Konfigurieren von dynamischen Mitgliedschaftsgruppen mit dem Attribut „memberOf“ im Azure-Portal
Diese Funktionsvorschau in Microsoft Entra ID ermöglicht es Administratoren, dynamische Mitgliedschaftsgruppen und Verwaltungseinheiten zu erstellen, die sich durch Hinzufügen von Mitgliedern anderer Gruppen mithilfe des Attributs memberOf
füllen. Apps, die bisher keine gruppenbasierte Mitgliedschaft in Microsoft Entra ID lesen konnten, können jetzt die gesamte Mitgliedschaft dieser neuen memberOf
-Gruppen lesen. Diese Gruppen können nicht nur für Apps, sondern auch zum Zuweisen von Lizenzen verwendet werden.
Im folgenden Diagramm wird veranschaulicht, wie Sie „Dynamic-Group-A“ mit Mitgliedern von „Security-Group-X“ und „Security-Group-Y“ erstellen können. Mitglieder der Gruppen in Security-Group-X und Security-Group-Y werden nicht zu Mitgliedern von Dynamic-Group-A.
Mit dieser Vorschau können Administratoren dynamische Gruppen mit dem memberOf
-Attribut im Azure-Portal sowie mit Microsoft Graph und PowerShell konfigurieren. Sicherheitsgruppen, Microsoft 365-Gruppen und über lokale Active Directory-Instanzen synchronisierte Gruppen können als Mitglieder dieser dynamischen Mitgliedschaftsgruppen hinzugefügt werden. Sie können auch einer einzelnen Gruppe hinzugefügt werden. Beispielsweise könnte es sich bei der dynamischen Gruppe um eine Sicherheitsgruppe handeln, aber Sie können Microsoft 365-Gruppen, Sicherheitsgruppen und über lokale Instanzen synchronisierte Gruppen verwenden, um die Mitgliedschaft zu definieren.
Voraussetzungen
Sie müssen mindestens ein Benutzeradministrator sein, um das memberOf
-Attribut zum Erstellen einer dynamischen Microsoft Entra-Gruppe zu verwenden. Sie benötigen eine Microsoft Entra-ID P1 oder P2-Lizenz für den Microsoft Entra-Mandanten.
Einschränkungen der Vorschau
- Jeder Microsoft Entra-Mandant ist auf 500 dynamische Mitgliedschaftsgruppen mit dem
memberOf
-Attribut beschränkt. DiememberOf
-Gruppen zählen zum gesamten dynamischen Gruppenmitgliedskontingent von 15 000. - Jede dynamische Gruppe kann bis zu 50 Mitgliedergruppen umfassen.
- Wenn Sie Mitglieder von Sicherheitsgruppen zu
memberOf
dynamischen Mitgliedschaftsgruppen hinzufügen, werden nur direkte Mitglieder der Sicherheitsgruppe zu Mitgliedern der dynamischen Gruppe. - Sie können eine dynamische
memberOf
-Gruppe nicht verwenden, um die Mitgliedschaft einer anderen dynamischenmemberOf
-Gruppe zu definieren. So kann beispielsweise die dynamische Gruppe A, der Mitglieder der Gruppen B und C angehören, nicht Mitglied der dynamischen Gruppe D sein. - Das
memberOf
Attribut kann nicht mit anderen Regeln verwendet werden. So schlägt beispielsweise eine Regel fehl, die festlegt, dass die dynamische Gruppe A Mitglieder der Gruppe B enthalten soll und außerdem nur in Redmond befindliche Benutzer enthalten soll. - Der Regel-Generator/die Funktion zum Erstellen und Überprüfen dynamischer Gruppenregeln kann derzeit nicht für
memberOf
verwendet werden. - Das
memberOf
Attribut kann nicht mit anderen Operatoren verwendet werden. Sie können z. B. keine Regel erstellen, die festlegt, dass Mitglieder der Gruppe A nicht Mitglied der dynamischen Gruppe B sein dürfen. - Benutzende, die in
memberOf
dynamischen Mitgliedschaftsgruppen enthalten sind, können zu einer langsameren Verarbeitungszeit für Ihren Mandanten führen, wenn der Mandant über eine große Anzahl von Gruppen oder häufige Aktualisierungen dynamischer Mitgliedschaftsgruppen verfügt.
Erste Schritte
Diese Funktion kann im Azure-Portal, in Microsoft Graph und in PowerShell verwendet werden. Da memberOf
noch nicht im Regel-Generator unterstützt wird, müssen Sie Ihre Regel im Regel-Editor eingeben.
Schritte zum Erstellen einer dynamischen memberOf-Gruppe
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
- Browsen Sie zu Identität>Gruppen>Alle Gruppen.
- Wählen Sie Neue Gruppe aus.
- Geben Sie die Gruppendetails an. Als Gruppentyp können Sie Sicherheit oder Microsoft 365 angeben, und der Mitgliedschaftstyp kann auf Dynamischer Benutzer oder Dynamisches Gerät festgelegt werden.
- Wählen Sie Dynamische Abfrage hinzufügen aus.
- „memberOf“ wird im Regel-Generator noch nicht unterstützt. Wählen Sie Bearbeiten aus, um die Regel in das Feld Regelsyntax zu schreiben.
- Beispiel für eine Benutzerregel:
user.memberof -any (group.objectId -in ['groupId', 'groupId'])
- Beispiel für eine Geräteregel:
device.memberof -any (group.objectId -in ['groupId', 'groupId'])
- Beispiel für eine Benutzerregel:
- Klicken Sie auf OK.
- Wählen Sie Gruppe erstellen aus.