Поделиться через

Создание или обновление динамической группы членства в идентификаторе Microsoft Entra

  • Статья

Вы можете использовать правила для определения динамических групп участников на основе свойств пользователя или устройства в Microsoft Entra ID, части Microsoft Entra. В этой статье описывается настройка правила для групп с динамическим членством в портале Azure.

Членство в группах на основе свойств пользователей или устройств поддерживается для групп безопасности и групп Microsoft 365. При применении правила для динамической группы членства атрибуты пользователей и устройств оцениваются для совпадений с правилом членства. При изменении атрибута для пользователя или устройства все правила для динамических групп членства в организации обрабатываются для внесения изменений. Пользователи и устройства добавляются или удаляются, если они соответствуют условиям динамической группы членства. В Microsoft Entra один клиент может иметь не более 15 000 динамических групп членства.

Примечание.

Группы безопасности можно использовать для устройств или пользователей, но группы Microsoft 365 могут включать только пользователей.

Для использования динамических групп членства требуется лицензия Microsoft Entra ID P1 или Лицензия Intune для образовательных учреждений. Дополнительные сведения см. в разделе Управление правилами для групп с динамическим членством в Microsoft Entra ID для получения более подробной информации.

Построитель правил на портале Azure

Идентификатор Microsoft Entra предоставляет построитель правил для быстрого создания и обновления важных правил. Построитель правил позволяет создавать до пяти выражений. Построитель правил упрощает составление правил с использованием нескольких простых выражений, однако его невозможно использовать для воспроизведения каждого правила. Если построитель правил не поддерживает правило, которое требуется создать, можно воспользоваться текстовым полем.

Вот несколько примеров сложных правил или синтаксиса, построение которых рекомендуется выполнять с использованием текстового поля.

Примечание.

Построитель правил, возможно, не сможет отобразить некоторые правила, составленные с помощью текстового поля. Если построитель правил не сможет отобразить правило, возможно, отобразится соответствующее сообщение. Построитель правил не изменяет поддерживаемый синтаксис, проверку или обработку правил для динамических групп членства каким-либо образом.

снимок экрана, на котором показаны правила для динамических групп членства с действием

Примеры синтаксиса, поддерживаемых свойств, операторов и значений правила членства см. в разделе "Управление правилами для динамических групп членства" в идентификаторе Microsoft Entra ID.

Создать правило для динамически формируемой группы участников

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Выберите идентификатор Microsoft Entra.>Группы.

  3. Выберите Все группы, а затем — Новая группа.

    Снимок экрана: выбор действия

  4. На странице Группа введите имя и описание новой группы. Выберите Тип членства — пользователи или устройства — и нажмите кнопку Добавить динамический запрос. Построитель правил поддерживает до пяти выражений. Чтобы добавить больше пяти выражений, используйте текстовое поле.

    Снимок экрана: страница

  5. Для просмотра свойств пользовательского расширения, доступных для запроса членства, выполните следующие действия.

    1. Выберите пункт Получить настраиваемые свойства расширения.
    2. Введите идентификатор приложения и выберите Обновить свойства.

  6. После создания правила нажмите кнопку Сохранить.

  7. Выберите Создать на странице Новая группа, чтобы создать группу.

Если введенное правило недопустимо, объяснение того, почему правило не удалось обработать, отображается в уведомлении на портале. Прочтите его внимательно, чтобы понять, как исправить правило.

Обновление существующего правила

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Выберите Microsoft Entra ID.

  3. Выберите Группы>Все группы.

  4. Выберите группу, чтобы открыть ее профиль.

  5. На странице профиля группы выберите Правила динамического членства. Построитель правил поддерживает до пяти выражений. Чтобы добавить больше пяти выражений, используйте текстовое поле.

    Скриншот, показывающий, как добавить правило для группы с динамическим членством.

  6. Для просмотра свойств пользовательского расширения, доступных для вашего правила членства:

    1. Выберите пункт Получить настраиваемые свойства расширения.
    2. Введите идентификатор приложения и выберите Обновить свойства.

  7. После обновления правила нажмите кнопку Сохранить.

Включить или отключить отправку приветственного сообщения электронной почты

При создании группы Microsoft 365 добавленными в группу пользователям отправляется приветствие по электронной почте. Позже, если любые атрибуты пользователя или устройства (только для групп безопасности) изменяются, все правила для динамических групп членства в организации обрабатываются для внесения изменений. После этого добавляемым пользователям также отправляются приветственные уведомления. Такое поведение можно отключить в Exchange PowerShell.

Проверка состояния обработки правила

Состояние обработки правил и дата последнего изменения членства отображаются на странице обзора для динамической группы членства.

Снимок экрана: схема состояния динамической группы членства.

Для состояния Обработка динамического правила могут отображаться следующие сообщения о состоянии:

  • Оценка: изменение группы получено и обновления оцениваются.
  • Обработка — обновления обрабатываются.
  • обновление завершено: обработка завершена, и все применимые обновления сделаны.
  • Ошибка обработки — невозможно выполнить обработку из-за ошибки при вычислении правила членства.
  • обновление приостановлено: правило для обновлений динамической группы членства приостановлено администратором. MembershipRuleProcessingState имеет статус "Приостановлено".
  • Не запущена: обработка еще не запущена.

Примечание.

На этом экране теперь можно также выбрать приостановку обработки. Ранее этот параметр был доступен только при изменении свойства membershipRuleProcessingState. Те, кто назначен по крайней мере роль администратора групп, могут управлять этим параметром и могут приостановить и возобновить динамическую обработку групп членства. Владельцы групп без правильных ролей не имеют прав, необходимых для изменения этого параметра.

Для состояния Последнее изменение членства могут отображаться следующие сообщения о состоянии:

  • < Дата и время> — время последнего обновления членства.
  • В процессе: обновления в процессе выполнения.
  • Неизвестно — не удается получить время последнего обновления. Возможно, группа новая.

Внимание

После приостановки и возобновления обработки динамических групп членства дата "Последнее изменение членства" будет отображать значение-заполнитель. Это значение обновляется после завершения обработки.

Если произошла ошибка при обработке правила членства для конкретной группы, отображается предупреждение в верхней части страницы "Обзор" для группы. Если ожидающие обновления динамических групп членства не могут обрабатываться для всех групп в организации в течение более 24 часов, в верхней части всех групп отображается оповещение.

Снимок экрана: обработка оповещений об ошибке.

Следующие шаги

В следующих статьях содержатся дополнительные сведения об использовании групп в идентификаторе Microsoft Entra.