Vytvoření nebo aktualizace dynamické skupiny v Microsoft Entra ID

  • Článek

Pravidla můžete použít k určení členství ve skupině na základě vlastností uživatele nebo zařízení v Microsoft Entra ID, součást Microsoft Entra. Tento článek popisuje, jak nastavit pravidlo pro dynamickou skupinu na webu Azure Portal.

Dynamické členství je podporováno pro skupiny zabezpečení a Skupiny Microsoft 365. Při použití pravidla členství ve skupině se atributy uživatelů a zařízení vyhodnotí jako shody s pravidlem členství. Když se atribut změní pro uživatele nebo zařízení, zpracují se všechna dynamická pravidla skupin v organizaci pro změny členství. Uživatelé a zařízení se přidají nebo odeberou, pokud splňují podmínky pro skupinu.

Skupiny zabezpečení se dají používat pro zařízení nebo uživatele, ale Skupiny Microsoft 365 můžou být jenom skupiny uživatelů. Použití dynamických skupin vyžaduje licenci Microsoft Entra ID P1 nebo licenci Intune for Education. Další podrobnosti najdete v tématu Pravidla dynamického členství pro skupiny .

Tvůrce pravidel na webu Azure Portal

Microsoft Entra ID poskytuje tvůrci pravidel pro vytváření a aktualizaci důležitých pravidel rychleji. Tvůrce pravidel podporuje konstrukci až pět výrazů. Tvůrce pravidel usnadňuje vytvoření pravidla s několika jednoduchými výrazy, ale nedá se použít k reprodukci každého pravidla. Pokud tvůrce pravidel nepodporuje pravidlo, které chcete vytvořit, můžete použít textové pole.

Tady je několik příkladů pokročilých pravidel nebo syntaxe, pro které doporučujeme vytvořit pomocí textového pole:

  • Pravidlo s více než pěti výrazy
  • Pravidlo přímých sestav
  • Priorita operátoru nastavení
  • Pravidla se složitými výrazy, například (user.proxyAddresses -any (_ -contains "contoso"))

Poznámka:

Tvůrce pravidel nemusí být schopen zobrazit některá pravidla konstruovaná v textovém poli. Pokud tvůrce pravidel nemůže pravidlo zobrazit, může se zobrazit zpráva. Tvůrce pravidel nijak nemění podporovanou syntaxi, ověřování ani zpracování pravidel dynamických skupin.

Screenshot that shows the Dynamic membership rules page with the Add expression action on the Configure rules tab selected.

Příklady syntaxe, podporovaných vlastností, operátorů a hodnot pro pravidlo členství najdete v tématu Dynamická pravidla členství pro skupiny v Microsoft Entra ID.

Vytvoření pravidla členství ve skupině

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň skupiny Správa istrator.

  2. Vyberte MICROSOFT Entra ID.>Skupiny.

  3. Vyberte Všechny skupiny a vyberte Nová skupina.

    Screenshot showing how to select the Add new group action.

  4. Na stránce Skupina zadejte název a popis nové skupiny. Vyberte typ členství pro uživatele nebo zařízení a pak vyberte Přidat dynamický dotaz. Tvůrce pravidel podporuje až pět výrazů. Pokud chcete přidat více než pět výrazů, musíte použít textové pole.

    Screenshot that shows the All groups page with the New group action selected.

  5. Zobrazení vlastních vlastností rozšíření dostupných pro dotaz členství:

    1. Výběr možnosti Získat vlastní vlastnosti rozšíření
    2. Zadejte ID aplikace a pak vyberte Aktualizovat vlastnosti.

  6. Po vytvoření pravidla vyberte Uložit.

  7. Výběrem možnosti Vytvořit na stránce Nová skupina vytvořte skupinu.

Pokud zadané pravidlo není platné, zobrazí se v oznámení na portálu vysvětlení, proč se pravidlo nepodařilo zpracovat. Přečtěte si ho pečlivě, abyste pochopili, jak pravidlo opravit.

Aktualizace existujícího pravidla

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň skupiny Správa istrator.

  2. Vyberte Microsoft Entra ID.

  3. Vyberte Skupiny>Všechny skupiny.

  4. Vyberte skupinu, aby se otevřel její profil.

  5. Na stránce profilu skupiny vyberte pravidla dynamického členství. Tvůrce pravidel podporuje až pět výrazů. Pokud chcete přidat více než pět výrazů, musíte použít textové pole.

    Screenshot showing how to add a membership rule for a dynamic group.

  6. Zobrazení vlastních vlastností rozšíření dostupných pro vaše pravidlo členství:

    1. Výběr možnosti Získat vlastní vlastnosti rozšíření
    2. Zadejte ID aplikace a pak vyberte Aktualizovat vlastnosti.

  7. Po aktualizaci pravidla vyberte Uložit.

Zapnutí nebo vypnutí uvítacího e-mailu

Po vytvoření nové skupiny Microsoft 365 se uživatelům přidaným do skupiny pošle uvítací e-mailové oznámení. Pokud se později změní některé atributy uživatele nebo zařízení (pouze v případě skupin zabezpečení), zpracují se všechna dynamická pravidla skupin v organizaci pro změny členství. Uživatelé, kteří jsou přidáni, pak obdrží také uvítací oznámení. Toto chování můžete vypnout v Prostředí Exchange PowerShell.

Kontrola stavu zpracování pravidla

Stav dynamického zpracování pravidel a datum poslední změny členství můžete zobrazit na stránce Přehled skupiny.

Screenshot of a diagram of the dynamic group status.

Pro stav dynamického zpracování pravidel se dají zobrazit následující stavové zprávy:

  • Vyhodnocení: Změna skupiny byla přijata a aktualizace se vyhodnocují.
  • Zpracování: Aktualizace se zpracovávají.
  • Aktualizace dokončena: Zpracování bylo dokončeno a všechny příslušné aktualizace byly provedeny.
  • Chyba zpracování: Zpracování nebylo možné dokončit kvůli chybě při vyhodnocování pravidla členství.
  • Aktualizace byla pozastavena: Správce pozastavil aktualizace pravidel dynamického členství. Vlastnost MembershipRuleProcessingState je nastavená na Pozastaveno.

Poznámka:

Na této obrazovce se teď můžete také rozhodnout pozastavit zpracování. Dříve byla tato možnost k dispozici pouze prostřednictvím změny membershipRuleProcessingState vlastnost. Toto nastavení můžou spravovat globální správci, správci skupin, správci uživatelů a správci Intune a můžou pozastavit a obnovit dynamické zpracování skupin. Vlastníci skupin bez správných rolí nemají práva potřebná k úpravám tohoto nastavení.

Následující stavové zprávy se dají zobrazit pro stav poslední změny členství:

  • <Datum a čas>: Čas poslední aktualizace členství
  • Probíhá: Aktualizace právě probíhá.
  • Neznámé: Čas poslední aktualizace nelze načíst. Skupina může být nová.

Důležité

Po pozastavení a zrušení pozastavení dynamického členství ve skupině se v datu Poslední změna členství zobrazí hodnota zástupného symbolu. Tato hodnota se po dokončení zpracování aktualizuje.

Pokud při zpracování pravidla členství pro konkrétní skupinu dojde k chybě, zobrazí se v horní části stránky Přehled skupiny upozornění. Pokud není možné zpracovat žádné čekající aktualizace dynamického členství pro všechny skupiny v organizaci po dobu delší než 24 hodin, zobrazí se v horní části všech skupin upozornění.

Screenshot showing how to process error message alerts.

Další kroky

Následující články obsahují další informace o tom, jak používat skupiny v ID Microsoft Entra.