Question#30(AZ-500)

Group1 の ID とアクセス要件を満たす必要があります。あなたは何をすべきですか？

A. Group1 にメンバーシップルールを追加する。
B. Group1 を削除する。グループの種類が「Microsoft 365」である Group1 という名前の新しいグループを作成する。ユーザーとデバイスをグループに追加する。
C. Group1 のメンバーシップルールを変更する。
D. Group1 のメンバーシップの種類を「割り当て済み (Assigned)」に変更する。動的メンバーシップを持つ 2 つのグループを作成する。新しいグループを Group1 に追加する。

正解：D

この問題の核心は、「1つの動的グループに、ユーザーとデバイスを混在させることはできない」という Microsoft Entra ID の仕様にあります。

動的グループの制限: 動的グループ（Dynamic Group）を作成する際、そのタイプは「動的ユーザー」か「動的デバイス」のどちらか一方しか選べません。1つのルールで「特定の部署のユーザー」と「特定のOSのデバイス」を同時に自動収集することは不可能です。
入れ子（ネスト）構造による解決: ユーザーとデバイスの両方を1つの単位（Group1）で管理したい場合、以下の手順をとります。
- Group1 自体は「割り当て済み（Assigned）」タイプにする。
- 動的ユーザーグループ（例：Group-Users）を別途作成する。
- 動的デバイスグループ（例：Group-Devices）を別途作成する。
- これら2つのグループを Group1 のメンバーとして追加（ネスト） する。
管理作業の最適化: これにより、ユーザーとデバイスはそれぞれの動的ルールで自動管理されつつ、親グループである Group1 を通じて一括でアクセス権限などを割り当てることが可能になります。

コメント