スキップしてメイン コンテンツに移動

Azure AD でグループに別のグループを自動登録する。~memberOfを使った動的グループ (202206時点 プレビュー版)

 


出典:Microsoft

はじめに

Azure ADで、別グループを自動でグループに登録する方法があれば便利ですよね。

今回紹介する方法では、ネストではないので、設定したロールやライセンスについても反映されちゃいます。

何がうれしい

  • AADCでオンプレのActiveDirectoryからAzure ADに同期かけている場合、セキュリティグループをMicrosoft365グループに自動で反映させることが出来る。
  • Microsoft365グループをTeamsやSharePointに設定している場合、自動で動的ユーザーが反映される。
  • メンバーが変わっても、グループレベルでロールやライセンスが自動で反映される。
  • 動的と割り当てのグループをまとめたMicrosoft365グループを作成し、TeamsやSharePointに設定しておくと、動的ユーザーを運用しながら、割り当てグループにユーザーを追加することで柔軟にメンバーを変動させることが出来る

などなど、とにかく便利すぎです。

例えば、総務部のグループに人事課、給与課、広報課のグループを登録することで、ユーザーを自動的に総務課に追加することができ、総務課グループの設定がメンバーに反映させることが可能になります。

Microsoft Teamsなど、Microsoft365サービスへの連携も可能になるため、ユーザーが異動等で変更になってもTeamsのメンバーの割り当て等を手動ですることなく、作業を最小限に抑えることが可能になります。

動的グループ設定により、ユーザーのプロファイル作成ルールを運用上作っておくとことで、ほぼグループへの割り当てが不要になるのですが、さらにグループをグループに割り当てることが可能となった(2022/07/08現在)ことから、親グループと子グループにおいて柔軟に運用が可能になります。

オンプレのADとAzureADにおいて連携している場合や、セキュリティグループをMicrosoft365に反映させたい場合に、自動的に反映されるようになるため、運用工数を削減することが可能になり便利です。

以前は、複数のユーザー属性を設計し、プロファイルから動的グループを複雑に設定していたのですが、直接グループを反映させることが可能になり、とても分かりやすくなると思います。現在機能プレビューですが、memberOf 属性を使用できるようになったので方法を紹介します。っていうかほぼ自分の備忘録ですので、参考にされる方は雑な説明ですがご参考程度に覗いてみてください。


参考:Azure Active Directory の動的グループのグループ メンバーシップ (プレビュー)

https://docs.microsoft.com/ja-jp/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of


設定方法

AzureAD → グループ → 新しいグループ

グループの種類(セキュリティ、M365どちらでもOK) → グループ名 → グループのメールアドレス → メンバーシップの種類(動的ユーザー) → 動的クエリの追加




編集(プレビュー版では動的グループ ルール ビルダーと検証機能は、現時点では memberOf には使用できません。)


規則の構文にuser.memberof -any (group.objectId -in ['groupId', 'groupId'])を入力。

グループの概要 → オブジェクトID がgroupIdになっているので、動的グループに登録するグループのオブジェクトIDを入れます。(例では2つですが、複数追加できます。)


OKを選択すると設定完了です。

まとめ

設定自体は複雑ではありませんが、かなり強力な機能になるかと思います。
グループの設計の一例で、特定のチームを作成する場合、動的グループをTeams等に割り当てると、個別追加が出来なくなってしまう場合があります。柔軟に対応するために、子グループで動的グループと割当グループを作成し、親グループで二つの子グループを動的に割り当てる方法を考えてみました。とても便利な運用の方法だと思うので、よければやってみてください。

DX担当チームのグループを作成する場合の設定例として、まずユーザーのプロファイルで役職(jobTitle)をDX担当にします。
作成するグループは次の通りです。

子 DXチーム_動的 → (user.jobTitle -match ".*DX担当.*")
子 DXチーム_割り当て → 手動により追加可能
親 DXチーム → DXチーム_動的+DXチーム_割り当て

そして、Teams等のサービスに親グループのDXチームを設定します。通常は決まったグループのユーザーで運用しながら、急きょチームにユーザー追加する必要が発生した場合でもDXチーム_割り当てにユーザーを割り当てることで柔軟に追加出来るようになります。

ほかにも別のサービスとの連携などにも役立てることができるので、是非妄想を膨らませてみてください。
そして、これは便利!っていうアイデアがあれば情報いただけるとうれしいです。

コメント

このブログの人気の投稿

GoogleアカウントだけでWEBアプリを作る方法。〜作成代行してもらったAppSheetを受け取る編

 はじめに Googleアカウントを持っていれば、Googleスプレッドシートをデータベースとしてアプリを作ることができるAppSheet。しかも、グーグルストアやアップルストアに登録する必要がなく、スマホ、タブレット、パソコンなど、色々なデバイスで利用可能な自分だけのアプリが作成可能です。 簡単にアプリを作ることが出来る ので手軽に始めることができるAppSheet。 ところが、このAppSheet。作りこみ次第ではデータからPDFを自動で作成し、指定のメールアドレスに一斉配信など、会社の 基幹システムレベルの構築が可能 であり、かなり奥の深いサービスだったりします。 作りこみを委託するケースも今後増えるんじゃないか?と思ったので、今回は 作成を代行してもらう方法 を紹介したいと思います。 手順 代行者側 Googleスプレッドシートでデータ作成 AppSheetでデータソースを紐付ける AppSheetの共同編集者に依頼者を設定する AppSheetのUsersからUser emailsに依頼者のGoogleアカウントを入力し、 私はロボットではありません をチェックします。 登録したユーザーの設定をします。 Can edit definition 、 Role:Admin、App version: Defaultにします。 Linksタブから、 アプリのURLをコピー して依頼者に共有します。 念の為、SAVEを忘れずしておきましょう。 URL共有時のメール例文 --- ○○さま お世話になっております。 アプリを作成したのでURLを送付いたします。 設定させていただいたGoogleアカウントによりアクセス可能です。 ご確認よろしくお願いいたします。 AppSheet https://www.appsheet.com/template/Apps アプリインストール用URL https://www.appsheet.com/newshortcut/○○○ ブラウザ利用におけるURL https://www.appsheet.com/start/○○○ 参考 GoogleアカウントだけでWEBアプリを作る方法。〜作成代行してもらったAppSheetを受け取る編 (goog-life.blogspot.com) --- 依頼者側 メールが届いたら、AppSheet

Google Workspaceのアカウントを個人スマホに追加して使おうとしたらアプリが使えないときの対処方法

はじめに 個人デバイスで仕事で利用しているGoogleWorkspaceを利用する場合、Androidスマホだとユーザーを別途用意してスマホにサインインするように運用したほうがセキュリティ上安全な場合があります。 ユーザー追加が終わり、アプリを利用しようとしたときにデータがスマホに同期されない原因の一つに、管理コンソール上の設定があります。 仕事用プロファイルを追加できません。 このデバイスには仕事用プロファイルを追加できません。ご不明な点がある場合は、IT管理者にお問い合わせください。 というメッセージが表示され、Gメールなどのアプリに情報が同期されず利用できないときの対処法を紹介します。 前提条件として、デバイスで仕事用プロファイルの設定が求められるといったケースです。 原因 管理コンソール上の端末管理設定が「詳細」になっているから。 解決策 モバイル管理の設定を「詳細」から「標準」に変更する。 「詳細」が選択されている場合は、Google Workspace のアカウントを利用時に仕事用プロファイルの設定が必須であり、より細かな制御が可能となります。 「標準」の設定であれば、細かな制御はできなくなってしまいますが、仕事用プロファイルの設定なくアカウント追加が可能になります。 手順 1.管理者アカウントで Google Admin にアクセス 2.デバイス>モバイルとエンドポイント>設定>一般設定>全般 3.全般>モバイル管理>標準(エージェント不要)に変更 ダウングレードの文字が出る場合があるが、OKで設定が適用されます。24時間反映にかかる場合があるみたいです。 4.既に個人のスマートフォンの [ 設定 ] > [ アカウント ] の欄に該当アカウントが存在している場合は、一度ログアウトさせてから再追加 まとめ BYODなどで、個人デバイスを業務利用するシーンが増えてきていると思います。 管理者に確認し、適切なセキュリティ運用を心がけてください。

Microsoft365アカウントでchromeBookを使う方法。~古いPCにchromeOS Flexをセットアップしてシングルサインオンしてみた

  出典:https://www.photo-ac.com/ はじめに 小規模な会社では、リモートワーク用のパソコンを調達するにもまとまった 予算を確保できない 問題があったりします。最初は補助金を活用できても、リプレース予算が捻出できなければ継続可能な運用が出来ないため、悩ましいですよね。 そんな場合、古いパソコンにchromeOS Flexをパソコンにインストールして、 ChromeBook化してリモートワークをする 方法があります。 この方法は、そもそも会社が普段利用しているグループウェアがGoogleWorkspaceだと最適なのですが、 Microsoft365を利用している会社 の場合、WindowsPCを利用したリモートワークが一般的かと思います。 そこで、高いニーズとして出てくるのが、 「MicrosoftからChromeBookライクなデバイスが提供されないのか?」といったお話なのですが、現在純正でそのようなデバイスはありません。 代替手段として、Intune(MDM)を利用してWindows端末に利用制限をかけてChromeBookライクな使い方をしている会社もありますが(むしろ一般的)、元はWindowsPCなのでChromeBookに比べて高額だったり設定が複雑だったりします。 ここでは、 Chrome OSをMicrosoft365ユーザーアカウントで利用 するといった方法を紹介したいと思います。この運用が正解だ!というつもりは無く、あくまでも一つの手段として何かの参考にしていただけると嬉しく思います。 まずは、AzureADでGoogleWorkspaceへのシングルサインインの設定が済んでいる必要があります。別の記事で紹介していますので、未だの方は参考に設定してみてください。 AzureADからGoogleWorkspaceへのシングルサインオンを実装 https://www.cd-l.net/2022/08/microsoft365google.html#toc_headline_5 公式のインストールガイドを参照ください。 chromeOS Flex インストール ガイド https://support.google.com/chromeosflex/answer/11552529?hl=ja 基本的には公式ガイドでインストールでき