Udostępnij za pośrednictwem

Konfigurowanie dynamicznych grup członkostwa za pomocą atrybutu memberOf w witrynie Azure Portal

  • Artykuł

Ta funkcja w wersji zapoznawczej w usłudze Microsoft Entra ID umożliwia administratorom tworzenie dynamicznych grup członkostwa i jednostek administracyjnych wypełnianych przez dodanie członków innych grup przy użyciu atrybutu memberOf . Aplikacje, które nie mogły odczytać członkostwa opartego na grupach wcześniej w usłudze Microsoft Entra ID, mogą teraz odczytywać całe członkostwo w tych nowych memberOf grupach. Nie tylko te grupy mogą być używane dla aplikacji, ale mogą być również używane do przypisań licencjonowania.

Na poniższym diagramie pokazano, jak można utworzyć grupę dynamiczną-A z elementami członkowskimi security-Group-X i Security-Group-Y. Członkowie grup w grupie Security-Group-X i Security-Group-Y nie stają się członkami grupy Dynamic-Group-A.

Diagram przedstawiający sposób działania atrybutu memberOf.

Dzięki tej wersji zapoznawczej administratorzy mogą konfigurować dynamiczne grupy członkostwa za pomocą atrybutu memberOf w witrynie Azure Portal, programie Microsoft Graph i programie PowerShell. Grupy zabezpieczeń, grupy platformy Microsoft 365 i grupy synchronizowane z lokalna usługa Active Directory mogą być dodawane jako członkowie tych dynamicznych grup członkostwa. Można je również dodać do jednej grupy. Na przykład grupa dynamiczna może być grupą zabezpieczeń, ale możesz użyć grup platformy Microsoft 365, grup zabezpieczeń i grup, które są synchronizowane ze środowiska lokalnego, aby zdefiniować jej członkostwo.

Wymagania wstępne

Aby utworzyć memberOf grupę dynamiczną firmy Microsoft Entra, musisz być co najmniej administratorem użytkowników. Musisz mieć licencję Microsoft Entra ID P1 lub P2 dla dzierżawy firmy Microsoft Entra.

Ograniczenia wersji zapoznawczej

  • Każda dzierżawa firmy Microsoft Entra jest ograniczona do 500 dynamicznych grup członkostwa przy użyciu atrybutu memberOf . Grupy memberOf są wliczane do całkowitego limitu przydziału członków grupy dynamicznej wynoszącym 15 000.
  • Każda grupa dynamiczna może mieć maksymalnie 50 grup członków.
  • Po dodaniu członków grup zabezpieczeń do memberOf dynamicznych grup członkostwa tylko bezpośredni członkowie grupy zabezpieczeń stają się członkami grupy dynamicznej.
  • Nie można użyć jednej memberOf grupy dynamicznej do zdefiniowania członkostwa w innej memberOf grupie dynamicznej. Na przykład grupa dynamiczna A z członkami grupy B i C w niej nie może być członkiem grupy dynamicznej D.
  • Atrybutu memberOf nie można używać z innymi regułami. Na przykład reguła, która zawiera grupę dynamiczną A, powinna zawierać członków grupy B, a także powinna zawierać tylko użytkowników znajdujących się w Redmond, zakończy się niepowodzeniem.
  • Konstruktor reguł grupy dynamicznej i funkcja sprawdzania poprawności nie może być używana memberOf w tej chwili.
  • Atrybut memberOf nie może być używany z innymi operatorami. Na przykład nie można utworzyć reguły, która zawiera "Członkowie grupy A nie mogą znajdować się w grupie dynamicznej B".
  • Użytkownicy uwzględnieni w memberOf grupach członkostwa dynamicznego mogą spowodować wolniejsze przetwarzanie dzierżawy, jeśli dzierżawa ma dużą liczbę grup lub częste aktualizacje grup członkostwa dynamicznego.

Rozpocznij

Tej funkcji można używać w witrynie Azure Portal, programie Microsoft Graph i programie PowerShell. Ponieważ memberOf konstruktor reguł nie jest jeszcze obsługiwany, musisz wprowadzić regułę w edytorze reguł.

Tworzenie grupy dynamicznej memberOf

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
  2. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
  3. Wybierz pozycję Nowa grupa.
  4. Wypełnij szczegóły grupy. Typ grupy może mieć wartość Zabezpieczenia lub Platforma Microsoft 365, a typ członkostwa można ustawić na dynamiczny użytkownik lub urządzenie dynamiczne.
  5. Wybierz pozycję Dodaj zapytanie dynamiczne.
  6. Element MemberOf nie jest jeszcze obsługiwany w konstruktorze reguł. Wybierz pozycję Edytuj , aby zapisać regułę w polu Składnia reguły.
    1. Przykładowa reguła użytkownika: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Przykładowa reguła urządzenia: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Wybierz przycisk OK.
  8. Wybierz pozycję Utwórz grupę.