Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können die Mitgliedschaft einer Gruppe von statisch in dynamische (oder umgekehrt) in Microsoft Entra ID ändern. Microsoft Entra ID behält den gleichen Gruppennamen und die ID im System bei, sodass alle vorhandenen Verweise auf die Gruppe weiterhin gültig sind. Wenn Sie stattdessen eine neue Gruppe erstellen, müssen Sie diese Verweise aktualisieren.
Durch das Erstellen dynamischer Mitgliedschaftsgruppen wird der Verwaltungsaufwand beim Hinzufügen und Entfernen von Benutzern beseitigt. In diesem Artikel erfahren Sie, wie Sie vorhandene Mitgliedschaftsgruppen von statisch in dynamisch konvertieren, indem Sie entweder das Azure-Portal oder PowerShell-Cmdlets verwenden. In Microsoft Entra kann ein einzelner Mandant maximal 15.000 dynamische Mitgliedergruppen haben.
Warnung
Wenn Sie eine vorhandene statische Gruppe in eine dynamische Gruppe ändern, werden alle vorhandenen Mitglieder aus der Gruppe entfernt. Die Mitgliedschaftsregel wird dann verarbeitet, um neue Mitglieder hinzuzufügen. Wenn die Gruppe verwendet wird, um den Zugriff auf Apps oder Ressourcen zu steuern, verlieren die ursprünglichen Mitglieder möglicherweise den Zugriff, bis die Mitgliedschaftsregel vollständig verarbeitet wird.
Sie sollten die neue Mitgliedsschaftsregel vorher testen, um sicherzustellen, dass sich die neue Mitgliedschaft in der Gruppe wie erwartet verhält. Wenn während des Tests Fehler auftreten, siehe Beheben von Gruppenlizenzproblemen.
Voraussetzungen
Um den Mitgliedschaftstyp mithilfe des Portals zu ändern, benötigen Sie ein Konto, das mindestens über die Rolle "Gruppenadministrator" verfügt.
Um dynamische Gruppeneigenschaften mithilfe von PowerShell zu ändern, müssen Sie Cmdlets aus dem Microsoft Graph PowerShell-Modul verwenden. Weitere Informationen finden Sie unter Installieren des Microsoft Graph PowerShell SDK.
Ändern des Mitgliedschaftstyps für eine Gruppe (Portal)
Melden Sie sich im Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
Wählen Sie Microsoft Entra ID aus.
Wählen Sie "Gruppen" aus.
Öffnen Sie in der Liste "Alle Gruppen " die Gruppe, die Sie ändern möchten.
Wählen Sie Eigenschaften aus.
Wählen Sie auf der Seite "Eigenschaften" für die Gruppe je nach gewünschtem Mitgliedschaftstyp den Wert "Zugewiesen" (statisch),"Dynamischer Benutzer" oder "Dynamisches Gerät" aus. Für dynamische Mitgliedergruppen können Sie den Regelgenerator verwenden, um Optionen für eine einfache Regel auszuwählen oder selbst eine Mitgliedschaftsregel zu schreiben.
Die folgenden Schritte sind ein Beispiel für das Ändern einer Gruppe von Benutzern von statischen zu dynamischen Mitgliedschaftsgruppen:
Wählen Sie für den Mitgliedschaftstyp"Dynamischer Benutzer" aus. Wählen Sie im Dialogfeld, in dem die Änderungen an den dynamischen Mitgliedschaftsgruppen erläutert werden, " Ja " aus, um den Vorgang fortzusetzen.
Wählen Sie Dynamische Abfrage hinzufügen aus, und geben Sie dann die Regel an.
Nachdem Sie die Regel erstellt haben, wählen Sie "Abfrage hinzufügen" aus.
Wählen Sie auf der Seite "Eigenschaften" für die Gruppe " Speichern" aus, um Ihre Änderungen zu speichern. Der Mitgliedschaftstyp der Gruppe wird sofort in der Gruppenliste aktualisiert.
Tipp
Die Gruppenkonvertierung schlägt möglicherweise fehl, wenn die von Ihnen eingegebene Mitgliedschaftsregel falsch war. In der oberen rechten Ecke des Portals wird in einer Benachrichtigung erläutert, warum die Regel nicht akzeptiert werden kann. Lesen Sie sie sorgfältig, um zu erfahren, wie die Regel angepasst werden kann, damit sie gültig ist. Weitere Informationen zur Regelsyntax und eine vollständige Liste der unterstützten Eigenschaften, Vorgänge und Werte für eine Mitgliedschaftsregel finden Sie unter Verwalten von Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.
Ändern des Mitgliedschaftstyps für eine Gruppe (PowerShell)
Hier ist ein Beispiel für Funktionen, die die Verwaltung der Mitgliedschaft in einer bestehenden Gruppe anpassen. In diesem Beispiel wird die GroupTypes Eigenschaft ordnungsgemäß bearbeitet, um alle Werte beizubehalten, die nicht mit dynamischen Mitgliedschaftsgruppen verknüpft sind.
#The moniker for dynamic membership groups, as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#Remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to remove the dynamic type, and then pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#Existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#Add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#Modify the group properties to make it a static group: change GroupTypes to add the dynamic type, start execution of the rule, and then set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Verwenden Sie den folgenden Befehl, um eine Gruppe statisch zu machen:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Um eine Gruppe dynamisch zu machen, verwenden Sie diesen Befehl:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""