Udostępnij za pośrednictwem

Konfigurowanie dynamicznych grup członkostwa za pomocą atrybutu memberOf w witrynie Azure Portal

  • Artykuł

Ta funkcja w wersji zapoznawczej w usłudze Microsoft Entra ID umożliwia administratorom tworzenie dynamicznych grup członkostwa i jednostek administracyjnych wypełnianych przez dodanie członków innych grup przy użyciu atrybutu memberOf . Aplikacje, które nie mogły odczytać członkostwa opartego na grupach wcześniej w usłudze Microsoft Entra ID, mogą teraz odczytywać całe członkostwo w tych nowych memberOf grupach. Nie tylko te grupy mogą być używane do aplikacji, ale mogą być również używane do przypisywania licencji.

Na poniższym diagramie pokazano, jak można utworzyć Dynamic-Group-A z członkami Security-Group-X i Security-Group-Y. Członkowie grup w grupie Security-Group-X i Security-Group-Y nie stają się członkami grupy Dynamic-Group-A.

Diagram przedstawiający sposób działania atrybutu memberOf.

Dzięki tej wersji zapoznawczej administratorzy mogą konfigurować dynamiczne grupy członkostwa za pomocą atrybutu memberOf w witrynie Azure Portal, programie Microsoft Graph i programie PowerShell. Grupy zabezpieczeń, grupy platformy Microsoft 365 i grupy synchronizowane z lokalna usługa Active Directory mogą być dodawane jako członkowie tych dynamicznych grup członkostwa. Można je również dodać do jednej grupy. Na przykład grupa dynamiczna może być grupą zabezpieczeń, ale możesz użyć grup platformy Microsoft 365, grup zabezpieczeń i grup, które są synchronizowane ze środowiska lokalnego, aby zdefiniować jej członkostwo.

Wymagania wstępne

Aby użyć atrybutu memberOf do utworzenia dynamicznej grupy Microsoft Entra, musisz być co najmniej administratorem użytkowników. Musisz mieć licencję Microsoft Entra ID P1 lub P2 za tenant Microsoft Entra.

Ograniczenia wersji zapoznawczej

  • Każda dzierżawa Microsoft Entra jest ograniczona do 500 dynamicznych grup członkowskich przy użyciu atrybutu memberOf. Grupy memberOf są wliczane do całkowitej kwoty członków grupy dynamicznej wynoszącej 15 000.
  • Każda grupa dynamiczna może mieć maksymalnie 50 grup członków.
  • Po dodaniu członków grup zabezpieczeń do memberOf dynamicznych grup członkostwa tylko bezpośredni członkowie grupy zabezpieczeń stają się członkami grupy dynamicznej.
  • Nie można użyć jednej memberOf grupy dynamicznej do zdefiniowania członkostwa w innej memberOf grupie dynamicznej. Na przykład grupa dynamiczna A z członkami grupy B i C w niej nie może być członkiem grupy dynamicznej D.
  • Atrybutu memberOf nie można używać z innymi regułami. Na przykład reguła, która dotyczy grupy dynamicznej A, powinna zawierać członków grupy B, a także tylko użytkowników znajdujących się w Redmond, będzie nieskuteczna.
  • Konstruktor reguł grupy dynamicznej i funkcja sprawdzania poprawności nie mogą być używane memberOf w tej chwili.
  • Atrybut memberOf nie może być używany z innymi operatorami. Na przykład nie można utworzyć reguły, która zawiera "Członkowie grupy A nie mogą znajdować się w grupie dynamicznej B".
  • Użytkownicy uwzględnieni w memberOf grupach członkostwa dynamicznego mogą powodować wolniejsze przetwarzanie w obrębie dzierżawy, jeśli dzierżawa zawiera dużą liczbę grup lub często aktualizowane grupy członkostwa dynamicznego.

Rozpocznij

Tej funkcji można używać w witrynie Azure Portal, programie Microsoft Graph i programie PowerShell. Ponieważ konstruktor reguł memberOf nie jest jeszcze obsługiwany, musisz wprowadzić regułę w edytorze reguł.

Utwórz dynamiczną grupę memberOf

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
  2. Przejdź do Tożsamość>Grupy>Wszystkie grupy.
  3. Wybierz pozycję Nowa grupa.
  4. Wypełnij szczegóły grupy. Typ grupy może mieć Zabezpieczenia lub Microsoft 365, a typ członkostwa można ustawić na dynamiczny użytkownik lub dynamiczne urządzenie.
  5. Wybierz pozycję Dodaj zapytanie dynamiczne.
  6. Element MemberOf nie jest jeszcze obsługiwany w konstruktorze reguł. Wybierz pozycję Edytuj , aby zapisać regułę w polu Składnia reguły.
    1. Przykładowa reguła użytkownika: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Przykładowa reguła urządzenia: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Wybierz przycisk OK.
  8. Wybierz pozycję Utwórz grupę.