Vytvoření nebo aktualizace dynamické skupiny členství v Microsoft Entra ID

  • Článek

Pravidla můžete použít k určení dynamických skupin členství na základě vlastností uživatele nebo zařízení v Microsoft Entra ID, součást Microsoft Entra. V tomto článku se dozvíte, jak nastavit pravidlo pro dynamické skupiny členství na webu Azure Portal.

Členství ve skupinách na základě vlastností uživatele nebo zařízení je podporováno pro skupiny zabezpečení a skupiny Microsoftu 365. Když použijete pravidlo pro dynamickou skupinu členství, vyhodnotí se atributy uživatele a zařízení pro shody s pravidlem členství. Když se atribut změní pro uživatele nebo zařízení, zpracují se u změn všechna pravidla pro dynamické skupiny členství v organizaci. Uživatelé a zařízení se přidají nebo odeberou, pokud splňují podmínky pro dynamickou skupinu členství. V Microsoft Entra může mít jeden tenant maximálně 15 000 dynamických skupin členství.

Poznámka:

Skupiny zabezpečení se dají používat pro zařízení nebo uživatele, ale skupiny Microsoftu 365 můžou zahrnovat jenom uživatele.

Používání dynamických skupin členství vyžaduje licenci Microsoft Entra ID P1 nebo licenci Intune for Education. Další podrobnosti najdete v tématu Správa pravidel pro dynamické skupiny členství v MICROSOFT Entra ID .

Tvůrce pravidel na webu Azure Portal

Microsoft Entra ID poskytuje tvůrci pravidel pro vytváření a aktualizaci důležitých pravidel rychleji. Tvůrce pravidel podporuje konstrukci až pět výrazů. Tvůrce pravidel usnadňuje vytvoření pravidla s několika jednoduchými výrazy, ale nedá se použít k reprodukci každého pravidla. Pokud tvůrce pravidel nepodporuje pravidlo, které chcete vytvořit, můžete použít textové pole.

Tady je několik příkladů pokročilých pravidel nebo syntaxe, pro které doporučujeme vytvořit pomocí textového pole:

  • Pravidlo s více než pěti výrazy
  • Pravidlo přímých sestav
  • Priorita operátoru nastavení
  • Pravidla se složitými výrazy, například (user.proxyAddresses -any (_ -contains "contoso"))

Poznámka:

Tvůrce pravidel nemusí být schopen zobrazit některá pravidla konstruovaná v textovém poli. Pokud tvůrce pravidel nemůže pravidlo zobrazit, může se zobrazit zpráva. Tvůrce pravidel nijak nemění podporovanou syntaxi, ověřování ani zpracování pravidel pro dynamické skupiny členství.

Snímek obrazovky znázorňující stránku pravidel pro dynamické skupiny členství s akcí Přidat výraz na kartě Konfigurovat pravidla

Příklady syntaxe, podporovaných vlastností, operátorů a hodnot pro pravidlo členství najdete v tématu Správa pravidel pro dynamické skupiny členství v Microsoft Entra ID.

Vytvoření pravidla pro dynamickou skupinu členství

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce skupin.

  2. Vyberte MICROSOFT Entra ID.>Skupiny.

  3. Vyberte Všechny skupiny a vyberte Nová skupina.

    Snímek obrazovky znázorňující, jak vybrat akci Přidat novou skupinu

  4. Na stránce Skupina zadejte název a popis nové skupiny. Vyberte typ členství pro uživatele nebo zařízení a pak vyberte Přidat dynamický dotaz. Tvůrce pravidel podporuje až pět výrazů. Pokud chcete přidat více než pět výrazů, musíte použít textové pole.

    Snímek obrazovky znázorňující stránku Všechny skupiny s vybranou akcí Nová skupina

  5. Zobrazení vlastních vlastností rozšíření dostupných pro dotaz členství:

    1. Výběr možnosti Získat vlastní vlastnosti rozšíření
    2. Zadejte ID aplikace a pak vyberte Aktualizovat vlastnosti.

  6. Po vytvoření pravidla vyberte Uložit.

  7. Výběrem možnosti Vytvořit na stránce Nová skupina vytvořte skupinu.

Pokud zadané pravidlo není platné, zobrazí se v oznámení na portálu vysvětlení, proč se pravidlo nepodařilo zpracovat. Přečtěte si ho pečlivě, abyste pochopili, jak pravidlo opravit.

Aktualizace existujícího pravidla

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce skupin.

  2. Vyberte Microsoft Entra ID.

  3. Vyberte Skupiny>Všechny skupiny.

  4. Vyberte skupinu, aby se otevřel její profil.

  5. Na stránce profilu skupiny vyberte pravidla dynamického členství. Tvůrce pravidel podporuje až pět výrazů. Pokud chcete přidat více než pět výrazů, musíte použít textové pole.

    Snímek obrazovky znázorňující, jak přidat pravidlo pro dynamickou skupinu členství

  6. Zobrazení vlastních vlastností rozšíření dostupných pro vaše pravidlo členství:

    1. Výběr možnosti Získat vlastní vlastnosti rozšíření
    2. Zadejte ID aplikace a pak vyberte Aktualizovat vlastnosti.

  7. Po aktualizaci pravidla vyberte Uložit.

Zapnutí nebo vypnutí uvítacího e-mailu

Po vytvoření nové skupiny Microsoft 365 se uživatelům přidaným do skupiny pošle uvítací e-mailové oznámení. Pokud se později změní některé atributy uživatele nebo zařízení (pouze v případě skupin zabezpečení), zpracují se pro změny všechna pravidla pro dynamické skupiny členství v organizaci. Uživatelé, kteří jsou přidáni, pak obdrží také uvítací oznámení. Toto chování můžete vypnout v Prostředí Exchange PowerShell.

Kontrola stavu zpracování pravidla

Stav zpracování pravidel a datum poslední změny členství můžete zobrazit na stránce Přehled skupiny dynamického členství.

Snímek obrazovky s diagramem stavu dynamické skupiny členství

Pro stav dynamického zpracování pravidel se dají zobrazit následující stavové zprávy:

  • Vyhodnocení: Změna skupiny byla přijata a aktualizace se vyhodnocují.
  • Zpracování: Probíhá zpracování aktualizací.
  • Aktualizace dokončena: Zpracování bylo dokončeno a všechny příslušné aktualizace byly provedeny.
  • Chyba zpracování: Zpracování nebylo možné dokončit kvůli chybě při vyhodnocování pravidla členství.
  • Aktualizace byla pozastavena: Správce pozastavil pravidlo pro aktualizace dynamické skupiny členství. Vlastnost MembershipRuleProcessingState je nastavená na Pozastaveno.
  • Nezačala: Zpracování ještě není spuštěno.

Poznámka:

Na této obrazovce se teď můžete také rozhodnout pozastavit zpracování. Dříve byla tato možnost k dispozici pouze prostřednictvím změny membershipRuleProcessingState vlastnost. Ti, kteří mají přiřazenou alespoň roli správce skupin, můžou toto nastavení spravovat a můžou pozastavit a obnovit zpracování dynamické skupiny členství. Vlastníci skupin bez správných rolí nemají práva potřebná k úpravám tohoto nastavení.

Následující stavové zprávy se dají zobrazit pro stav poslední změny členství:

  • <Datum a čas>: Čas poslední aktualizace členství
  • Probíhá: Aktuálně probíhají aktualizace.
  • Neznámé: Čas poslední aktualizace nelze načíst. Skupina může být nová.

Důležité

Po pozastavení a zrušení zpracování dynamických skupin členství se v datu Poslední změna členství zobrazí hodnota zástupného symbolu. Tato hodnota se po dokončení zpracování aktualizuje.

Pokud při zpracování pravidla členství pro konkrétní skupinu dojde k chybě, zobrazí se v horní části stránky Přehled skupiny upozornění. Pokud není možné zpracovat žádné čekající aktualizace skupin dynamického členství pro všechny skupiny v organizaci po dobu delší než 24 hodin, zobrazí se v horní části všech skupin upozornění.

Snímek obrazovky znázorňující postup zpracování upozornění na chybovou zprávu

Další kroky

Následující články obsahují další informace o tom, jak používat skupiny v ID Microsoft Entra.