Konfigurace dynamických skupin členství s atributem memberOf na webu Azure Portal

  • Článek

Tato funkce ve verzi Preview v Microsoft Entra ID umožňuje správcům vytvářet dynamické skupiny členství a jednotky pro správu, které se naplní přidáním členů jiných skupin pomocí atributu memberOf . Aplikace, které nemohly číst členství na základě skupin dříve v Microsoft Entra ID, teď můžou číst celé členství těchto nových memberOf skupin. Tyto skupiny se dají používat nejen pro aplikace, ale dají se použít i pro přiřazení licencí.

Následující diagram znázorňuje, jak můžete vytvořit dynamickou skupinu A se členy security-Group-X a Security-Group-Y. Členové skupin uvnitř skupiny Security-Group-X a Security-Group-Y se stanou členy dynamic-group-A.

Diagram znázorňující, jak atribut memberOf funguje

V této verzi Preview můžou správci nakonfigurovat dynamické skupiny členství s atributem memberOf na webu Azure Portal, Microsoft Graphu a PowerShellu. Skupiny zabezpečení, skupiny Microsoftu 365 a skupiny synchronizované z místní Active Directory je možné přidat jako členy těchto dynamických skupin členství. Můžete je také přidat do jedné skupiny. Dynamická skupina může být například skupina zabezpečení, ale k definování jejího členství můžete použít skupiny Microsoftu 365, skupiny zabezpečení a skupiny synchronizované z místního prostředí.

Požadavky

Abyste mohli memberOf vytvořit dynamickou skupinu Microsoft Entra, musíte být alespoň správcem uživatele. Musíte mít licenci Microsoft Entra ID P1 nebo P2 pro tenanta Microsoft Entra.

Omezení verze Preview

  • Každý tenant Microsoft Entra je omezen na 500 dynamických skupin členství pomocí atributu memberOf . Skupiny memberOf se počítají do celkové kvóty členů dynamické skupiny 15 000.
  • Každá dynamická skupina může mít až 50 členských skupin.
  • Když přidáte členy skupin zabezpečení do memberOf dynamických skupin členství, stanou se členy dynamické skupiny pouze přímí členové skupiny zabezpečení.
  • K definování členství jiné memberOf dynamické skupiny nemůžete použít jednu memberOf dynamickou skupinu. Dynamická skupina A s členy skupiny B a C v ní například nemůže být členem dynamické skupiny D.
  • Atribut memberOf nelze použít s jinými pravidly. Například pravidlo, které uvádí, že dynamická skupina A by měla obsahovat členy skupiny B a také by měla obsahovat pouze uživatele, kteří se nacházejí v Redmondu, selžou.
  • Funkci pro tvůrce pravidel dynamické skupiny a ověření nelze v memberOf tuto chvíli použít.
  • Atribut memberOf nelze použít s jinými operátory. Nemůžete například vytvořit pravidlo, které uvádí, že členové skupiny A nemůžou být v dynamické skupině B.
  • Uživatelé zahrnutí do memberOf dynamických skupin členství můžou pro vašeho tenanta způsobit pomalejší dobu zpracování, pokud má tenant velký počet skupin nebo časté aktualizace dynamických skupin členství.

Začínáme

Tuto funkci můžete použít na webu Azure Portal, Microsoft Graphu a PowerShellu. Vzhledem k tomu memberOf , že tvůrce pravidel ještě není podporovaný, musíte pravidlo zadat do editoru pravidel.

Vytvoření dynamické skupiny memberOf

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
  2. Přejděte do skupin>identit>Všechny skupiny.
  3. Vyberte Nová skupina.
  4. Vyplňte podrobnosti skupiny. Typ skupiny může být Security nebo Microsoft 365 a typ členství je možné nastavit na Dynamické uživatele nebo dynamické zařízení.
  5. Vyberte Přidat dynamický dotaz.
  6. ČlenOf se v tvůrci pravidel zatím nepodporuje. Výběrem možnosti Upravit napište pravidlo do pole Syntaxe pravidla.
    1. Příklad pravidla uživatele: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Příklad pravidla zařízení: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Vyberte OK.
  8. Vyberte Vytvořit skupinu.