Sdílet prostřednictvím

Změna statických skupin na dynamické skupiny členství v Microsoft Entra ID

  • Článek

Členství ve skupině můžete změnit ze statického na dynamické (nebo naopak) v Microsoft Entra ID, která je součástí Microsoft Entra. Microsoft Entra ID uchovává stejný název skupiny a ID v systému, takže všechny existující odkazy na skupinu jsou stále platné. Pokud místo toho vytvoříte novou skupinu, budete muset tyto odkazy aktualizovat. Vytváření dynamických skupin členství eliminuje režijní náklady na správu přidávání a odebírání uživatelů. V tomto článku se dozvíte, jak pomocí portálu nebo rutin PowerShellu převést existující skupiny ze statických na dynamické skupiny členství. V Microsoft Entra může mít jeden tenant maximálně 15 000 dynamických skupin členství.

Upozorňující

Když změníte existující statickou skupinu na dynamickou skupinu, odeberou se ze skupiny všichni existující členové a pak se pravidlo členství zpracuje pro přidání nových členů. Pokud se skupina používá k řízení přístupu k aplikacím nebo prostředkům, mějte na paměti, že původní členové můžou přijít o přístup, dokud se pravidlo členství plně nezpracuje.

Doporučujeme, abyste nové pravidlo členství otestovali předem, abyste měli jistotu, že je nové členství ve skupině podle očekávání. Pokud během testu dojde k chybám, přečtěte si téma Řešení problémů s licencí skupiny.

Změna typu členství pro skupinu

Následující kroky je možné provést pomocí účtu, který má přiřazenou alespoň roli správce skupin.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce skupin.
  2. Vyberte Microsoft Entra ID.
  3. Skupiny
  4. V seznamu Všechny skupiny otevřete skupinu, kterou chcete změnit.
  5. Vyberte Vlastnosti.
  6. Na stránce Vlastnosti skupiny vyberte typ členství přiřazeného (statického), dynamického uživatele nebo dynamického zařízení v závislosti na požadovaném typu členství. U dynamických skupin členství můžete pomocí tvůrce pravidel vybrat možnosti pro jednoduché pravidlo nebo sami napsat pravidlo členství.

Následující postup je příkladem změny skupiny ze statické na dynamické skupiny členství pro skupinu uživatelů.

  1. Na stránce Vlastnosti pro vybranou skupinu vyberte typ členství dynamického uživatele a potom v dialogovém okně s vysvětlením změn dynamických skupin členství pokračujte výběrem možnosti Ano.

    Snímek obrazovky s výběrem typu členství dynamického uživatele

  2. Vyberte Přidat dynamický dotaz a zadejte pravidlo.

    Snímek obrazovky se zadáváním pravidla pro dynamickou skupinu

  3. Po vytvoření pravidla vyberte Přidat dotaz v dolní části stránky.

  4. Výběrem možnosti Uložit na stránce Vlastnosti skupiny uložte provedené změny. Typ členství skupiny se okamžitě aktualizuje v seznamu skupin.

Tip

Převod skupiny může selhat, pokud zadané pravidlo členství není správné. V pravém horním rohu portálu se zobrazí oznámení, které obsahuje vysvětlení, proč systém pravidlo nemůže přijmout. Přečtěte si ho pečlivě, abyste pochopili, jak můžete pravidlo upravit, aby bylo platné. Příklady syntaxe pravidla a úplný seznam podporovaných vlastností, operátorů a hodnot pro pravidlo členství najdete v tématu Správa pravidel pro dynamické skupiny členství v Microsoft Entra ID.

Změna typu členství pro skupinu (PowerShell)

Poznámka:

Pokud chcete změnit vlastnosti dynamické skupiny, budete muset použít rutiny z modulu Microsoft Graph PowerShellu. Další informace naleznete v tématu Instalace sady Microsoft Graph PowerShell SDK.

Tady je příklad funkcí, které přepínají správu členství ve stávající skupině. V tomto příkladu je nutné, aby správně manipuloval s vlastností GroupTypes a zachoval všechny hodnoty, které nesouvisejí s dynamickými skupinami členství.

#The moniker for dynamic membership groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"

function ConvertDynamicGroupToStatic
{
    Param([string]$groupId)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a static group. Aborting conversion.";
    }


    #remove the type for dynamic membership groups, but keep the other type values
    $groupTypes.Remove($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}

function ConvertStaticGroupToDynamic
{
    Param([string]$groupId, [string]$dynamicMembershipRule)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a dynamic group. Aborting conversion.";
    }
    #add the dynamic group type to existing types
    $groupTypes.Add($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}

Nastavení skupiny jako statické:

ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"

Nastavení dynamické skupiny:

ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""

Další kroky

Tyto články obsahují další informace o skupinách v Microsoft Entra ID.