Erstellen oder Aktualisieren einer dynamischen Gruppe in Azure Active Directory

In Azure Active Directory (Azure AD) können Sie mithilfe von Regeln die Gruppenmitgliedschaft auf der Grundlage von Benutzer- oder Geräteeigenschaften ermitteln. In diesem Artikel erfahren Sie, wie Sie im Azure-Portal eine Regel für eine dynamische Gruppe einrichten. Die dynamische Mitgliedschaft wird für Sicherheitsgruppen und Microsoft 365-Gruppen unterstützt. Wenn eine Regel für die Gruppenmitgliedschaft angewendet wird, werden Benutzer- und Geräteattribute auf Übereinstimmungen mit der Mitgliedschaftsregel geprüft. Wenn sich ein Attribut für einen Benutzer oder ein Gerät ändert, werden alle dynamischen Gruppenregeln in der Organisation verarbeitet, um Mitgliedschaftsänderungen zu berücksichtigen. Benutzer und Geräte werden hinzugefügt oder entfernt, wenn sie die Bedingungen für eine Gruppe erfüllen. Sicherheitsgruppen können für Geräte oder Benutzer verwendet werden, Microsoft 365-Gruppen dagegen können nur Benutzergruppen sein. Die Verwendung von dynamischen Gruppen erfordert eine Azure AD Premium P1 Lizenz oder eine „Intune for Education“-Lizenz. Weitere Details finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Azure Active Directory.

Regel-Generator im Azure-Portal

Azure AD stellt einen Regel-Generator bereit, mit dem Sie wichtige Regeln schneller erstellen und aktualisieren können. Der Regel-Generator unterstützt die Erstellung von bis zu fünf Ausdrücken. Die Erstellung einer Regel mit einigen einfachen Ausdrücken wird durch den Regel-Generator vereinfacht, aber er kann nicht verwendet werden, um jede Regel zu reproduzieren. Falls der Regel-Generator die zu erstellende Regel nicht unterstützt, können Sie das Textfeld verwenden.

Im Anschluss folgen einige Beispiele für erweiterte Regeln oder für Syntax, für die die Erstellung über das Textfeld empfohlen wird:

Hinweis

Der Regel-Generator kann ggf. einige Regeln, die über das Textfeld erstellt wurden, nicht anzeigen. Unter Umständen wird eine Meldung angezeigt, falls die Regel vom Regel-Generator nicht angezeigt werden kann. Der Regel-Generator nimmt keinerlei Änderungen an der unterstützten Syntax, Überprüfung oder Verarbeitung von Regeln für dynamische Gruppen vor.

Screenshot that shows the

Beispiele für Syntax, unterstützte Eigenschaften, Operatoren und Werte für eine Mitgliedschaftsregel finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Azure Active Directory.

So erstellen Sie eine Regel für die Gruppenmitgliedschaft

  1. Melden Sie sich beim Azure AD Admin Center mit einem Konto an, das der Rolle „Globaler Administrator“, „Intune-Administrator“ oder „Benutzeradministrator“ in der Azure AD-Organisation angehört.

  2. Suchen Sie nach Gruppen, und wählen Sie diese Option aus.

  3. Wählen Sie Alle Gruppen und Neue Gruppe aus.

    Screenshot showing how to select the

  4. Geben Sie auf der Seite Gruppe einen Namen und eine Beschreibung für die neue Gruppe ein. Wählen Sie einen Mitgliedschaftstyp für Benutzer oder Geräte und anschließend die Option Dynamische Abfrage hinzufügen aus. Der Regel-Generator unterstützt bis zu fünf Ausdrücke. Falls Sie mehr als fünf Ausdrücke hinzufügen möchten, müssen Sie das Textfeld verwenden.

    Screenshot that shows the

  5. Zeigen Sie die benutzerdefinierten Erweiterungseigenschaften für Ihre Mitgliedschaftsabfrage wie folgt an:

    1. Wählen Sie Benutzerdefinierte Erweiterungseigenschaften abrufen aus.
    2. Geben Sie die Anwendungs-ID ein, und wählen Sie anschließend Eigenschaften aktualisieren aus.
  6. Klicken Sie nach dem Erstellen der Regel auf Speichern.

  7. Wählen Sie auf der Seite Neue Gruppe die Option Erstellen aus, um die Gruppe zu erstellen.

Sollte die eingegebene Regel ungültig sein, wird über eine Azure-Benachrichtigung im Portal angezeigt, warum die Regel nicht verarbeitet werden konnte. Lesen Sie sich die Erklärung aufmerksam durch, um die Regel korrigieren zu können.

So aktualisieren Sie eine vorhandene Rolle

  1. Melden Sie sich beim Azure AD Admin Center mit einem Konto an, das der Rolle „Globaler Administrator“, „Gruppenadministrator“, „Intune-Administrator“ oder „Benutzeradministrator“ in der Azure AD-Organisation angehört.

  2. Wählen Sie Gruppen>Alle Gruppen aus.

  3. Wählen Sie eine Gruppe aus, um ihr Profil zu öffnen.

  4. Wählen Sie auf der Profilseite für die Gruppe Dynamische Mitgliedschaftsregeln aus. Der Regel-Generator unterstützt bis zu fünf Ausdrücke. Falls Sie mehr als fünf Ausdrücke hinzufügen möchten, müssen Sie das Textfeld verwenden.

    Screenshot showing how to add a membership rule for a dynamic group

  5. So zeigen Sie die benutzerdefinierten Erweiterungseigenschaften für Ihre Mitgliedschaftsregel an

    1. Wählen Sie Benutzerdefinierte Erweiterungseigenschaften abrufen aus.
    2. Geben Sie die Anwendungs-ID ein, und wählen Sie anschließend Eigenschaften aktualisieren aus.
  6. Klicken Sie nach dem Aktualisieren der Regel auf Speichern.

Aktivieren oder Deaktivieren der Begrüßungs-E-Mail

Wenn eine neue Microsoft 365-Gruppe erstellt wird, erhalten die Benutzer, die der Gruppe hinzugefügt werden, eine Begrüßungs-E-Mail. Wenn sich später Attribute eines Benutzers oder Geräts ändern (nur bei Sicherheitsgruppen), werden alle dynamischen Gruppenregeln in der Organisation verarbeitet, um Mitgliedschaftsänderungen zu berücksichtigen. Hinzugefügte Benutzer erhalten dann ebenfalls eine Begrüßungsnachricht. Sie können dieses Verhalten in Exchange PowerShell deaktivieren.

Überprüfen des Verarbeitungsstatus für eine Regel

Auf der Seite Übersicht für die Gruppe sehen Sie den dynamischen Regelverarbeitungsstatus und das Datum der letzten Mitgliedschaftsänderung.

Diagram of dynamic group status

Für Dynamischer Regelverarbeitungsstatus können die folgenden Statusmeldungen angezeigt werden:

  • Evaluieren: Die Gruppenänderung wurde empfangen und die Aktualisierungen werden ausgewertet.
  • Processing: Die Updates werden verarbeitet.
  • Aktualisierung abgeschlossen: Die Verarbeitung wurde abgeschlossen, alle anwendbaren Aktualisierungen wurden vorgenommen.
  • Verarbeitungsfehler: Die Verarbeitung konnte aufgrund eines Fehlers bei der Auswertung der Mitgliedschaftsregel nicht abgeschlossen werden.
  • Aktualisierung angehalten: Aktualisierungen der Regeln für die dynamische Mitgliedschaft wurden vom Administrator angehalten. „MembershipRuleProcessingState“ ist auf „Paused“ festgelegt.

Für den Status Letzte Mitgliedschaftsänderung können die folgenden Statusmeldungen angezeigt werden:

  • <Datum und Uhrzeit:> Der Zeitpunkt der letzten Aktualisierung der Mitgliedschaft.
  • In Bearbeitung: Aktualisierungen sind derzeit in Bearbeitung.
  • Unbekannt: Der Zeitpunkt der letzten Aktualisierung kann nicht abgerufen werden. Die Gruppe ist möglicherweise neu.

Wenn bei der Verarbeitung der Mitgliedschaftsregel für eine bestimmte Gruppe ein Fehler auftritt, wird oben auf der Seite Übersicht der Gruppe eine Warnung angezeigt. Wenn für alle Gruppen innerhalb der Organisation für mehr als 24 Stunden keine ausstehenden Aktualisierungen der dynamischen Mitgliedschaft verarbeitet werden können, wird oben in Alle Gruppen eine Warnung angezeigt.

Screenshot showing how to process error message alerts

Nächste Schritte

Die folgenden Artikel enthalten zusätzliche Informationen zur Verwendung von Gruppen in Azure Active Directory.