Erstellen oder Aktualisieren einer dynamischen Mitgliedergruppe in Microsoft Entra ID

Sie können Regeln verwenden, um dynamische Mitgliedergruppen basierend auf Benutzer- oder Geräteeigenschaften in Microsoft Entra ID, einem Teil von Microsoft Entra, festzulegen. In diesem Artikel wird erklärt, wie Sie eine Regel für dynamische Mitgliedergruppen im Azure-Portal einrichten.

Die auf Benutzer- oder Geräteeigenschaften basierende Gruppenmitgliedschaft wird für Sicherheitsgruppen und Microsoft 365-Gruppen unterstützt. Wenn Sie eine Regel für eine dynamische Mitgliedergruppe anwenden, werden die Attribute von Benutzenden und Geräten auf Übereinstimmungen mit der Mitgliedschaftsregel überprüft. Wenn sich eine Eigenschaft für einen Benutzenden oder ein Gerät ändert, werden alle Regeln für dynamische Mitgliedergruppen in der Organisation auf Änderungen überprüft. Benutzende und Geräte werden hinzugefügt oder entfernt, wenn sie die Bedingungen für eine dynamische Mitgliedergruppe erfüllen. In Microsoft Entra kann ein einzelner Mandant maximal 15.000 dynamische Mitgliedergruppen haben.

Hinweis

Sicherheitsgruppen können entweder für Geräte oder für Benutzende verwendet werden, aber Microsoft 365-Gruppen können nur Benutzende enthalten.

Für die Verwendung dynamischer Mitgliedergruppen ist eine Microsoft Entra ID P1-Lizenz oder eine „Intune for Education“-Lizenz erforderlich. Weitere Informationen finden Sie unter Verwalten von Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.

Regel-Generator im Azure-Portal

Microsoft Entra ID stellt einen Regel-Generator bereit, mit dem Sie wichtige Regeln schneller erstellen und aktualisieren können. Der Regel-Generator unterstützt die Erstellung von bis zu fünf Ausdrücken. Die Erstellung einer Regel mit einigen einfachen Ausdrücken wird durch den Regel-Generator vereinfacht, aber er kann nicht verwendet werden, um jede Regel zu reproduzieren. Falls der Regel-Generator die zu erstellende Regel nicht unterstützt, können Sie das Textfeld verwenden.

Im Anschluss folgen einige Beispiele für erweiterte Regeln oder für Syntax, für die die Erstellung über das Textfeld empfohlen wird:

Hinweis

Der Regel-Generator kann ggf. einige Regeln, die über das Textfeld erstellt wurden, nicht anzeigen. Unter Umständen wird eine Meldung angezeigt, falls die Regel vom Regel-Generator nicht angezeigt werden kann. Der Regel-Generator nimmt keinerlei Änderungen an der unterstützten Syntax, Überprüfung oder Verarbeitung von Regeln für dynamische Mitgliedschaftsgruppen vor.

Screenshot, der die Regeln für die Seite „Dynamische Mitgliedergruppen“ mit der Aktion „Ausdruck hinzufügen“ auf der Registerkarte „Regeln konfigurieren“ zeigt.

Weitere Beispiele zur Syntax, zu unterstützten Eigenschaften, Operatoren und Werten für eine Mitgliedschaftsregel finden Sie unter Verwalten von Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.

So erstellen Sie eine Regel für eine dynamische Mitgliedergruppe

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.>Gruppen.

  3. Wählen Sie Alle Gruppen und Neue Gruppe aus.

    Screenshot zeigt das Auswählen der Aktion „Neue Gruppe hinzufügen“.

  4. Geben Sie auf der Seite Gruppe einen Namen und eine Beschreibung für die neue Gruppe ein. Wählen Sie einen Mitgliedschaftstyp für Benutzer oder Geräte und anschließend die Option Dynamische Abfrage hinzufügen aus. Der Regel-Generator unterstützt bis zu fünf Ausdrücke. Falls Sie mehr als fünf Ausdrücke hinzufügen möchten, müssen Sie das Textfeld verwenden.

    Screenshot zeigt die Seite „Alle Gruppen“ mit der ausgewählten Aktion „Neue Gruppe“.

  5. Zeigen Sie die benutzerdefinierten Erweiterungseigenschaften für Ihre Mitgliedschaftsabfrage wie folgt an:

    1. Wählen Sie Benutzerdefinierte Erweiterungseigenschaften abrufen aus.
    2. Geben Sie die Anwendungs-ID ein, und wählen Sie anschließend Eigenschaften aktualisieren aus.
  6. Klicken Sie nach dem Erstellen der Regel auf Speichern.

  7. Wählen Sie auf der Seite Neue Gruppe die Option Erstellen aus, um die Gruppe zu erstellen.

Sollte die eingegebene Regel ungültig sein, wird über eine Benachrichtigung im Portal angezeigt, warum die Regel nicht verarbeitet werden konnte. Lesen Sie sich die Erklärung aufmerksam durch, um die Regel korrigieren zu können.

So aktualisieren Sie eine vorhandene Rolle

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Wählen Sie Gruppen>Alle Gruppen aus.

  4. Wählen Sie eine Gruppe aus, um ihr Profil zu öffnen.

  5. Wählen Sie auf der Profilseite für die Gruppe Dynamische Mitgliedschaftsregeln aus. Der Regel-Generator unterstützt bis zu fünf Ausdrücke. Falls Sie mehr als fünf Ausdrücke hinzufügen möchten, müssen Sie das Textfeld verwenden.

    Screenshot, der das Hinzufügen einer Regel für eine dynamische Mitgliedergruppe zeigt.

  6. So zeigen Sie die benutzerdefinierten Erweiterungseigenschaften für Ihre Mitgliedschaftsregel an

    1. Wählen Sie Benutzerdefinierte Erweiterungseigenschaften abrufen aus.
    2. Geben Sie die Anwendungs-ID ein, und wählen Sie anschließend Eigenschaften aktualisieren aus.
  7. Klicken Sie nach dem Aktualisieren der Regel auf Speichern.

Aktivieren oder Deaktivieren der Begrüßungs-E-Mail

Wenn eine neue Microsoft 365-Gruppe erstellt wird, erhalten die Benutzer, die der Gruppe hinzugefügt werden, eine Begrüßungs-E-Mail. Wenn sich später Attribute von Benutzenden oder Geräten (nur bei Sicherheitsgruppen) ändern, werden alle Regeln für dynamische Mitgliedergruppen in der Organisation auf Änderungen überprüft. Hinzugefügte Benutzer erhalten dann ebenfalls eine Begrüßungsnachricht. Sie können dieses Verhalten in Exchange PowerShell deaktivieren.

Überprüfen des Verarbeitungsstatus für eine Regel

Den Status der Regelverarbeitung und das Datum der letzten Änderung der Mitgliedschaft können Sie auf der Seite Übersicht für die dynamische Mitgliedergruppe einsehen.

Screenshot eines Diagramms des dynamischen Status der Mitgliedergruppe.

Für Dynamischer Regelverarbeitungsstatus können die folgenden Statusmeldungen angezeigt werden:

  • Evaluieren: Die Gruppenänderung wurde empfangen und die Aktualisierungen werden ausgewertet.
  • Verarbeitung: Die Updates werden verarbeitet.
  • Aktualisierung abgeschlossen: Die Verarbeitung wurde abgeschlossen, alle anwendbaren Aktualisierungen wurden vorgenommen.
  • Verarbeitungsfehler: Die Verarbeitung konnte aufgrund eines Fehlers bei der Auswertung der Mitgliedschaftsregel nicht abgeschlossen werden.
  • Aktualisierung angehalten: Die Regel für dynamische Aktualisierungen von Mitgliedergruppen wurde von der administrierenden Person angehalten. „MembershipRuleProcessingState“ ist auf „Paused“ festgelegt.
  • Noch nicht gestartet: Die Verarbeitung wurde nicht gestartet.

Hinweis

Auf diesem Bildschirm können Sie jetzt auch die Option Verarbeitung anhalten auswählen. Bisher war diese Option nur durch die Änderung der „membershipRuleProcessingState“-Eigenschaft verfügbar. Personen, denen mindestens die Rolle Gruppenadministrator zugewiesen wurde, können diese Einstellung verwalten und die dynamische Verarbeitung von Mitgliedergruppen anhalten und fortsetzen. Gruppenbesitzer ohne die entsprechenden Rollen verfügen nicht über die Berechtigungen, die zum Bearbeiten dieser Einstellung erforderlich sind.

Für den Status Letzte Mitgliedschaftsänderung können die folgenden Statusmeldungen angezeigt werden:

  • <Datum und Uhrzeit>: Der Zeitpunkt der letzten Aktualisierung der Mitgliedschaft.
  • In Bearbeitung: Aktualisierungen sind derzeit in Bearbeitung.
  • Unbekannt: Der Zeitpunkt der letzten Aktualisierung kann nicht abgerufen werden. Die Gruppe ist möglicherweise neu.

Wichtig

Nach dem Anhalten und Fortsetzen der Verarbeitung dynamischer Mitgliedergruppen wird im Datum der „letzten Mitgliederänderung“ ein Platzhalterwert angezeigt. Dieser Wert wird aktualisiert, sobald die Verarbeitung abgeschlossen ist.

Wenn bei der Verarbeitung der Mitgliedschaftsregel für eine bestimmte Gruppe ein Fehler auftritt, wird oben auf der Seite Übersicht der Gruppe eine Warnung angezeigt. Wenn innerhalb von 24 Stunden keine ausstehenden Aktualisierungen dynamischer Mitgliedergruppen für alle Gruppen innerhalb der Organisation verarbeitet werden können, wird oben bei Alle Gruppen eine Warnmeldung angezeigt.

Screenshot zeigt das Verarbeiten von Warnungen für Fehlermeldungen.

Nächste Schritte

Die folgenden Artikel enthalten zusätzliche Informationen zur Verwendung von Gruppen in Microsoft Entra ID.