Создание или обновление динамической группы в идентификаторе Microsoft Entra

Правила можно использовать для определения членства в группах на основе свойств пользователя или устройства в идентификаторе Microsoft Entra, часть Microsoft Entra. В этой статье рассказывается, как настроить правило для динамической группы на портале Azure.

Динамическое членство поддерживается для групп безопасности и групп Microsoft 365. Когда применяется правило членства в группе, атрибуты пользователя и устройства сопоставляются с правилом членства. Если какой-то атрибут пользователя или устройства изменится, все правила динамических групп в организации будут обработаны на предмет возможных изменений в составе членов. Пользователи и устройства добавляются или удаляются согласно условиям для соответствующей группы.

Группы безопасности можно использовать как для устройств, так и для пользователей, в группы Microsoft 365 могут быть только группами пользователей. Для использования динамических групп требуется лицензия Microsoft Entra ID P1 или Лицензия Intune для образовательных учреждений. Дополнительные сведения см. в разделе Правила динамического членства в группах.

Построитель правил на портале Azure

Идентификатор Microsoft Entra предоставляет построитель правил для быстрого создания и обновления важных правил. Построитель правил позволяет создавать до пяти выражений. Построитель правил упрощает составление правил с использованием нескольких простых выражений, однако его невозможно использовать для воспроизведения каждого правила. Если построитель правил не поддерживает правило, которое требуется создать, можно воспользоваться текстовым полем.

Вот несколько примеров сложных правил или синтаксиса, построение которых рекомендуется выполнять с использованием текстового поля.

Примечание.

Построитель правил, возможно, не сможет отобразить некоторые правила, составленные с помощью текстового поля. Если построитель правил не сможет отобразить правило, возможно, отобразится соответствующее сообщение. Построитель правил никоим образом не меняет поддерживаемый синтаксис, проверку или обработку правил для динамических групп.

Screenshot that shows the Dynamic membership rules page with the Add expression action on the Configure rules tab selected.

Примеры синтаксиса, поддерживаемые свойства, операторы и значения правила членства см. в разделе "Правила динамического членства" для групп в идентификаторе Microsoft Entra.

Создание правила членства в группе

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум группы Администратор istrator.

  2. Выберите идентификатор Microsoft Entra.>Группы.

  3. Выберите Все группы, а затем — Новая группа.

    Screenshot showing how to select the Add new group action.

  4. На странице Группа введите имя и описание новой группы. Выберите Тип членства — пользователи или устройства — и нажмите кнопку Добавить динамический запрос. Построитель правил поддерживает до пяти выражений. Чтобы добавить больше пяти выражений, используйте текстовое поле.

    Screenshot that shows the All groups page with the New group action selected.

  5. Для просмотра свойств пользовательского расширения, доступных для запроса членства, выполните следующие действия.

    1. Выберите пункт Получить настраиваемые свойства расширения.
    2. Введите идентификатор приложения и выберите Обновить свойства.
  6. После создания правила нажмите кнопку Сохранить.

  7. Выберите Создать на странице Новая группа, чтобы создать группу.

Если введенное правило недопустимо, объяснение того, почему правило не удалось обработать, отображается в уведомлении на портале. Прочтите его внимательно, чтобы понять, как исправить правило.

Обновление существующего правила

  1. Войдите в Центр администрирования Microsoft Entra как минимум группы Администратор istrator.

  2. Выберите Microsoft Entra ID.

  3. Выберите Группы>Все группы.

  4. Выберите группу, чтобы открыть ее профиль.

  5. На странице профиля группы выберите Правила динамического членства. Построитель правил поддерживает до пяти выражений. Чтобы добавить больше пяти выражений, используйте текстовое поле.

    Screenshot showing how to add a membership rule for a dynamic group.

  6. Для просмотра свойств пользовательского расширения, доступных для правила членства, выполните следующие действия.

    1. Выберите пункт Получить настраиваемые свойства расширения.
    2. Введите идентификатор приложения и выберите Обновить свойства.
  7. После обновления правила нажмите кнопку Сохранить.

Отключение отправки приветственного сообщения электронной почты

При создании группы Microsoft 365 добавленными в группу пользователям отправляется приветствие по электронной почте. Если какие-то атрибуты пользователя или устройства (только в случае групп безопасности) изменятся, все правила динамических групп в организации будут обработаны на предмет возможных изменений членства. После этого добавляемым пользователям также отправляются приветственные уведомления. Такое поведение можно отключить в Exchange PowerShell.

Проверка состояния обработки правила

Вы можете просматривать состояние обработки динамического правила и дату последнего изменения членства на странице Обзор для группы.

Screenshot of a diagram of the dynamic group status.

Для состояния Обработка динамического правила могут отображаться следующие сообщения о состоянии:

  • Оценка — изменение группы получено и оценивается.
  • Обработка — обновления обрабатываются.
  • Обновление выполнено — обработка завершена, все применимые обновления внесены.
  • Ошибка обработки — невозможно выполнить обработку из-за ошибки при вычислении правила членства.
  • Обновление приостановлено — обновление правила динамического членства приостановлено администратором. MembershipRuleProcessingState имеет статус "Приостановлено".

Примечание.

На этом экране теперь можно также выбрать приостановку обработки. Ранее этот параметр был доступен только при изменении свойства membershipRuleProcessingState. Глобальные администраторы, администраторы групп, администраторы пользователей и администраторы Intune могут управлять этим параметром и могут приостановить и возобновить динамическую обработку групп. Владельцы групп без правильных ролей не имеют прав, необходимых для изменения этого параметра.

Для состояния Последнее изменение членства могут отображаться следующие сообщения о состоянии:

  • <Дата и время> — время последнего обновления членства.
  • Выполняется — обновления выполняются.
  • Неизвестно — не удается получить время последнего обновления. Возможно, группа новая.

Важно!

После приостановки и отмены членства в динамической группе дата последнего изменения членства будет отображать значение заполнителя. Это значение будет обновлено после завершения обработки.

Если произошла ошибка при обработке правила членства для конкретной группы, отображается предупреждение в верхней части страницы "Обзор" для группы. Если невозможность обработки ожидающих обновлений динамического членства для всех групп в организации сохраняется дольше 24 часов, в верхней части страницы Все группы отображается предупреждение.

Screenshot showing how to process error message alerts.

Следующие шаги

В следующих статьях содержатся дополнительные сведения об использовании групп в идентификаторе Microsoft Entra.