Microsoft Entra ID において、オンプレミス同期ユーザーとクラウドユーザーが混在している環境で、クラウドユーザーのみを対象とした動的グループを作成する機会がありました。
本記事では、このような状況での動的グループのルール設定について紹介します。
「onPremisesDistinguishedName」属性について
この属性はMicrosoft Entra IDにおいて、オンプレミスActive Directory から同期されたユーザーオブジェクトに関連する属性の1つです。
この属性では、オンプレミスの AD におけるユーザーの識別名(Distinguished Name) を保持しています。
逆に言うと、クラウドユーザーはこの値を持っていないことになります。これを利用して、クラウドユーザーのみを対象とした動的グループを作成していきます。
動的グループのルール設定
「onPremisesDistinguishedName」を用いた、動的グループの作成とルール設定の手順を記載します。
- Microsoft Entra 管理センター[ID]>[グループ]>[すべてのグループ]>[新しいグループ]から動的グループを作成します。
- [新しいグループ]にて、[メンバーシップの種類]を「動的ユーザー」に変更し、[動的なユーザーメンバー]の「動的クエリの追加」からルール設定を行います。
- [ルールの構成]で[プロパティ]に「onPremisesDistinguishedName」、[演算子]に「Equals」、[値]に「null」を設定し、保存します。
- 動的グループを作成します。
作成した動的グループを検証する
作成した動的グループのルールが正しく動作していることを検証します。
- 作成した動的グループを選択し、[動的メンバーシップ ルール]>[ルールの検証]でユーザーを追加します。
- 今回、オンプレミス同期ユーザーのテストアカウントして「jbs test」を、クラウドユーザーのテストアカウントとして「テスト」を追加しました。結果として、クラウドユーザーの「テスト」だけが動的グループの対象になっていることがわかります。
- また、[詳細の表示]より、対象外になった詳細も確認できます。ここでは、オンプレミス同期ユーザーの「jbs test」には「onPremisesDistinguishedName」属性の値が入っているため、グループ外と判定されたことがわかります。
おわりに
今回は、オンプレミス同期ユーザーとクラウドユーザーを区別することを条件とした動的グループのルール設定について紹介しました。
本記事が、少しでも参考になれば幸いです。
