Share via

Zmiana członkostwa w grupie statycznej na dynamiczną w identyfikatorze Entra firmy Microsoft

  • Artykuł

Możesz zmienić członkostwo grupy ze statycznej na dynamiczną (lub odwrotnie) W usłudze Microsoft Entra ID, część firmy Microsoft Entra. Identyfikator entra firmy Microsoft zachowuje tę samą nazwę grupy i identyfikator w systemie, więc wszystkie istniejące odwołania do grupy są nadal prawidłowe. Jeśli zamiast tego utworzysz nową grupę, musisz zaktualizować te odwołania. Członkostwo w grupie dynamicznej eliminuje obciążenie związane z zarządzaniem dodawaniem i usuwaniem użytkowników. W tym artykule przedstawiono sposób konwertowania istniejących grup ze statycznego na dynamiczne członkostwo przy użyciu portalu lub poleceń cmdlet programu PowerShell.

Ostrzeżenie

Podczas zmiany istniejącej grupy statycznej na grupę dynamiczną wszystkie istniejące elementy członkowskie zostaną usunięte z grupy, a następnie reguła członkostwa jest przetwarzana w celu dodania nowych członków. Jeśli grupa jest używana do kontrolowania dostępu do aplikacji lub zasobów, należy pamiętać, że oryginalne elementy członkowskie mogą utracić dostęp do momentu pełnego przetworzenia reguły członkostwa.

Zalecamy przetestowanie nowej reguły członkostwa wcześniej, aby upewnić się, że nowe członkostwo w grupie jest zgodnie z oczekiwaniami.

Zmienianie typu członkostwa dla grupy

Poniższe kroki można wykonać przy użyciu konta z przypisaną co najmniej rolą Grup Administracja istrator.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator grup.
  2. Wybierz Microsoft Entra ID.
  3. Grupy.
  4. Z listy Wszystkie grupy otwórz grupę, którą chcesz zmienić.
  5. Wybierz Właściwości.
  6. Na stronie Właściwości grupy wybierz typ członkostwa Przypisany (statyczny), Dynamiczny użytkownik lub Urządzenie dynamiczne w zależności od żądanego typu członkostwa. W przypadku członkostwa dynamicznego możesz użyć konstruktora reguł, aby wybrać opcje dla prostej reguły lub samodzielnie napisać regułę członkostwa.

Poniższe kroki to przykład zmiany grupy ze statycznej na dynamiczną dla grupy użytkowników.

  1. Na stronie Właściwości wybranej grupy wybierz typ członkostwa użytkownika dynamicznego, a następnie wybierz pozycję Tak w oknie dialogowym wyjaśniającym zmiany członkostwa w grupie, aby kontynuować.

    Zrzut ekranu przedstawiający wybieranie typu członkostwa użytkownika dynamicznego.

  2. Wybierz pozycję Dodaj zapytanie dynamiczne, a następnie podaj regułę.

    Zrzut ekranu przedstawiający wprowadzanie reguły dla grupy dynamicznej.

  3. Po utworzeniu reguły wybierz pozycję Dodaj zapytanie w dolnej części strony.

  4. Wybierz pozycję Zapisz na stronie Właściwości grupy, aby zapisać zmiany. Typ członkostwa grupy jest natychmiast aktualizowany na liście grup.

Napiwek

Konwersja grupy może zakończyć się niepowodzeniem, jeśli wprowadzona reguła członkostwa była niepoprawna. Powiadomienie jest wyświetlane w prawym górnym rogu portalu, które zawiera wyjaśnienie, dlaczego reguła nie może zostać zaakceptowana przez system. Uważnie przeczytaj go, aby dowiedzieć się, jak można dostosować regułę, aby była prawidłowa. Aby zapoznać się z przykładami składni reguły i pełną listą obsługiwanych właściwości, operatorów i wartości dla reguły członkostwa, zobacz Dynamiczne reguły członkostwa dla grup w identyfikatorze Entra firmy Microsoft.

Zmienianie typu członkostwa dla grupy (PowerShell)

Uwaga

Aby zmienić właściwości grupy dynamicznej, należy użyć poleceń cmdlet z modułu Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Instalowanie zestawu Microsoft Graph PowerShell SDK.

Oto przykład funkcji, które przełączają zarządzanie członkostwem w istniejącej grupie. W tym przykładzie należy zadbać o poprawne manipulowanie właściwością GroupTypes i zachowywanie wszelkich wartości, które nie są powiązane z członkostwem dynamicznym.

#The moniker for dynamic groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"

function ConvertDynamicGroupToStatic
{
    Param([string]$groupId)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a static group. Aborting conversion.";
    }


    #remove the type for dynamic groups, but keep the other type values
    $groupTypes.Remove($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}

function ConvertStaticGroupToDynamic
{
    Param([string]$groupId, [string]$dynamicMembershipRule)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a dynamic group. Aborting conversion.";
    }
    #add the dynamic group type to existing types
    $groupTypes.Add($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}

Aby utworzyć grupę statyczną:

ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"

Aby utworzyć grupę dynamiczną:

ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""

Następne kroki

Te artykuły zawierają dodatkowe informacje o grupach w usłudze Microsoft Entra ID.