Настройка групп с динамическим членством с помощью атрибута memberOf в портале Azure

Эта предварительная версия функций в идентификаторе Microsoft Entra позволяет администраторам создавать динамические группы членства и административные единицы, заполняемые добавлением членов других групп с помощью атрибута memberOf . Приложения, которые ранее не могли читать групповое членство в Microsoft Entra ID, теперь могут считывать всё членство в этих новых memberOf группах. Эти группы можно использовать не только для приложений, но и для распределения лицензий.

На следующей схеме показано, как можно создать группу Dynamic-Group-A с членами групп Security-Group-X и Security-Group-Y. Члены групп внутри Security-Group-X и Security-Group-Y не становятся членами Dynamic-Group-A.

С помощью этой предварительной версии администраторы могут настроить динамические группы членства с memberOf атрибутом в портал Azure, Microsoft Graph и PowerShell. Группы безопасности, группы Microsoft 365 и группы, синхронизированные с локальная служба Active Directory, могут быть добавлены в качестве членов этих динамических групп членства. Они также могут быть добавлены в одну группу. Например, динамическая группа может быть группой безопасности, но вы можете использовать группы Microsoft 365, группы безопасности и группы, которые синхронизируются из локальной среды, чтобы определить ее членство.

Предварительные условия

Чтобы использовать атрибут memberOf для создания динамической группы Microsoft Entra, необходимо быть по крайней мере Администратором пользователей. У вас должна быть лицензия Microsoft Entra ID P1 или P2 для клиента Microsoft Entra.

Ограничения предварительной версии

• Каждый клиент Microsoft Entra ограничен 500 динамическими группами членства с помощью атрибута memberOf . Группы memberOf учитываются в общей квоте участников динамической группы, которая составляет 15 000.
• Каждая динамическая группа может содержать до 50 групп членов.
• При добавлении членов групп безопасности в memberOf динамические группы членства только прямые члены группы безопасности становятся членами динамической группы.
• Для определения членства в другой memberOf динамической группе нельзя использовать одну memberOf динамическую группу. Например, Dynamic Group A с членами группы B и C в ней не может быть членом Dynamic Group D.
• Атрибут memberOf нельзя использовать с другими правилами. Например, правило, согласно которому динамическая группа A должна содержать членов группы B, а также должна содержать только пользователей, находящихся в Редмонде, не будет выполнено.
• Построитель правил динамической группы и функция проверки не могут использоваться в настоящее время для memberOf.
• Атрибут memberOf нельзя использовать с другими операторами. Например, нельзя создать правило, которое указывает "Члены группы A не могут находиться в динамической группе B".
• Пользователи, включенные в memberOf динамические группы членства, могут привести к более медленной обработке для вашего клиента, если клиент имеет большое количество групп или частые обновления динамических групп членства.

Начало работы

Эту функцию можно использовать в портал Azure, Microsoft Graph и PowerShell. Так как memberOf в построителе правил еще не поддерживается, необходимо ввести правило в редакторе правил.

Создать динамическую группу memberOf

1. Войдите в центр администрирования Microsoft Entra в качестве администратора пользователя, как минимум.
2. Перейдите к Идентификация>Группы>Все группы.
3. Выберите Создать группу.
4. Укажите сведения о группе. Тип группы может быть Security или Microsoft 365, а для типа членства можно задать динамический пользователь или динамическое устройство.
5. Выберите Добавить динамический запрос.
6. MemberOf пока не поддерживается в построителе правил. Щелкните Изменить, чтобы написать правило в поле Синтаксис правила.
   1. Пример правила пользователя: user.memberof -any (group.objectId -in ['groupId', 'groupId']).
   2. Пример правила устройства: device.memberof -any (group.objectId -in ['groupId', 'groupId']).
7. Нажмите ОК.
8. Щелкните Создать группу.