Настройка динамического членства

  • 7 мин

В Microsoft Teams поддерживаются команды, связанные с группами Microsoft 365, путем использования динамического членства.

Динамическое членство можно использовать для определения членов команды с помощью одного или нескольких правил, которые проверяют наличие определенных атрибутов пользователя в идентификаторе Microsoft Entra. Система автоматически добавляет пользователей в нужные команды и удаляет их из команд при изменении атрибутов пользователей, либо когда пользователи присоединяются к клиенту или выходят из его. Возможные сценарии:

  • Больница может создать отдельные команды для медсестер, врачей и хирургов для трансляции сообщений. Эта возможность особенно важна, если больница полагается на временных сотрудников.
  • Университет может создать команду из всех преподавателей одного из факультетов (институтов или колледжей), в том числе для младшего преподавательского состава, который часто меняется.
  • У авиакомпании может возникнуть потребность создать команду из часто меняющегося состава летных экипажей с автоматическим добавлением и удалением пилотов по мере необходимости.

С помощью этой функции состав такой команды автоматически обновляется на основе определенного набора критериев. В этом случае необходимость управлять составом команд вручную отпадает.

Примечание.

Для использования динамических групп требуются лицензии Microsoft Entra ID P1 для всех пользователей в области.

Отражение динамических изменений членства после их вступления в силу в группе Microsoft 365 для команды может занять от нескольких минут до 2 часов. При управлении динамическим составом команд необходимо учитывать следующее:

  • Правила могут определять, кто входит в команду, но не определяют, кто является владельцем команды.
  • Владельцы не смогут добавлять или удалять пользователей в качестве участников команды, поскольку участники определяются правилами динамической группы.
  • Участники не смогут покидать команды, поддерживаемые динамическими группами.

Включить динамическое участие

Чтобы включить динамическое членство в команде, необходимо изменить базовое правило членства в группах Microsoft 365 с помощью Центра администрирования Microsoft Entra или PowerShell. Ссылки на группу не будут изменены при изменении правил участия в ней. Если группа используется для доступа, каждый участник, добавленный правилом динамического участия, получит доступ к ресурсам группы.

В настоящее время нет способа создать команду с динамическим составом участников напрямую. Можно либо создать команду, а затем изменить правило участия в связанной группе Microsoft 365, либо создать группу Microsoft 365 с динамическим типом состава участников, а затем создать команду из существующей группы Microsoft 365.

Предупреждение

При изменении типа существующей группы со статического на динамический все существующие участники удаляются из группы, а затем обрабатывается правило участия в группе, чтобы добавить новых участников. Если группа используется для управления доступом к приложениям или ресурсам, следует помнить, что первоначальные участники могут лишиться доступа, пока не закончится обработка правила участия в группе. Необходимо заранее проверить новое правило участия, чтобы убедиться, что состав участников группы соответствует ожиданиям.

Использование Центра администрирования Microsoft Entra

Выполните следующие действия, чтобы изменить тип участия в группе существующей команды на динамический на основе правил.

  1. Войдите в Центр администрирования Microsoft Entra с учетной записью глобального администратора, администратора пользователей или администратора групп в организации Microsoft Entra.

  2. В меню на панели слева выберите Группы.

  3. Из списка Все группы откройте группу, которую необходимо изменить.

  4. Выберите пункт Свойства. На странице "Свойства" для выбранной группы выберите тип участия динамического пользователя.

    Снимок экрана: тип членства в идентификаторе Microsoft Entra.

  5. Выберите Добавить динамический запрос, а затем укажите правило.

    Снимок экрана: добавление динамического запроса в Идентификатор Microsoft Entra.

  6. После создания правила щелкните сохранить, чтобы вернуться на страницу Свойства.

  7. Выберите Сохранить на странице Свойства для группы, чтобы сохранить изменения. Тип членства группы немедленно обновляется в групповом списке.

Использование Microsoft Graph PowerShell

Чтобы изменить тип членства в группе, используйте Microsoft Graph PowerShell.

Примечание: Модули Azure AD и MSOnline PowerShell планируется устареть, а команды PowerShell были изменены в соответствии с Microsoft Graph PowerShell.

Следующая команда позволяет переключить группу на динамический состав участников:

Set-MgGroup -Id $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule

Чтобы создать переменную $groupTypes, необходимо получить групповые типы существующей группы и добавить к ним строку "dynamicMembership".

$groupTypes = (Get-MgGroup -Id $groupId).GroupTypes
$groupTypes.Add("DynamicMembership")

Создание динамического правила участия

Вы можете создать правило из одного или более выражений. Одно выражение имеет формат Значение у оператора свойства. Пример: user.department -eq "Sales". Если нужно добавить несколько выражений в одно правило, используйте одни те же операторы, чтобы объединить выражения, и оставьте каждое выражение в отдельных скобках:

(user.department -eq "Sales") -and (user.department -eq "Marketing")

Для построения правила участия можно использовать три типа свойств.

  • Boolean

  • Строка

  • Коллекция String

Поддерживаемые операторы:

Описание Синтаксис
Не равно -ne
Равно -eq
Не начинается с -notStartsWith
Начинается с startsWith
Не содержит -notContains
Contains -contains
Не соответствует -notMatch
Соответствует -match
Куда включается -in
Не включается -notIn

В выражении могут использоваться значения нескольких типов, в том числе:

  • Строки

  • Логические значения — истина, ложь

  • Числа

  • Массивы — массив чисел, массив строк

Когда вы указываете значение в выражении, важно использовать правильный синтаксис, чтобы избежать ошибок. Вот некоторые советы по синтаксису:

  • Двойные кавычки необязательны, если значение не является строкой.

  • Операции string и regex нечувствительны к буквенному регистру.

  • Если строковое значение содержит двойные кавычки, обе кавычки следует экранировать с помощью символа ("), например, является правильным синтаксисом, user.department -eq "Sales" если значением является Sales.

  • Можно также проводить проверку на Null, используя null в качестве значения, например: user.department -eq null

Дополнительные сведения см. в разделе Правила динамического членства для групп в Microsoft Entra ID.