Azure AD 内のすべてのユーザーを含めるグループを作成する方法を社内で教えてもらったため試してみました。このグループをリイ用することで、すべてのユーザーに特定のエンタープライズアプリケーションを割り当てるなどの設定が楽になります。
実現方法は、動的グループ機能を使ってセキュリティグループ(以下、グループ)に自動的にユーザーを追加する方法です。ゲストユーザーを含める場合と含めない場合の 2 パターンが下記ドキュメントに例示されているため、例示内容を試してみます。
動的に設定されるグループ メンバーシップのルール - Microsoft Entra | Microsoft Learn
すべてのユーザーを含むグループの作成
Azure AD のドキュメントに従って、すべてのユーザーを含むグループを作成してみます。ゲストユーザーを含めるパターンと含めないパターンを試しています。
グループの作成
すべてのユーザーを自動的に追加する動的クエリは下記ドキュメントに記載があります。
動的に設定されるグループ メンバーシップのルール - Microsoft Entra | Microsoft Learn
具体的な動的メンバーシップルールは次の通りです。
ゲストユーザーを含めるパターンです。
user.objectId -ne nullゲストユーザーを含めないパターンです。
(user.objectId -ne null) -and (user.userType -eq "Member")
それぞれのパターンでグループを作成してみます。
ゲストユーザーを含めるグループAll Usersを作成します。「メンバーシップの種類」を動的ユーザーにして「動的クエリの編集」を設定する必要があります。
「動的クエリの編集」では、構文を直接編集して入力しました。
ゲストユーザーを含めないグループAll Users Without Guestsを作成します。「動的クエリの編集」は上述したゲストユーザーを含めるグループと同じ要領で設定します。
以上で、グループの作成は終わりです。作成した時点でグループに自動的にユーザーが追加されるようになっています。
ユーザー追加時の動作確認
ユーザーの作成、および、ゲストユーザーの招待をして自動的に追加されるか確認してみます。
事前のグループの状態としては、作成済みのユーザーが既に両方のグループに所属していました。今回試した環境ではゲストではないユーザーAccount Adminのみ作成していました。
まずは、ゲストではないユーザーを作成します。設定は下記画像の通り最小限としています。
次に、ゲストを招待して追加してみます。
ユーザー作成、ゲスト招待後のグループに所属しているユーザー一覧です。意図した通り、ゲストではないユーザーは両方のグループに所属し、ゲストユーザーはAll Usersグループのみに所属していました。
以上で、ユーザー作成とゲスト招待後の確認は終わりです。
さいごに
Azure AD の動的グループ機能を使って、すべてのメンバーが所属するグループを作成してみました。一律ですべてのユーザーに権限を与えたい場合に便利な機能だと思いました。ゲストユーザーを含める場合と含めない場合の両方を作成できました。
最後に参考情報となりますが、動的グループ機能は下記ブログでも紹介しています。
以上、このブログがどなたかのご参考になれば幸いです。
2
