Ändern der statischen Gruppenmitgliedschaft in „dynamisch“ in Microsoft Entra ID
Sie können die Mitgliedschaft einer Gruppe in Microsoft Entra ID, Teil von Microsoft Entra, von „Statisch“ in „Dynamisch“ ändern (oder umgekehrt). Microsoft Entra ID behält den gleichen Gruppennamen und die ID im System bei, sodass alle vorhandenen Verweise auf die Gruppe weiterhin gültig sind. Wenn Sie stattdessen eine neue Gruppe erstellen, müssen Sie diese Verweise aktualisieren. Bei der dynamischen Gruppenmitgliedschaft entfällt der Verwaltungsaufwand für das Hinzufügen und Entfernen von Benutzern. In diesem Artikel wird beschrieben, wie Sie im Portal oder mithilfe von PowerShell-Cmdlets die Mitgliedschaft für vorhandene Gruppen von „Statisch“ in „Dynamisch“ ändern.
Warnung
Wenn Sie eine vorhandene statische Gruppe in eine dynamische Gruppe ändern, werden alle vorhandenen Mitglieder aus der Gruppe entfernt, und anschließend wird die Mitgliedschaftsregel verarbeitet, um neue Mitglieder hinzuzufügen. Wenn die Gruppe verwendet wird, um den Zugriff auf Apps oder Ressourcen zu steuern, sollten Sie Folgendes beachten: Die ursprünglichen Mitglieder haben unter Umständen erst wieder Zugriff, wenn die Mitgliedschaftsregel vollständig verarbeitet wurde.
Sie sollten die neue Mitgliedsschaftsregel vorher testen, um sicherzustellen, dass sich die neue Mitgliedschaft in der Gruppe wie erwartet verhält.
Ändern des Typs der Mitgliedschaft für eine Gruppe
Die folgenden Schritte können mit einem Konto ausgeführt werden, dem entweder die Rolle globaler Administrator, Benutzeradministrator oder Gruppenadministrator zugewiesen ist.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.
- Wählen Sie Microsoft Entra ID aus.
- Gruppen.
- Öffnen Sie in der Liste Alle Gruppen die Gruppe, die Sie ändern möchten.
- Wählen Sie Eigenschaften aus.
- Wählen Sie auf der Seite Eigenschaften für die Gruppe einen Mitgliedschaftstyp aus, je nach gewünschtem Mitgliedschaftstyp „Zugewiesen (statisch)“, „Dynamischer Benutzer“ oder „Dynamisches Gerät“. Für die dynamische Mitgliedschaft können Sie im Regel-Generator Optionen für eine einfache Regel auswählen oder selbst eine Mitgliedschaftsregel schreiben.
Die folgenden Schritte sind ein Beispiel für die Änderung der Mitgliedschaft einer Gruppe von Benutzern von statisch zu dynamisch.
Wählen Sie auf der Seite Eigenschaften für Ihre ausgewählte Gruppe den MitgliedschaftstypDynamischer Benutzer aus, und wählen Sie dann in dem Dialogfeld, in dem die Änderungen der Gruppenmitgliedschaft erläutert werden, zum Fortfahren die Option „Ja“ aus.
Wählen Sie Dynamische Abfrage hinzufügen aus, und geben Sie dann die Regel an.
Wählen Sie nach dem Erstellen der Regel unten auf der Seite Abfrage hinzufügen aus.
Wählen Sie für die Gruppe Speichern auf der Seite Eigenschaften aus, um die Änderungen zu speichern. Der Mitgliedschaftstyp der Gruppe wird sofort in der Gruppenliste aktualisiert.
Tipp
Wenn die eingegebene Mitgliedschaftsregel falsch war, kann dies zu Fehlern bei der Gruppenkonvertierung führen. Oben rechts im Portal wird eine Benachrichtigung angezeigt, die erläutert, warum die Regel nicht vom System angenommen werden konnte. Lesen Sie sie sorgfältig, um zu erfahren, wie die Regel angepasst werden kann, damit sie gültig ist. Beispiele für die Regelsyntax und eine vollständige Liste mit den unterstützten Eigenschaften, Operatoren und Werten für eine Mitgliedschaftsregel finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Microsoft Entra ID.
Ändern des Typs der Mitgliedschaft für eine Gruppe (PowerShell)
Hinweis
Zum Ändern dynamischer Gruppeneigenschaften müssen Sie Cmdlets aus dem Microsoft Graph PowerShell-Modul verwenden. Weitere Informationen finden Sie unter Installieren des Microsoft Graph PowerShell SDK.
Hier folgt ein Beispiel für Funktionen, die die Verwaltung der Mitgliedschaft für eine vorhandene Gruppe wechseln. In diesem Beispiel wird darauf geachtet, dass die GroupTypes-Eigenschaft ordnungsgemäß geändert wird und alle Werte erhalten bleiben, die dort vorhanden sind und keine Beziehung zur dynamischen Mitgliedschaft aufweisen.
#The moniker for dynamic groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#remove the type for dynamic groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
So erstellen Sie eine statische Gruppe
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
So erstellen Sie eine dynamische Gruppe
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""
Nächste Schritte
Diese Artikel enthalten zusätzliche Informationen zu Gruppen in Microsoft Entra ID.