Erstellen und Verwalten dynamischer Mitgliedergruppen für die B2B-Zusammenarbeit in Microsoft Entra External ID
Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)
Was sind dynamische Mitgliedergruppen?
Eine dynamische Mitgliedergruppe ist eine sicherheitsbasierte Konfiguration für Microsoft Entra, die im Microsoft Entra Admin Center verfügbar ist. Administrierende können Regeln festlegen, um dynamische Mitgliedergruppen zu erstellen, die in Microsoft Entra ID auf der Grundlage von Benutzerattributen (wie userType, Abteilung oder Land/Region) erstellt werden. Mitglieder können auf der Grundlage ihrer Attribute automatisch zu einer Sicherheitsgruppe hinzugefügt oder daraus entfernt werden. Diese Gruppen können Zugriff auf Anwendungen oder Cloudressourcen (SharePoint-Websites, Dokumente) gewähren oder den Mitgliedern Lizenzen zuweisen. Weitere Informationen zu dedizierten Gruppen finden Sie unter Microsoft Entra ID.
Voraussetzungen
Microsoft Entra ID P1- oder P2-Lizenzen sind erforderlich, um dynamische Mitgliedergruppen zu erstellen und zu verwenden. Erfahren Sie mehr unter Erstellen attributbasierter Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.
Erstellen einer dynamischen Gruppe „Alle Benutzer“
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Benutzern innerhalb eines Mandanten erstellen. Wenn Benutzer in Zukunft zum Mandanten hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
Navigieren Sie zu Identität>Gruppen>Alle Gruppen, und wählen Sie dann Neue Gruppe aus.
Wählen Sie auf der Seite Neue Gruppe unter Gruppentyp die Option Sicherheit aus. Geben Sie einen Gruppennamen und eine Gruppenbeschreibung für die neue Gruppe ein.
Wählen Sie unter Mitgliedschaftstyp die Option Dynamischer Benutzer und dann Dynamische Abfrage hinzufügen aus.
Wählen Sie über dem Textfeld Regelsyntax den Befehl Bearbeiten aus. Geben Sie auf der Seite Regelsyntax bearbeiten den folgenden Ausdruck im Textfeld ein:
user.objectId -ne null
Klicken Sie auf OK. Die Regel wird im Feld „Regelsyntax“ angezeigt:
Wählen Sie Speichern aus. Die neue dynamische Gruppe enthält jetzt B2B-Gastbenutzer und Mitgliedsbenutzer.
Wählen Sie auf der Seite Neue Gruppe die Option Erstellen aus, um die Gruppe zu erstellen.
Erstellen einer Gruppe nur für Mitglieder
Wenn in einer Gruppe Gastbenutzer ausgeschlossen und nur Mitglieder des Mandanten enthalten sein sollen, erstellen Sie eine dynamische Gruppe (wie zuvor beschrieben), geben aber im Feld Regelsyntax den folgenden Ausdruck ein:
(user.objectId -ne null) and (user.userType -eq "Member")
Die folgende Abbildung zeigt die Regelsyntax für eine modifizierte dynamische Gruppe, die nur Mitglieder enthält und Gastbenutzer ausschließt.
Erstellen einer Gruppe nur für Gäste
Unter Umständen empfiehlt es sich auch, eine neue dynamische Gruppe zu erstellen, die nur Gastbenutzer enthält, um Richtlinien auf sie anwenden zu können (etwa Microsoft Entra-Richtlinien für den bedingten Zugriff). Erstellen Sie eine dynamische Gruppe (wie zuvor beschrieben), geben aber im Feld Regelsyntax den folgenden Ausdruck ein:
(user.objectId -ne null) and (user.userType -eq "Guest")
Die folgende Abbildung zeigt die Regelsyntax für eine modifizierte dynamische Gruppe, die nur Gäste enthält und Mitgliederbenutzer ausschließt.