Konfigurera dynamiska medlemskapsgrupper med attributet memberOf i Azure-portalen

  • Artikel

Med den här funktionsförhandsgranskningen i Microsoft Entra-ID kan administratörer skapa dynamiska medlemskapsgrupper och administrativa enheter som fylls i genom att lägga till medlemmar i andra grupper med hjälp memberOf av attributet. Appar som inte kunde läsa gruppbaserat medlemskap tidigare i Microsoft Entra-ID kan nu läsa hela medlemskapet i dessa nya memberOf grupper. Dessa grupper kan inte bara användas för appar, utan de kan också användas för licenstilldelningar.

Följande diagram visar hur du kan skapa Dynamic-Group-A med medlemmar i Security-Group-X och Security-Group-Y. Medlemmar i grupperna i Security-Group-X och Security-Group-Y blir inte medlemmar i Dynamic-Group-A.

Diagram som visar hur attributet memberOf fungerar.

Med den här förhandsversionen kan administratörer konfigurera dynamiska medlemskapsgrupper med memberOf attributet i Azure-portalen, Microsoft Graph och PowerShell. Säkerhetsgrupper, Microsoft 365-grupper och grupper som synkroniseras från lokalni Active Directory kan alla läggas till som medlemmar i dessa dynamiska medlemskapsgrupper. Alla kan också läggas till i en enda grupp. Den dynamiska gruppen kan till exempel vara en säkerhetsgrupp, men du kan använda Microsoft 365-grupper, säkerhetsgrupper och grupper som synkroniseras lokalt för att definiera dess medlemskap.

Förutsättningar

Du måste vara minst användaradministratör för att kunna använda memberOf attributet för att skapa en dynamisk Microsoft Entra-grupp. Du måste ha en Microsoft Entra ID P1- eller P2-licens för Microsoft Entra-klientorganisationen.

Begränsningar i förhandsversionen

  • Varje Microsoft Entra-klientorganisation är begränsad till 500 dynamiska medlemskapsgrupper med hjälp av attributet memberOf . Grupperna memberOf räknas mot den totala kvoten för dynamisk gruppmedlem på 15 000.
  • Varje dynamisk grupp kan ha upp till 50 medlemsgrupper.
  • När du lägger till medlemmar i säkerhetsgrupper i memberOf dynamiska medlemskapsgrupper blir endast direkta medlemmar i säkerhetsgruppen medlemmar i den dynamiska gruppen.
  • Du kan inte använda en memberOf dynamisk grupp för att definiera medlemskap i en annan memberOf dynamisk grupp. Dynamisk grupp A, med medlemmar i grupp B och C i, kan till exempel inte vara medlem i dynamisk grupp D.
  • Attributet memberOf kan inte användas med andra regler. En regel som anger dynamisk grupp A ska till exempel innehålla medlemmar i grupp B och även innehålla endast användare som finns i Redmond misslyckas.
  • Den dynamiska gruppregelverktyget och verifieringsfunktionen kan inte användas för memberOf just nu.
  • Attributet memberOf kan inte användas med andra operatorer. Du kan till exempel inte skapa en regel som säger "Medlemmar i grupp A kan inte vara i dynamisk grupp B".
  • Användare som ingår i memberOf dynamiska medlemskapsgrupper kan orsaka en långsammare bearbetningstid för din klientorganisation, om klientorganisationen har ett stort antal grupper eller frekventa uppdateringar av dynamiska medlemskapsgrupper.

Kom igång

Den här funktionen kan användas i Azure-portalen, Microsoft Graph och PowerShell. Eftersom memberOf det ännu inte stöds i regelverktyget måste du ange regeln i regelredigeraren.

Skapa en medlemAv dynamisk grupp

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Bläddra till Identitetsgrupper>>Alla grupper.
  3. Välj Ny grupp.
  4. Fyll i gruppinformation. Grupptypen kan vara Säkerhet eller Microsoft 365 och medlemskapstypen kan ställas in på Dynamisk användare eller Dynamisk enhet.
  5. Välj Lägg till dynamisk fråga.
  6. MemberOf stöds ännu inte i regelverktyget. Välj Redigera för att skriva regeln i rutan Regelsyntax .
    1. Exempel på användarregel: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Exempel på enhetsregel: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Välj OK.
  8. Välj Skapa grupp.