設定動態成員資格

  • 7 分鐘

Microsoft Teams 可藉由使用動態成員資格來支援與 Microsoft 365 群組相關聯的小組。

您可以使用動態成員資格,透過一或多個規則來定義小組成員,以檢查 Microsoft Entra ID 中的特定用戶屬性。 使用者屬性變更或使用者加入及離開租用戶時,系統即會自動新增或移除使用者至指定的小組。 可能的案例包括:

  • 醫院可以為醫生、醫生和醫生建立不同的小組來廣播通訊。 如果醫院依賴臨時員工,這項功能特別重要。
  • 大學可以為學院內的所有教職員建立小組,包括經常變更的附屬教職員。
  • 航空想要為經常變更的航班人員建立小組,以根據需要自動指派或移除。

使用此功能,指定的小組成員會根據一組特定的準則自動更新,而不是手動管理成員資格。

注意事項

使用動態群組需要範圍內任何使用者的 Microsoft Entra ID P1 授權。

動態成員資格變更在 Microsoft 365 群組中為小組生效,可能需要數分鐘到 2 小時的時間來反映動態成員資格變更。 針對小組中的動態群組成員資格,您必須考慮下列事項:

  • 規則可以定義誰是小組的小組成員,但不是小組擁有者。
  • 因為成員是由動態群組規則定義的,所以擁有者將無法新增或移除屬於小組成員的使用者。
  • 成員將無法離開動態群組支援的小組。

管理動態成員資格。

若要在小組中啟用動態成員資格,您必須使用 Microsoft Entra 系統管理中心PowerShell 修改基礎 Microsoft 365 群組成員資格規則。 如果您修改成員資格,將不會變更群組的參照。 如果使用群組來存取動態成員資格規則新增的每個成員,將可以存取群組的資源。

目前沒有直接使用動態成員資格建立小組的方式。 您可以建立小組然後變更相關聯的 Microsoft 365 群組的成員資格規則,或建立具有動態使用者成員資格類型的 Microsoft 365 群組,然後從現有的 Microsoft 365 群組建立小組。

警告

將現有的靜態群組變更為動態群組時,所有現有的成員都會從群組中移除,然後會處理該成員資格規則,以新增成員。 如果群組是用來控制對應用程式或資源的存取,請注意,除非完全處理成員資格規則,否則原始成員可能會失去存取權。 您應該預先測試新的成員資格規則,以確定群組中的成員資格符合預期。

使用 Microsoft Entra 系統管理中心

請執行下列步驟,將現有小組的群組成員資格變更為以規則為基礎的動態成員資格。

  1. 使用 Microsoft Entra 組織中全域管理員、用戶系統管理員或群組系統管理員的帳戶登入 Microsoft Entra 系統管理中心。

  2. 在左窗格功能表中,選取 [群組]

  3. 在 [所有群組] 清單中,開啟您要變更的群組。

  4. 選取 [內容]。 在選取之群組的 [內容] 頁面上,選取動態使用者的成員資格類型。

    Microsoft Entra ID 中成員資格類型的螢幕快照。

  5. 選取 [新增動態查詢],然後提供規則。

    在 Microsoft Entra ID 中新增動態查詢的螢幕快照。

  6. 建立規則之後,按一下 [儲存] 以返回 [屬性] 頁面。

  7. 在群組的 [內容] 頁面上,選取 [儲存] 以儲存您的變更。 群組的 [成員資格類型] 立即會在群組清單中更新。

使用 Microsoft Graph PowerShell

若要變更群組的成員資格類型,請使用 Microsoft Graph PowerShell。

注意: Azure AD 和 MSOnline PowerShell 模組已規劃淘汰,且 PowerShell 命令已變更以反映 Microsoft Graph PowerShell。

使用下列命令,將群組切換為動態成員資格:

Set-MgGroup -Id $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule

若要建立 $groupTypes 變數,您必須取得現有群組的群組類型,並將字串 "dynamicMembership" 新增至該類型。

$groupTypes = (Get-MgGroup -Id $groupId).GroupTypes
$groupTypes.Add("DynamicMembership")

建立動態成員資格規則

您可以從一或多個運算式中建立規則。 單一運算式有屬性運算子值格式。 例如:user.department -eq "Sales"。 如果您想要將多個運算式新增至單一規則,您可以使用同一個運算子將其組合,並將每個運算式保留在各自的括弧中:

(user.department -eq "Sales") -and (user.department -eq "Marketing")

您可以使用三種類型的屬性來建立成員資格規則。

  • 布林值

  • 字串

  • 字串集合

支援的運算子如下:

Operator 語法
不等於 -ne
等於 -eq
開頭非 -notStartsWith
開頭為 -startsWith
不包含 -notContains
包含 -contains
不符合 -notMatch
相符 -match
-in
不包含於 -notIn

運算式中使用的值可能包含數種類型,包括:

  • 字串

  • 布林值 – true、false

  • 數字

  • 陣列 - 數字陣列、字串陣列

在運算式中指定值時,請務必使用正確的語法來避免錯誤。 一些語法提示包括:

  • 除非值為字串,否則雙引號是選擇性。

  • 字串和 RegEx 作業不區分大小寫。

  • 當字串值包含雙引號時,應該使用字元 (“) 逸出這兩個引號,例如,當 ”Sales“ 是值時, user.department -eq "Sales" 這是適當的語法。

  • 您也可以使用 null 做為值來執行 Null 檢查,例如 user.department -eq null

如需詳細資訊,請參閱 Microsoft Entra ID 中群組的動態成員資格規則