スタッフブログ

PowerShell を使用して Microsoft Entra ID の動的セキュリティグループを作成する


皆さんこんにちは。
今週のブログはT.S.が担当させていただきます。

今回は PowerShell を使用した Microsoft Entra ID の動的セキュリティグループの作成についてご紹介します。

通常の AzureAD モジュールでは動的セキュリティグループは作成できない

通常、動的セキュリティグループを作成するコマンドは「New-AzureADMSGroup」を使用します。

Connect-AzureAD でテナントへ接続後、

New-AzureADMSGroup -DisplayName “テスト動的グループ01” -MailNickName “testdynamicgroup01” -SecurityEnabled $true -MailEnabled $false -GroupTypes DynamicMembership -MembershipRule “(user.extensionAttribute1 -contains ‘00000’)” -MembershipRuleProcessingState On

を入力してみます。

上記のように「New-AzureADMSGroup : パラメーター名 ‘MembershipRule’ に一致するパラメーターが見つかりません。」とのエラーが出てしまいます。
New-AzureADMSGroup コマンド自体は使用することは可能ですが、「MembershipRule」パラメータが使用できないということになります。

解決策

通常、Microsoft Entra 関連の設定などを行う際のモジュールは「AzureAD」モジュールを使用していると思います。
しかし、「AzureAD」モジュールは「MembershipRule」パラメータへ対応していないため、「AzureADPreview」モジュールを使用する必要があります。

Install-Module AzureADPreview

上記のコマンドを入力して Preview モジュールをインストールします。

「このシステムですでに使用可能になっています」とのエラーが出た場合は既にインストールされている「AzureAD」モジュールと被りが発生しています。
その場合は既にインストールされている「AzureAD」モジュールをアンインストールし、新たに「AzureADPreview」モジュールをインストールする必要があります。

Uninstall-Module AzureAD

こちらのコマンドを使用して Preview ではない方のモジュールをアンインストールしてください。

気を取り直して再度作成コマンドを実行してみます。

New-AzureADMSGroup -DisplayName “テスト動的グループ01” -MailNickName “testdynamicgroup01” -SecurityEnabled $true -MailEnabled $false -GroupTypes DynamicMembership -MembershipRule “(user.extensionAttribute1 -contains “”00000″”)” -MembershipRuleProcessingState On

うまく実行されていることを確認できました。
念のため、Azure Portal からも見てみましょう。

動的メンバーシップルールも問題なく設定されていることを確認できました。

まとめ

前回、PnP PowerShell での SharePoint 設定をご紹介し、 PowerShell のバージョンによって使用できるパラメータが異なるという内容でしたが、今回はPowerShell の同じモジュールでも Preview を使った方法で使用できるパラメータが異なるという内容でした。
皆さんも「AzureADPreview」モジュールを使用して動的セキュリティグループを作成してみてください!

最後までご覧いただきありがとうございました!!

PnP PowerShell でナビゲーションにリンクを追加する際の注意点