Членство в динамической группе в идентификаторе Microsoft Entra

  • Статья

Эта предварительная версия функций в идентификаторе Microsoft Entra позволяет администраторам создавать динамические группы и административные единицы, заполняемые добавлением членов других групп с помощью атрибута memberOf . Приложения, которые ранее не могли читать членство на основе групп в идентификаторе Microsoft Entra, теперь могут считывать все членство в этих новых memberOf группах. Эти группы можно использовать не только для приложений, но и для назначений лицензирования.

На следующей схеме показано, как можно создать группу Dynamic-Group-A с членами групп Security-Group-X и Security-Group-Y. Члены групп внутри Security-Group-X и Security-Group-Y не становятся членами Dynamic-Group-A.

Схема, показывающая, как работает атрибут memberOf.

С помощью этой предварительной версии администраторы могут настроить динамические группы с memberOf атрибутом в портал Azure, Microsoft Graph и PowerShell. Группы безопасности, группы Microsoft 365 и группы, синхронизированные с локальная служба Active Directory, могут быть добавлены как члены этих динамических групп. Они также могут быть добавлены в одну группу. Например, динамическая группа может быть группой безопасности, но вы можете использовать группы Microsoft 365, группы безопасности и группы, которые синхронизируются из локальной среды, чтобы определить ее членство.

Необходимые компоненты

Только администраторы в роли Global Администратор istrator, Intune Администратор istrator или User Администратор istrator могут использовать memberOf атрибут для создания динамической группы Microsoft Entra. У вас должна быть лицензия Microsoft Entra ID P1 или P2 для клиента Microsoft Entra.

Ограничения предварительной версии

  • Каждый клиент Microsoft Entra ограничен 500 динамическими группами с помощью атрибута memberOf . Группы memberOf учитываются в отношении общей квоты участников динамической группы в размере 15 000.
  • Каждая динамическая группа может содержать до 50 групп членов.
  • При добавлении членов групп безопасности в memberOf динамические группы только прямые члены группы безопасности становятся членами динамической группы.
  • Для определения членства в другой memberOf динамической группе нельзя использовать одну memberOf динамическую группу. Например, Dynamic Group A с членами группы B и C в ней не может быть членом Dynamic Group D.
  • Атрибут memberOf нельзя использовать с другими правилами. Например, правило, согласно которому динамическая группа A должна содержать членов группы B, а также должна содержать только пользователей, находящихся в Редмонде, не будет выполнено.
  • Построителе правил динамической группы и функция проверки не может использоваться в memberOf настоящее время.
  • Атрибут memberOf нельзя использовать с другими операторами. Например, нельзя создать правило, которое указывает "Члены группы A не могут находиться в динамической группе B".

Начать

Эту функцию можно использовать в портал Azure, Microsoft Graph и PowerShell. Так как memberOf в построителе правил еще не поддерживается, необходимо ввести правило в редакторе правил.

Создание динамической группы memberOf

  1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
  2. Перейдите к группам>удостоверений>Все группы.
  3. Выберите Создать группу.
  4. Укажите сведения о группе. Тип группы может быть Security или Microsoft 365, а для типа членства можно задать динамический пользователь или динамическое устройство.
  5. Выберите Добавить динамический запрос.
  6. MemberOf пока не поддерживается в построителе правил. Щелкните Изменить, чтобы написать правило в поле Синтаксис правила.
    1. Пример правила пользователя: user.memberof -any (group.objectId -in ['groupId', 'groupId']).
    2. Пример правила устройства: device.memberof -any (group.objectId -in ['groupId', 'groupId']).
  7. Нажмите ОК.
  8. Щелкните Создать группу.