Appartenenza a un gruppo dinamico in Microsoft Entra ID
Questa funzionalità di anteprima in Microsoft Entra ID consente agli amministratori di creare gruppi dinamici e unità amministrative che popolano aggiungendo membri di altri gruppi usando l'attributo memberOf
. Le app che non hanno letto l'appartenenza basata su gruppi in precedenza in Microsoft Entra ID possono ora leggere l'intera appartenenza di questi nuovi memberOf
gruppi. Non solo questi gruppi possono essere usati per le app, ma possono anche essere usati per le assegnazioni di licenze.
Il diagramma seguente illustra come creare Dynamic-Group-A con i membri di Security-Group-X e Security-Group-Y. I membri dei gruppi all'interno di Security-Group-X e Security-Group-Y non diventano membri di Dynamic-Group-A.
Con questa anteprima, gli amministratori possono configurare gruppi dinamici con l'attributo memberOf
nel portale di Azure, Microsoft Graph e PowerShell. I gruppi di sicurezza, i gruppi di Microsoft 365 e i gruppi sincronizzati da Active Directory locale possono essere aggiunti tutti come membri di questi gruppi dinamici. Possono anche essere aggiunti a un singolo gruppo. Ad esempio, il gruppo dinamico può essere un gruppo di sicurezza, ma è possibile usare gruppi di Microsoft 365, gruppi di sicurezza e gruppi sincronizzati dall'ambiente locale per definirne l'appartenenza.
Prerequisiti
È necessario essere almeno un utente Amministrazione istrator per usare l'attributo memberOf
per creare un gruppo dinamico di Microsoft Entra. È necessario disporre di una licenza microsoft Entra ID P1 o P2 per il tenant di Microsoft Entra.
Limiti dell'anteprima
- Ogni tenant di Microsoft Entra è limitato a 500 gruppi dinamici usando l'attributo
memberOf
. ImemberOf
gruppi vengono conteggiati per la quota totale dei membri del gruppo dinamico pari a 15.000. - Ogni gruppo dinamico può avere fino a 50 gruppi di membri.
- Quando si aggiungono membri di gruppi di sicurezza a
memberOf
gruppi dinamici, solo i membri diretti del gruppo di sicurezza diventano membri del gruppo dinamico. - Non è possibile usare un
memberOf
gruppo dinamico per definire l'appartenenza di un altromemberOf
gruppo dinamico. Ad esempio, il gruppo dinamico A, con i membri del gruppo B e C, non può essere membro di Dynamic Group D. - L'attributo
memberOf
non può essere usato con altre regole. Ad esempio, una regola che indica il gruppo dinamico A deve contenere membri del gruppo B e deve contenere solo gli utenti che si trovano in Redmond avranno esito negativo. - Al momento non è possibile usare
memberOf
il generatore di regole di gruppo dinamico e la funzionalità di convalida. - L'attributo
memberOf
non può essere usato con altri operatori. Ad esempio, non è possibile creare una regola che indica che "I membri del gruppo A non possono trovarsi nel gruppo dinamico B".
Operazioni preliminari
Questa funzionalità può essere usata nei portale di Azure, Microsoft Graph e PowerShell. Poiché memberOf
non è ancora supportato nel generatore di regole, è necessario immettere la regola nell'editor di regole.
Creare un gruppo dinamico memberOf
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
- Passare a Gruppi>di identità>Tutti i gruppi.
- Selezionare Nuovo gruppo.
- Compilare i dettagli del gruppo. Il tipo di gruppo può essere Security o Microsoft 365 e il tipo di appartenenza può essere impostato su Dynamic User o Dynamic Device.
- Selezionare Aggiungi query dinamica.
- MemberOf non è ancora supportato nel generatore di regole. Selezionare Modifica per scrivere la regola nella casella Sintassi della regola.
- Regola utente di esempio:
user.memberof -any (group.objectId -in ['groupId', 'groupId'])
- Regola del dispositivo di esempio:
device.memberof -any (group.objectId -in ['groupId', 'groupId'])
- Regola utente di esempio:
- Seleziona OK.
- Selezionare Crea gruppo.