Členství ve skupině v dynamické skupině v ID Microsoft Entra

  • Článek

Tato funkce ve verzi Preview v Microsoft Entra ID umožňuje správcům vytvářet dynamické skupiny a jednotky pro správu, které se naplní přidáním členů jiných skupin pomocí atributu memberOf . Aplikace, které nemohly číst členství na základě skupin dříve v Microsoft Entra ID, teď můžou číst celé členství těchto nových memberOf skupin. Tyto skupiny se dají používat nejen pro aplikace, ale dají se použít i pro přiřazení licencí.

Následující diagram znázorňuje, jak můžete vytvořit dynamickou skupinu A se členy security-Group-X a Security-Group-Y. Členové skupin uvnitř skupiny Security-Group-X a Security-Group-Y se stanou členy dynamic-group-A.

Diagram znázorňující, jak atribut memberOf funguje

V této verzi Preview můžou správci nakonfigurovat dynamické skupiny s atributem memberOf na webu Azure Portal, Microsoft Graphu a PowerShellu. Skupiny zabezpečení, skupiny Microsoftu 365 a skupiny synchronizované z místní Active Directory je možné přidat jako členy těchto dynamických skupin. Můžete je také přidat do jedné skupiny. Dynamická skupina může být například skupina zabezpečení, ale k definování jejího členství můžete použít skupiny Microsoftu 365, skupiny zabezpečení a skupiny synchronizované z místního prostředí.

Požadavky

K vytvoření dynamické skupiny Microsoft Entra můžou použít memberOf pouze správci globálního Správa istratoru, Intune Správa istrator nebo roli user Správa istrator. Musíte mít licenci Microsoft Entra ID P1 nebo P2 pro tenanta Microsoft Entra.

Omezení verze Preview

  • Každý tenant Microsoft Entra je omezen na 500 dynamických skupin pomocí atributu memberOf . Skupiny memberOf se počítají do celkové kvóty členů dynamické skupiny 15 000.
  • Každá dynamická skupina může mít až 50 členských skupin.
  • Když přidáte členy skupin zabezpečení do memberOf dynamických skupin, stanou se členy dynamické skupiny pouze přímí členové skupiny zabezpečení.
  • K definování členství jiné memberOf dynamické skupiny nemůžete použít jednu memberOf dynamickou skupinu. Dynamická skupina A s členy skupiny B a C v ní například nemůže být členem dynamické skupiny D.
  • Atribut memberOf nelze použít s jinými pravidly. Například pravidlo, které uvádí, že dynamická skupina A by měla obsahovat členy skupiny B a také by měla obsahovat pouze uživatele, kteří se nacházejí v Redmondu, selžou.
  • Funkci pro tvůrce pravidel dynamické skupiny a ověření nelze v memberOf tuto chvíli použít.
  • Atribut memberOf nelze použít s jinými operátory. Nemůžete například vytvořit pravidlo, které uvádí, že členové skupiny A nemůžou být v dynamické skupině B.

Začínáme

Tuto funkci můžete použít na webu Azure Portal, Microsoft Graphu a PowerShellu. Vzhledem k tomu memberOf , že tvůrce pravidel ještě není podporovaný, musíte pravidlo zadat do editoru pravidel.

Vytvoření dynamické skupiny memberOf

  1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
  2. Přejděte do skupin>identit>Všechny skupiny.
  3. Vyberte Nová skupina.
  4. Vyplňte podrobnosti skupiny. Typ skupiny může být Security nebo Microsoft 365 a typ členství je možné nastavit na Dynamické uživatele nebo dynamické zařízení.
  5. Vyberte Přidat dynamický dotaz.
  6. ČlenOf se v tvůrci pravidel zatím nepodporuje. Výběrem možnosti Upravit napište pravidlo do pole Syntaxe pravidla.
    1. Příklad pravidla uživatele: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Příklad pravidla zařízení: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Vyberte OK.
  8. Vyberte Vytvořit skupinu.