Share via

Změna členství ve statické skupině na dynamické v MICROSOFT Entra ID

  • Článek

Členství ve skupině můžete změnit ze statického na dynamické (nebo naopak) v Microsoft Entra ID, která je součástí Microsoft Entra. Microsoft Entra ID uchovává stejný název skupiny a ID v systému, takže všechny existující odkazy na skupinu jsou stále platné. Pokud místo toho vytvoříte novou skupinu, budete muset tyto odkazy aktualizovat. Dynamické členství ve skupinách eliminuje režijní náklady na správu přidávání a odebírání uživatelů. V tomto článku se dozvíte, jak pomocí portálu nebo rutin PowerShellu převést existující skupiny ze statického na dynamické členství.

Upozorňující

Když změníte existující statickou skupinu na dynamickou skupinu, odeberou se ze skupiny všichni existující členové a pak se pravidlo členství zpracuje pro přidání nových členů. Pokud se skupina používá k řízení přístupu k aplikacím nebo prostředkům, mějte na paměti, že původní členové můžou přijít o přístup, dokud se pravidlo členství plně nezpracuje.

Doporučujeme, abyste nové pravidlo členství otestovali předem, abyste měli jistotu, že je nové členství ve skupině podle očekávání.

Změna typu členství pro skupinu

Následující kroky je možné provést pomocí účtu, který má přiřazenou alespoň roli Skupiny Správa istrator.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň skupiny Správa istrator.
  2. Vyberte Microsoft Entra ID.
  3. Skupiny
  4. V seznamu Všechny skupiny otevřete skupinu, kterou chcete změnit.
  5. Vyberte Vlastnosti.
  6. Na stránce Vlastnosti skupiny vyberte typ členství přiřazeného (statického), dynamického uživatele nebo dynamického zařízení v závislosti na požadovaném typu členství. V případě dynamického členství můžete pomocí tvůrce pravidel vybrat možnosti pro jednoduché pravidlo nebo sami napsat pravidlo členství.

Následující kroky představují příklad změny skupiny ze statického na dynamické členství pro skupinu uživatelů.

  1. Na stránce Vlastnosti vybrané skupiny vyberte typ členství dynamického uživatele a v dialogovém okně s vysvětlením změn členství ve skupině pokračujte výběrem možnosti Ano.

    Snímek obrazovky s výběrem typu členství dynamického uživatele

  2. Vyberte Přidat dynamický dotaz a zadejte pravidlo.

    Snímek obrazovky se zadáváním pravidla pro dynamickou skupinu

  3. Po vytvoření pravidla vyberte Přidat dotaz v dolní části stránky.

  4. Výběrem možnosti Uložit na stránce Vlastnosti skupiny uložte provedené změny. Typ členství skupiny se okamžitě aktualizuje v seznamu skupin.

Tip

Převod skupiny může selhat, pokud zadané pravidlo členství není správné. V pravém horním rohu portálu se zobrazí oznámení, které obsahuje vysvětlení, proč systém pravidlo nemůže přijmout. Přečtěte si ho pečlivě, abyste pochopili, jak můžete pravidlo upravit, aby bylo platné. Příklady syntaxe pravidla a úplný seznam podporovaných vlastností, operátorů a hodnot pro pravidlo členství najdete v tématu Dynamická pravidla členství pro skupiny v Microsoft Entra ID.

Změna typu členství pro skupinu (PowerShell)

Poznámka:

Pokud chcete změnit vlastnosti dynamické skupiny, budete muset použít rutiny z modulu Microsoft Graph PowerShellu. Další informace naleznete v tématu Instalace sady Microsoft Graph PowerShell SDK.

Tady je příklad funkcí, které přepínají správu členství ve stávající skupině. V tomto příkladu je nutné, aby správně manipuloval s vlastností GroupTypes a zachoval všechny hodnoty, které nesouvisejí s dynamickým členstvím.

#The moniker for dynamic groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"

function ConvertDynamicGroupToStatic
{
    Param([string]$groupId)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a static group. Aborting conversion.";
    }


    #remove the type for dynamic groups, but keep the other type values
    $groupTypes.Remove($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}

function ConvertStaticGroupToDynamic
{
    Param([string]$groupId, [string]$dynamicMembershipRule)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a dynamic group. Aborting conversion.";
    }
    #add the dynamic group type to existing types
    $groupTypes.Add($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}

Nastavení skupiny jako statické:

ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"

Nastavení dynamické skupiny:

ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""

Další kroky

Tyto články obsahují další informace o skupinách v Microsoft Entra ID.