Ändern der statischen Gruppen in dynamische Mitgliedergruppen in Microsoft Entra ID
Sie können die Mitgliedschaft einer Gruppe in Microsoft Entra ID, Teil von Microsoft Entra, von „Statisch“ in „Dynamisch“ ändern (oder umgekehrt). Microsoft Entra ID behält den gleichen Gruppennamen und die ID im System bei, sodass alle vorhandenen Verweise auf die Gruppe weiterhin gültig sind. Wenn Sie stattdessen eine neue Gruppe erstellen, müssen Sie diese Verweise aktualisieren. Durch die Bildung dynamischer Mitgliedergruppen entfällt der Verwaltungsaufwand für das Hinzufügen und Entfernen von Benutzenden. In diesem Artikel erfahren Sie, wie Sie vorhandene Gruppen mithilfe des Portals oder von PowerShell-Cmdlets von statischen in dynamische Mitgliedergruppen umwandeln können. In Microsoft Entra kann ein einzelner Mandant maximal 15.000 dynamische Mitgliedergruppen haben.
Warnung
Wenn Sie eine vorhandene statische Gruppe in eine dynamische Gruppe ändern, werden alle vorhandenen Mitglieder aus der Gruppe entfernt, und anschließend wird die Mitgliedschaftsregel verarbeitet, um neue Mitglieder hinzuzufügen. Wenn die Gruppe verwendet wird, um den Zugriff auf Apps oder Ressourcen zu steuern, sollten Sie Folgendes beachten: Die ursprünglichen Mitglieder haben unter Umständen erst wieder Zugriff, wenn die Mitgliedschaftsregel vollständig verarbeitet wurde.
Sie sollten die neue Mitgliedsschaftsregel vorher testen, um sicherzustellen, dass sich die neue Mitgliedschaft in der Gruppe wie erwartet verhält. Wenn während des Tests Fehler auftreten, siehe Beheben von Gruppenlizenzproblemen.
Ändern des Typs der Mitgliedschaft für eine Gruppe
Die folgenden Schritte können mit einem Konto ausgeführt werden, dem mindestens die Rollen „Gruppenadministrator“ zugewiesen ist.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
- Wählen Sie Microsoft Entra ID aus.
- Gruppen.
- Öffnen Sie in der Liste Alle Gruppen die Gruppe, die Sie ändern möchten.
- Wählen Sie Eigenschaften aus.
- Wählen Sie auf der Seite Eigenschaften für die Gruppe einen Mitgliedschaftstyp aus, je nach gewünschtem Mitgliedschaftstyp „Zugewiesen (statisch)“, „Dynamischer Benutzer“ oder „Dynamisches Gerät“. Für dynamische Mitgliedergruppen können Sie den Regelgenerator verwenden, um Optionen für eine einfache Regel auszuwählen oder selbst eine Mitgliedschaftsregel zu schreiben.
Die folgenden Schritte sind ein Beispiel für die Änderung einer Gruppe von statischen zu dynamischen Mitgliedergruppen für eine Gruppe von Benutzenden.
Wählen Sie auf der Seite Eigenschaften für Ihre ausgewählte Gruppe eine Mitgliedschaftsart von Dynamischer Benutzer aus und wählen Sie dann im Dialogfeld, in dem die Änderungen an den dynamischen Mitgliedergruppen erläutert werden, „Ja“ aus, um fortzufahren.
Wählen Sie Dynamische Abfrage hinzufügen aus, und geben Sie dann die Regel an.
Wählen Sie nach dem Erstellen der Regel unten auf der Seite Abfrage hinzufügen aus.
Wählen Sie für die Gruppe Speichern auf der Seite Eigenschaften aus, um die Änderungen zu speichern. Der Mitgliedschaftstyp der Gruppe wird sofort in der Gruppenliste aktualisiert.
Tipp
Wenn die eingegebene Mitgliedschaftsregel falsch war, kann dies zu Fehlern bei der Gruppenkonvertierung führen. Oben rechts im Portal wird eine Benachrichtigung angezeigt, die erläutert, warum die Regel nicht vom System angenommen werden konnte. Lesen Sie sie sorgfältig, um zu erfahren, wie die Regel angepasst werden kann, damit sie gültig ist. Weitere Informationen zur Regelsyntax und eine vollständige Liste der unterstützten Eigenschaften, Vorgänge und Werte für eine Mitgliedschaftsregel finden Sie unter Verwalten von Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.
Ändern des Typs der Mitgliedschaft für eine Gruppe (PowerShell)
Hinweis
Zum Ändern dynamischer Gruppeneigenschaften müssen Sie Cmdlets aus dem Microsoft Graph PowerShell-Modul verwenden. Weitere Informationen finden Sie unter Installieren des Microsoft Graph PowerShell SDK.
Hier folgt ein Beispiel für Funktionen, die die Verwaltung der Mitgliedschaft für eine vorhandene Gruppe wechseln. In diesem Beispiel wird darauf geachtet, die Eigenschaft „GroupTypes“ korrekt zu bearbeiten und alle Werte beizubehalten, die nicht mit dynamischen Mitgliedergruppen in Zusammenhang stehen.
#The moniker for dynamic membership groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
So erstellen Sie eine statische Gruppe
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
So erstellen Sie eine dynamische Gruppe
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""
Nächste Schritte
Diese Artikel enthalten zusätzliche Informationen zu Gruppen in Microsoft Entra ID.