AvePoint Cloud Governanceによるチームの動的メンバーシップ管理

Microsoft Teamsのチームメンバーをテナント側で動的管理したい場合、動的なMicrosoft365グループを作成しチームに変換する処理をします。

動的グループを作成するにはMicrosoft Entra ID P1ライセンス、動的メンバーシップをアクセスレビューを通して定期的に棚卸するにはMicrosoft Entra ID P2ライセンスが必要になりますが、これらのライセンスがなくても、AvePoint Cloud Governanceのライセンスがあれば、動的なメンバー管理や定期的な棚卸対応が可能です。

本記事では、AvePoint Cloud Governanceでの実現方法を簡単に機能紹介します。

• 機能紹介
  • 動的なメンバー管理
  • 棚卸機能
  • チームメンバーの条件変更
• 考慮事項
  • チームメンバーの一時的変更ができてしまう
  • チームメンバーの棚卸ができない
  • タイムラグの問題
• おわりに

機能紹介

動的なメンバー管理

例として、ABCという部署に所属したメンバーがいるとします。

AvePoint Cloud Governanceでは、申請画面を提供して動的なメンバー構成のチーム作成が行えます。

以下のように「チームのメンバー」フォーム内に条件を設定して「送信」をクリックすることで、チーム作成の申請をします。今回は「連絡先情報の部署にABCが含まれる場合はチームメンバーとする」という条件で申請しました。

第三者確認による手動承認やシステムによる自動承認が行われると、チームが作成されます。

Teamsクライアントから条件に一致したメンバーがチームに所属していることを確認した画面イメージは以下になります。

※ チームメンバーの反映にはタイムラグがあり、作成してから反映まで数時間かかる場合があります。

AvePoint Cloud Governanceの動的ルールでは、Entraのプロパティ値だけでなく、ライセンスやユーザー/グループを条件として指定することが可能です。

棚卸機能

AvePoint Cloud Governanceでは、一定期間ごとに関係者にチームの削除有無やメンバー改廃などの棚卸機能を提供しています。

チームの削除有無に関する棚卸画面のイメージは以下になります。

次にメンバー改廃の棚卸画面の紹介です。メンバーは条件による管理のため、棚卸では変更できません。メンバー改廃でできることは、チーム所有者の追加や削除になります。

なお、棚卸画面にはいくつかオプションがあり、テキストメッセージや選択肢の変更が可能です。画面イメージはあくまで一例であることをご了承ください。

チームメンバーの条件変更

チームメンバーの条件変更は変更申請で対応可能です。

以下は変更申請の画面イメージになります。追加ボタンやアクションにあるアイコンをクリックし、動的メンバーシップルールの変更が行えます。

変更申請を実施後、以下のように条件の変更前と変更後を確認することができます。

なお、変更申請の場合は、組み込みロールを使わずに変更申請のアクセス権管理が可能なため、強い権限を与えることなく利用を許可できます。また、申請者が所属するチームのみ変更申請をさせる制御も可能です。

一方、テナント側で動的グループを管理する場合は、グループ管理者などの組み込みロールを使う必要があります。

考慮事項

AvePoint Cloud Governance上でチームメンバーの動的管理をする場合、いくつかクリアすべき考慮事項があります。

チームメンバーの一時的変更ができてしまう

AvePoint Cloud Governance上でチームメンバーを動的管理しているため、テナント上では静的なMicrosoft365グループとして管理されています。

Entra管理センターのグループ情報で「メンバーシップの種類」が「割り当て済み」となっている場合が静的グループです。動的グループの場合は、「メンバーシップの種類」が「動的」と表示されます。

静的グループの扱いであるため、チーム所有者であれば、Teams クライアントからチーム内メンバーの追加や削除ができてしまいます。

AvePoint Cloud Governance側で定期的に条件を確認しているので、最終的にはもとのメンバー構成に戻ります。

しかし、チーム所有者による操作を一切許容したくない場合は、テナント側で動的なMicrosoft365グループを作成してチームの変換をしたり、チーム所有者をダミー値にして操作ができないよう制御したり、といった検討が必要です。

チームメンバーの棚卸ができない

チームメンバーを条件で管理をしているため、棚卸機能でチームメンバーの追加や削除を行うことはできません。変更申請による条件変更で対応することになります。

棚卸画面でチームメンバーの管理をしたい場合は、静的な構成で組む必要があります。

タイムラグの問題

チーム作成時にチームメンバーが反映されるとは限りません。想定したメンバー構成になるまで待機が必要です。

ただし、こちらはあくまで現状の話です。今後の製品のバージョンアップにより改善されるかもしれません。

おわりに

いくつか考慮事項はありますが、動的グループや棚卸をするためのMicrosoftライセンスがない場合の代替案として検討していただければと思います。

本機能は記事投稿時点の内容であるため、今後のアップデートで機能拡張の可能性があります。選択できる条件の追加、利用者が申請しやすいよう条件の絞り込みや固定化、タイムラグの改善などを個人的には期待しています。