要 → オブジェクトID がgroupIdになっているので、動的グループに登録するグループのオブジェクトIDを入れます。(例では2つですが、複数追加できます。)


OKを選択すると設定完了です。

まとめ

設定自体は複雑ではありませんが、かなり強力な機能になるかと思います。
グループの設計の一例で、特定のチームを作成する場合、動的グループをTeams等に割り当てると、個別追加が出来なくなってしまう場合があります。柔軟に対応するために、子グループで動的グループと割当グループを作成し、親グループで二つの子グループを動的に割り当てる方法を考えてみました。とても便利な運用の方法だと思うので、よければやってみてください。

DX担当チームのグループを作成する場合の設定例として、まずユーザーのプロファイルで役職(jobTitle)をDX担当にします。
作成するグループは次の通りです。

子 DXチーム_動的 → (user.jobTitle -match ".*DX担当.*")
子 DXチーム_割り当て → 手動により追加可能
親 DXチーム → DXチーム_動的+DXチーム_割り当て

そして、Teams等のサービスに親グループのDXチームを設定します。通常は決まったグループのユーザーで運用しながら、急きょチームにユーザー追加する必要が発生した場合でもDXチーム_割り当てにユーザーを割り当てることで柔軟に追加出来るようになります。

ほかにも別のサービスとの連携などにも役立てることができるので、是非妄想を膨らませてみてください。
そして、これは便利!っていうアイデアがあれば情報いただけるとうれしいです。
ラベル:

コメント

コメントを投稿

このブログの人気の投稿

Google Workspaceのアカウントを個人スマホに追加して使おうとしたらアプリが使えないときの対処方法

はじめに 個人デバイスで仕事で利用しているGoogleWorkspaceを利用する場合、Androidスマホだとユーザーを別途用意してスマホにサインインするように運用したほうがセキュリティ上安全な場合があります。 ユーザー追加が終わり、アプリを利用しようとしたときにデータがスマホに同期されない原因の一つに、管理コンソール上の設定があります。 仕事用プロファイルを追加できません。 このデバイスには仕事用プロファイルを追加できません。ご不明な点がある場合は、IT管理者にお問い合わせください。 というメッセージが表示され、Gメールなどのアプリに情報が同期されず利用できないときの対処法を紹介します。 前提条件として、デバイスで仕事用プロファイルの設定が求められるといったケースです。 原因 管理コンソール上の端末管理設定が「詳細」になっているから。 解決策 モバイル管理の設定を「詳細」から「標準」に変更する。 「詳細」が選択されている場合は、Google Workspace のアカウントを利用時に仕事用プロファイルの設定が必須であり、より細かな制御が可能となります。 「標準」の設定であれば、細かな制御はできなくなってしまいますが、仕事用プロファイルの設定なくアカウント追加が可能になります。 手順 1.管理者アカウントで Google Admin にアクセス 2.デバイス>モバイルとエンドポイント>設定>一般設定>全般 3.全般>モバイル管理>標準(エージェント不要)に変更 ダウングレードの文字が出る場合があるが、OKで設定が適用されます。24時間反映にかかる場合があるみたいです。 4.既に個人のスマートフォンの [ 設定 ] > [ アカウント ] の欄に該当アカウントが存在している場合は、一度ログアウトさせてから再追加 まとめ BYODなどで、個人デバイスを業務利用するシーンが増えてきていると思います。 管理者に確認し、適切なセキュリティ運用を心がけてください。
コメントを投稿
続きを読む

GoogleアカウントだけでWEBアプリを作る方法。〜作成代行してもらったAppSheetを受け取る編

 はじめに Googleアカウントを持っていれば、Googleスプレッドシートをデータベースとしてアプリを作ることができるAppSheet。しかも、グーグルストアやアップルストアに登録する必要がなく、スマホ、タブレット、パソコンなど、色々なデバイスで利用可能な自分だけのアプリが作成可能です。 簡単にアプリを作ることが出来る ので手軽に始めることができるAppSheet。 ところが、このAppSheet。作りこみ次第ではデータからPDFを自動で作成し、指定のメールアドレスに一斉配信など、会社の 基幹システムレベルの構築が可能 であり、かなり奥の深いサービスだったりします。 作りこみを委託するケースも今後増えるんじゃないか?と思ったので、今回は 作成を代行してもらう方法 を紹介したいと思います。 手順 代行者側 Googleスプレッドシートでデータ作成 AppSheetでデータソースを紐付ける AppSheetの共同編集者に依頼者を設定する AppSheetのUsersからUser emailsに依頼者のGoogleアカウントを入力し、 私はロボットではありません をチェックします。 登録したユーザーの設定をします。 Can edit definition 、 Role:Admin、App version: Defaultにします。 Linksタブから、 アプリのURLをコピー して依頼者に共有します。 念の為、SAVEを忘れずしておきましょう。 URL共有時のメール例文 --- ○○さま お世話になっております。 アプリを作成したのでURLを送付いたします。 設定させていただいたGoogleアカウントによりアクセス可能です。 ご確認よろしくお願いいたします。 AppSheet https://www.appsheet.com/template/Apps アプリインストール用URL https://www.appsheet.com/newshortcut/○○○ ブラウザ利用におけるURL https://www.appsheet.com/start/○○○ 参考 GoogleアカウントだけでWEBアプリを作る方法。〜作成代行してもらったAppSheetを受け取る編 (goog-life.blogspot.com) --- 依頼者側 メールが届いたら、AppSheet
コメントを投稿
続きを読む

リビングの環境監視ダッシュボードを60分で作る方法をQiitaに投稿してから数年たった今のお話。

 数年前に、 Nature Remo を利用してリビングの環境監視する仕組みを作りました。たくさんの方から作り方を教えてほしいとの要望があったので、 Qiita に投稿したところ、Twitterで注目していただき、さらにNature株式会社公式ブログ( https://nature.global/blog/1072/#title1 )でも紹介していただき感動です。 その後もどうにか稼働しているので、その様子を少し紹介してみたいと思います。 リビングの環境監視ダッシュボードを60分で作る方法(Nature Remo Cloud APIとGoogleサービス連携) アップデート 1.複数台運用 寝室用にもう1台Nature Remoを購入したので、複数の部屋の環境を可視化してみました。 複数台のNature Remoを利用する方法については、mumunus様にコメントいただきました。本当に感謝です。 https://qiita.com/t-chi/items/01b9a9b98fbccef880c3#comment-5c5e624fb37745493b84 複数台運用では、データソースを部屋ごとに分けて運用することにしました。任意に振られた番号[0]、[1]・・・で指定することで、Googleスプレッドシートごとに運用できるみたいです。 ※セルの上限制約を意識して、今回は端末ごとにシートを分けて作成してみました。 2.職場のサーバー室の環境監視 小規模な職場に勤めているのですが、停電により空調が止まってしまい、サーバー室の温度が一気に上がりネットワーク機器が故障の危機に陥ったことがありました。 サーバー類はUPS(無停電電源装置)によりシャットダウンを防ぐことができるのですが、夜中に停電したりするとエアコンが切れてしまい、朝には高価なサーバー機器が故障している。なんてことになれば組織にとって大きな損失となってしまいます。 そこで、プライベートで実装した仕組みを活かして、サーバー室にNature Remoを設置して環境監視をすることにしました。 さらに、一定温度以上になれば、管理職と担当、副担当に自動でメールが発出する仕組みを構築しました。 簡易な仕組みですが、無料で運用できるため今まで何もなかったことからすれば一定の保険になるかと思います。 エラー発生の原因 数年にわた
コメントを投稿
続きを読む