Erstellen dynamischer Gruppen in Microsoft Entra B2B Collaboration

  • Artikel

Was sind dynamische Gruppen?

Eine dynamische Gruppe ist eine dynamische Konfiguration der Mitgliedschaft in Sicherheitsgruppen für Microsoft Entra (Azure AD) und ist im Microsoft Entra Admin Center verfügbar. Administratoren können Regeln einrichten, um in Microsoft Entra ID erstellte Gruppen anhand von Benutzerattributen (z. B. Benutzertyp, Abteilung oder Land/Region) aufzufüllen. Mitglieder können auf der Grundlage ihrer Attribute automatisch zu einer Sicherheitsgruppe hinzugefügt oder daraus entfernt werden. Diese Gruppen können Zugriff auf Anwendungen oder Cloudressourcen (SharePoint-Websites, Dokumente) gewähren oder den Mitgliedern Lizenzen zuweisen. Weitere Informationen zu dedizierten Gruppen finden Sie unter Microsoft Entra ID.

Voraussetzungen

Für die Erstellung und Verwendung dynamischer Gruppen wird eine Microsoft Entra ID-Lizenzierung (Premium P1 oder Premium P2) benötigt. Weitere Informationen finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Microsoft Entra ID.

Erstellen einer dynamischen Gruppe „Alle Benutzer“

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe mit allen Benutzern innerhalb eines Mandanten erstellen. Wenn Benutzer in Zukunft zum Mandanten hinzugefügt oder daraus entfernt werden, wird die Mitgliedschaft in der Gruppe automatisch angepasst.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.

  2. Navigieren Sie zu Identität>Gruppen>Alle Gruppen, und wählen Sie dann Neue Gruppe aus.

  3. Wählen Sie auf der Seite Neue Gruppe unter Gruppentyp die Option Sicherheit aus. Geben Sie einen Gruppennamen und eine Gruppenbeschreibung für die neue Gruppe ein.

  4. Wählen Sie unter Mitgliedschaftstyp die Option Dynamischer Benutzer und dann Dynamische Abfrage hinzufügen aus.

  5. Wählen Sie über dem Textfeld Regelsyntax den Befehl Bearbeiten aus. Geben Sie auf der Seite Regelsyntax bearbeiten den folgenden Ausdruck im Textfeld ein:

    user.objectId -ne null

  6. Klicken Sie auf OK. Die Regel wird im Feld „Regelsyntax“ angezeigt:

    Screenshot of rule syntax for all users dynamic group.

  7. Wählen Sie Speichern aus. Die neue dynamische Gruppe enthält jetzt B2B-Gastbenutzer und Mitgliedsbenutzer.

  8. Wählen Sie auf der Seite Neue Gruppe die Option Erstellen aus, um die Gruppe zu erstellen.

Erstellen einer Gruppe nur für Mitglieder

Wenn in einer Gruppe Gastbenutzer ausgeschlossen und nur Mitglieder des Mandanten enthalten sein sollen, erstellen Sie eine dynamische Gruppe (wie zuvor beschrieben), geben aber im Feld Regelsyntax den folgenden Ausdruck ein:

(user.objectId -ne null) and (user.userType -eq "Member")

Die folgende Abbildung zeigt die Regelsyntax für eine modifizierte dynamische Gruppe, die nur Mitglieder enthält und Gastbenutzer ausschließt.

Screenshot of rule syntax where user type equals member.

Erstellen einer Gruppe nur für Gäste

Unter Umständen empfiehlt es sich auch, eine neue dynamische Gruppe zu erstellen, die nur Gastbenutzer enthält, um Richtlinien auf sie anwenden zu können (etwa Microsoft Entra-Richtlinien für den bedingten Zugriff). Erstellen Sie eine dynamische Gruppe (wie zuvor beschrieben), geben aber im Feld Regelsyntax den folgenden Ausdruck ein:

(user.objectId -ne null) and (user.userType -eq "Guest")

Die folgende Abbildung zeigt die Regelsyntax für eine modifizierte dynamische Gruppe, die nur Gäste enthält und Mitgliederbenutzer ausschließt.

Screenshot of rule syntax where user type equals guest.

Nächste Schritte