AzureADグループの動的ユーザを使ってみる

はじめに

AzureADやIntuneを使い込んでいくと組織変更時や新入社員登録時に

• 構成プロファイルへ設定が漏れ挙動がおかしい

• アクセス制限の登録漏れでSaaSにアクセスできない

• 組織用Teamsへの設定漏れでクレームが…

こんな経験をしがちになるので、本日はこのような設定漏れを極力無くすのに有効な動的ユーザについて少しまとてみる。

動的ユーザを設定する

動的ユーザとは？

M365グループやセキュリティグループに使える一定条件を満たしたユーザを自動登録させる機能です(同様の機能でデバイスを一定条件下で登録する動的デバイスというものもあります)
これを使うことでAzureAD(AzureADconnectしてる場合はActiveDirectry)の各項目を条件に自動でグループ振り分けが可能になります、便利ですね！

どうやって設定する？

AzureADの各種グループの【メンバーシップの種類】から設定します。

割当済みを動的ユーザに変更すると使用可能

次に条件（ルール）の設定を行います。

ここでは社員No（employeeID）がXXから始まり
かつ有効なユーザ（無効なユーザを除去）のみグループに入れると設定してます。

ルールに利用できるAzureADプロパティや使える演算子については下記を参考にして下さい（というかここでの説明がほぼ全て書いてありますｗ）

動的に設定されるグループ メンバーシップのルール - Azure AD

ルールを策定する以上、社員番号やら部門コードやらその他社員識別の為の情報をある程度理論立てて構成しておく必要がありますが、自分なりに行った事については次回少し触れてみようかなと。

注意するポイント

GUIでは条件は5つしか登録できない

回避する方法はありますが、基本的にGUIで登録しようとすると条件は5つまでしか登録できません。

5つ目の条件で追加がグレーアウトする

実際はGUIで条件をつける度に規則の構文の項目に記述されていきますので右側の【編集】を使って同じように構文を追加していけば5つ以上の条件をつけることも可能です。

ここの編集を使って

長々と構文を追加する事は可能

ピンポイントにユーザ追加できない

基本的には条件に合わせたユーザを自動追加する機能ですので、割当て済みのように指値でユーザ登録はできません。
※例外として所有者として登録する技もありますが…万が一条件変更されるリスクやTeamsチーム運用の面からもオススメできません。

応用的に『社員NoがXXXXXとイコールの場合』みたいに作ることは可能ですが上にも書いたようGUIで書きたい場合はそれだけで1条件消費しますし、何よりもメンテナンスが大変なので出来るだけ個人だけに紐づく条件は排除したほうが無難です。
※この辺も次回少しまとめてみようかなと

一度登録すると反映までに少し時間がかかる

ここが少し厄介な話。
条件にもよるのですが、反映に少し時間がかかります。
※最大でも数十分程度のものですが…

新規で作るグループなら良いのですが、既に作成済みのM365グループ（というかTeams用チーム）であったりセキュリティグループに適用する場合は変更する時間帯に十分留意する必要があります。
あれ？急にアクセスできなくなったぞ？とか、チームが消えた！とか大騒ぎになるケースも十分考えられます（3敗）

また、当然ですが既存グループで間違った条件で適用をかけると地獄ですので、必ずルールの構成タブの隣にあるルールの検証で条件に見落としがないか検証するようにしましょう。

ここで条件に見落としがないかチェックしましょう！

最後に

動的ユーザをしっかり作り込めばAzureADに連携する各種設定についてはAzureADのユーザ情報を変更するだけで全て一括変更できる大変便利な機能となっています。
特にIntuneは基本的にグループ単位での設定しかできませんので予め動的ユーザである程度の作り込みをしておけば、どういう属性のユーザにどの設定をセットするのか？を非常に楽に管理できるのでおすすめです。

次回は動的ユーザを作り込むにあたって自分が留意した点について少しまとめてみたいと思っております。