Freigeben über


Erstellen und Verwalten von dynamischen Mitgliedschaftsgruppen für die B2B-Zusammenarbeit in der externen Microsoft Entra-ID

Gilt für: Grüner Kreis mit weißem Häkchen. Mitarbeitermandanten Weißer Kreis mit grauem X-Symbol. Externe Mandanten (weitere Informationen)

Was sind dynamische Mitgliedergruppen?

Eine dynamische Mitgliedergruppe ist eine sicherheitsbasierte Konfiguration für Microsoft Entra, die im Microsoft Entra Admin Center verfügbar ist. Administrierende können Regeln festlegen, um dynamische Mitgliedergruppen zu erstellen, die in Microsoft Entra ID auf der Grundlage von Benutzerattributen (wie userType, Abteilung oder Land/Region) erstellt werden. Mitglieder können auf der Grundlage ihrer Attribute automatisch zu einer Sicherheitsgruppe hinzugefügt oder daraus entfernt werden. Diese Gruppen können Zugriff auf Anwendungen oder Cloudressourcen (SharePoint-Websites, Dokumente) gewähren oder den Mitgliedern Lizenzen zuweisen. Weitere Informationen zu dedizierten Gruppen finden Sie unter Microsoft Entra ID.

Voraussetzungen

Microsoft Entra ID P1- oder P2-Lizenzen sind erforderlich, um dynamische Mitgliedergruppen zu erstellen und zu verwenden. Erfahren Sie mehr unter Erstellen attributbasierter Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.

Erstellen einer dynamischen Gruppe „Alle Benutzer“

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Benutzern innerhalb eines Mandanten erstellen. Wenn Benutzer in Zukunft zum Mandanten hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.

  2. Navigieren Sie zu Identität>Gruppen>Alle Gruppen, und wählen Sie dann Neue Gruppe aus.

  3. Wählen Sie auf der Seite Neue Gruppe unter Gruppentyp die Option Sicherheit aus. Geben Sie einen Gruppennamen und eine Gruppenbeschreibung für die neue Gruppe ein.

  4. Wählen Sie unter Mitgliedschaftstyp die Option Dynamischer Benutzer und dann Dynamische Abfrage hinzufügen aus.

  5. Wählen Sie über dem Textfeld Regelsyntax den Befehl Bearbeiten aus. Geben Sie auf der Seite Regelsyntax bearbeiten den folgenden Ausdruck im Textfeld ein:

    user.objectId -ne null
    
  6. Klicken Sie auf OK. Die Regel wird im Feld „Regelsyntax“ angezeigt:

    Screenshot: Regelsyntax für dynamische Gruppe „Alle Benutzer“

  7. Wählen Sie Speichern aus. Die neue dynamische Gruppe enthält jetzt B2B-Gastbenutzer und Mitgliedsbenutzer.

  8. Wählen Sie auf der Seite Neue Gruppe die Option Erstellen aus, um die Gruppe zu erstellen.

Erstellen einer Gruppe nur für Mitglieder

Wenn in einer Gruppe Gastbenutzer ausgeschlossen und nur Mitglieder des Mandanten enthalten sein sollen, erstellen Sie eine dynamische Gruppe (wie zuvor beschrieben), geben aber im Feld Regelsyntax den folgenden Ausdruck ein:

(user.objectId -ne null) and (user.userType -eq "Member")

Die folgende Abbildung zeigt die Regelsyntax für eine modifizierte dynamische Gruppe, die nur Mitglieder enthält und Gastbenutzer ausschließt.

Screenshot: Regelsyntax, bei der der Benutzertyp gleich „Mitglied“ ist

Erstellen einer Gruppe nur für Gäste

Unter Umständen empfiehlt es sich auch, eine neue dynamische Gruppe zu erstellen, die nur Gastbenutzer enthält, um Richtlinien auf sie anwenden zu können (etwa Microsoft Entra-Richtlinien für den bedingten Zugriff). Erstellen Sie eine dynamische Gruppe (wie zuvor beschrieben), geben aber im Feld Regelsyntax den folgenden Ausdruck ein:

(user.objectId -ne null) and (user.userType -eq "Guest")

Die folgende Abbildung zeigt die Regelsyntax für eine modifizierte dynamische Gruppe, die nur Gäste enthält und Mitgliederbenutzer ausschließt.

Screenshot: Regelsyntax, bei der der Benutzertyp gleich „Gast“ ist

Nächste Schritte