Share via

Appartenenza a un gruppo dinamico in Microsoft Entra ID

  • Articolo

Questa funzionalità di anteprima in Microsoft Entra ID consente agli amministratori di creare gruppi dinamici e unità amministrative che popolano aggiungendo membri di altri gruppi usando l'attributo memberOf . Le app che non hanno letto l'appartenenza basata su gruppi in precedenza in Microsoft Entra ID possono ora leggere l'intera appartenenza di questi nuovi memberOf gruppi. Non solo questi gruppi possono essere usati per le app, ma possono anche essere usati per le assegnazioni di licenze.

Il diagramma seguente illustra come creare Dynamic-Group-A con i membri di Security-Group-X e Security-Group-Y. I membri dei gruppi all'interno di Security-Group-X e Security-Group-Y non diventano membri di Dynamic-Group-A.

Diagramma che mostra il funzionamento dell'attributo memberOf.

Con questa anteprima, gli amministratori possono configurare gruppi dinamici con l'attributo memberOf nel portale di Azure, Microsoft Graph e PowerShell. I gruppi di sicurezza, i gruppi di Microsoft 365 e i gruppi sincronizzati da Active Directory locale possono essere aggiunti tutti come membri di questi gruppi dinamici. Possono anche essere aggiunti a un singolo gruppo. Ad esempio, il gruppo dinamico può essere un gruppo di sicurezza, ma è possibile usare gruppi di Microsoft 365, gruppi di sicurezza e gruppi sincronizzati dall'ambiente locale per definirne l'appartenenza.

Prerequisiti

È necessario essere almeno un utente Amministrazione istrator per usare l'attributo memberOf per creare un gruppo dinamico di Microsoft Entra. È necessario disporre di una licenza microsoft Entra ID P1 o P2 per il tenant di Microsoft Entra.

Limiti dell'anteprima

  • Ogni tenant di Microsoft Entra è limitato a 500 gruppi dinamici usando l'attributo memberOf . I memberOf gruppi vengono conteggiati per la quota totale dei membri del gruppo dinamico pari a 15.000.
  • Ogni gruppo dinamico può avere fino a 50 gruppi di membri.
  • Quando si aggiungono membri di gruppi di sicurezza a memberOf gruppi dinamici, solo i membri diretti del gruppo di sicurezza diventano membri del gruppo dinamico.
  • Non è possibile usare un memberOf gruppo dinamico per definire l'appartenenza di un altro memberOf gruppo dinamico. Ad esempio, il gruppo dinamico A, con i membri del gruppo B e C, non può essere membro di Dynamic Group D.
  • L'attributo memberOf non può essere usato con altre regole. Ad esempio, una regola che indica il gruppo dinamico A deve contenere membri del gruppo B e deve contenere solo gli utenti che si trovano in Redmond avranno esito negativo.
  • Al momento non è possibile usare memberOf il generatore di regole di gruppo dinamico e la funzionalità di convalida.
  • L'attributo memberOf non può essere usato con altri operatori. Ad esempio, non è possibile creare una regola che indica che "I membri del gruppo A non possono trovarsi nel gruppo dinamico B".

Operazioni preliminari

Questa funzionalità può essere usata nei portale di Azure, Microsoft Graph e PowerShell. Poiché memberOf non è ancora supportato nel generatore di regole, è necessario immettere la regola nell'editor di regole.

Creare un gruppo dinamico memberOf

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
  2. Passare a Gruppi>di identità>Tutti i gruppi.
  3. Selezionare Nuovo gruppo.
  4. Compilare i dettagli del gruppo. Il tipo di gruppo può essere Security o Microsoft 365 e il tipo di appartenenza può essere impostato su Dynamic User o Dynamic Device.
  5. Selezionare Aggiungi query dinamica.
  6. MemberOf non è ancora supportato nel generatore di regole. Selezionare Modifica per scrivere la regola nella casella Sintassi della regola.
    1. Regola utente di esempio: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Regola del dispositivo di esempio: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Seleziona OK.
  8. Selezionare Crea gruppo.