[EMS] グループベースのライセンスによるライセンスの自動付与

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。セキュリティ製品 担当の鈴木です。

Office 365 などのライセンスの割り当て。皆様はどのように行っていますでしょうか。
ユーザーが多い場合、PowerShell を利用して自動割り当てを行っている方が大半ではないかと思います。しかし、少し前にAzure AD のセキュリティグループ（以下、グループ）のユーザーにライセンスを自動的に付与する機能が実装され 、 PowerShell のようなバッチ処理を行わなくてもユーザーにライセンスを割り当ていることができるようになりました。

現在 Office 365 を利用している方は、ユーザー管理をAzure AD と同期しているオンプレミス側の Active Directory で行っている人が多いのではないでしょうか。その場合このユーザー管理の仕組みをうまく使うことでライセンス管理を自動化することができます。

オンプレミスのADに「O365 Users」や「EMS Users」などのグループを作成してそこに利用するユーザーをあらかじめ割り当てていたり、それに近い構成になっている場合、そのグループにライセンスの割り当てを行ないます。これにより、PowerShellを利用しなくてもライセンスの割り当てができます。
図にすると以下のような形です。

より複雑に条件に対応した設定を行いたい場合、もう一つ方法があります。
Azure AD の グループには Dynamic Group があります。これはユーザーの属性を利用して動的にグループのユーザーを割り当てる機能です。例えば、Active Directory の拡張プロパティ（ extensionAttribute1 など）に ”O365" , "EMS" などの文字列を入れておき、Azure AD 側のDynamic Groupで「O365 Users」や「EMS Users」などのグループにユーザーを割り当てます。これによって同時に各ライセンスを付与します。

Azure AD の各種機能を利用するとグループというのは重要な要素になります。例えば SaaS 連携で SSO の設定をするときにユーザー範囲をグループで指定します。また条件付きアクセスを利用する時にも適用範囲をグループで指定します。このように何らかの形でユーザはAzure ADのグループに割り当てられていることになります。
この Azure AD グループを利用したライセンスの割り当ては一度設定してしてしまえば PowerShell の実行用の管理権限を持ったユーザーの定期的なアクセスがなくてもライセンス割り当てができます。
Azure AD Premium2のPIMの機能と組み合わせると、スクリプトを実行する永続的な管理者を置かなくてもよくなり、セキュリティの向上にもつながります。

ただ、制限事項もあります。詳細はこちらにありますが、その中でも階層化されたグループでは指定された最上位のグループにしか適用されないのには注意が必要です。

そのほかにも、この機能は工夫次第でいろいろ応用が利きます。
是非この機能を活用して Azure AD のライセンス管理をご検討ください。

参考情報
Azure Active Directory のグループベースのライセンスの基礎
/ja-jp/azure/active-directory/active-directory-licensing-whatis-azure-portal
グループベースのライセンスを動的グループとともに使用する
/ja-jp/azure/active-directory/active-directory-licensing-group-advanced#use-group-based-licensing-with-dynamic-groups
グループを使用する際のシナリオ、制限、および既知の問題
/ja-jp/azure/active-directory/active-directory-licensing-group-advanced#limitations-and-known-issues