ある企業が Entra ID で部署ごとにセキュリティグループを管理している。「部署属性が Sales に設定されているユーザー」を常にメンバーとして自動反映させたい。退職や部署異動があっても管理者が手動でグループを更新しなくて済む仕組みとして最も適切なものはどれか。
- A. 割り当て済みグループを作成し、HR 担当者が部署変更のたびに手動でメンバーを更新する
- B. メールが有効なセキュリティグループを作成し、配布リストとして使用する
- C. Microsoft 365 グループを作成し、Teams チャネルと連携させてメンバーを管理する
- D. 動的ユーザーグループを作成し、メンバーシップルールに「user.department -eq "Sales"」を設定する
解答と解説を見る
正解: D
Entra ID の動的グループ(Dynamic group)は、ユーザー属性に基づくメンバーシップルールを設定すると、ルール条件に合致するユーザーが自動的に追加・削除される。部署属性の変更や退職を HR システムと連携させれば管理者の手動操作は不要になる。これには Entra ID P1 以上のライセンスが必要。選択肢Aの割り当て済みグループは手動管理のため運用負荷が残る。選択肢Bのメール対応セキュリティグループは配布目的が主で、属性ベースの自動メンバー管理機能はない。選択肢CのMicrosoft 365 グループは Teams との連携に使われるが、部署属性による動的メンバーシップが要件のコアであり、動的セキュリティグループが最適。