Azure ADの動的グループをPowerShellで作成する

Azure ADには動的グループと呼ばれるグループがあります。

動的グループは任意の条件を指定することで、その条件を満たすメンバーを動的に管理することが出来ます。

Azure AD管理センターで作成する方法については下記をご参照ください。

Azure ADで動的デバイスグループを作成する

今回は動的グループをPowerShellで作成する方法を紹介します。

1.Azure AD Previewモジュールのインストール
2.動的グループの作成(セキュリティ)
3.動的グループの作成(Microsoft 365)

1.Azure AD Previewモジュールのインストール

通常のAzure ADグループを作成するには「New-AzureADGroup」コマンドを使用します。

しかし、動的グループを作成する場合は「New-AzureADMSGroup」コマンドを使用する必要があります。

また、「New-AzureADMSGroup」コマンドは「Azure ADモジュール」でも利用出来ますが、「MembershipRule」オプションが使えません。

そのため、「Azure ADモジュール」ではなく、「Azure AD Previewモジュール」を利用します。

下記のコマンドでAzure AD Previewモジュールをインストールします。

Install-Module AzureADPreview

下記のエラーが表示された場合、既にAzure ADモジュールがインストールされていてコマンドが競合しています。

PackageManagement\Install-Package : 以下のコマンドは、このシステムで既に使用可能になっています:

競合した場合は、Azure ADモジュールをアンインストールし、Azure AD Previewモジュールを再インストールします。

Uninstall-Module AzureAD

また、アンインストール時に下記のエラーが表示されたら、「Disconnect-AzureAD」で切断し、PowerShellを再起動します。

警告: バージョン ‘2.0.2.140’ のモジュール ‘AzureAD’ は現在使用中です。アプリケーションを終了した後で、操作をやり直してください。
PackageManagement\Uninstall-Package : モジュール ‘AzureAD’ は現在使用中か、必要なアクセス許可がありません。

2.動的グループの作成(セキュリティ)

下記のコマンドでセキュリティグループの動的グループを作成します。

なお、現在(2021/09/29時点)では「MailEnabled」は「false」しか設定出来ません。

New-AzureADMSGroup -DisplayName “<表示名>” -MailEnabled $false -MailNickname “<MailNickname>” -SecurityEnabled $true -GroupTypes “DynamicMembership” -MembershipRule ‘<ルール条件>’ -MembershipRuleProcessingState “On”

ルール条件はAzure AD管理センターで作成し、確認することも出来ます。

また、ルール条件次第で、動的ユーザーグループでも動的デバイスグループでも同じコマンドで作成することが出来ます。

3.動的グループの作成(Microsoft 365)

下記のコマンドでMicrosoft 365グループの動的グループを作成します。

New-AzureADMSGroup -DisplayName “<表示名>” -MailEnabled $false -MailNickname “<MailNickname>” -SecurityEnabled $true -GroupTypes @(“DynamicMembership”,”Unified”) -MembershipRule ‘<ルール条件>’ -MembershipRuleProcessingState “On” -Visibility “Private”

「Visibility」を「Hiddenmembership」に設定する場合は、「SecurityEnabled」を「false」に設定します。

※「Visibility」はセキュリティグループには関係ありません

New-AzureADMSGroup -DisplayName “<表示名>” -MailEnabled $false -MailNickname “<MailNickname>” -SecurityEnabled $false -GroupTypes @(“DynamicMembership”,”Unified”) -MembershipRule ‘<ルール条件>’ -MembershipRuleProcessingState “On” -Visibility “Hiddenmembership”

動的グループをPowerShellで作成する方法は以上です。