Gruppenmitgliedschaft in einer dynamischen Gruppe (Vorschau) in Microsoft Entra ID

  • Artikel

Diese Funktionsvorschau in Microsoft Entra ID ermöglicht es Administratoren, dynamische Gruppen und Verwaltungseinheiten zu erstellen, die sich durch Hinzufügen von Mitgliedern anderer Gruppen mithilfe des Attributs memberOf füllen. Apps, die bisher keine gruppenbasierte Mitgliedschaft in Microsoft Entra ID lesen konnten, können jetzt die gesamte Mitgliedschaft dieser neuen memberOf-Gruppen lesen. Diese Gruppen können nicht nur für Apps, sondern auch zum Zuweisen von Lizenzen verwendet werden.

Im folgenden Diagramm wird veranschaulicht, wie Sie „Dynamic-Group-A“ mit Mitgliedern von „Security-Group-X“ und „Security-Group-Y“ erstellen können. Mitglieder der Gruppen in Security-Group-X und Security-Group-Y werden nicht zu Mitgliedern von Dynamic-Group-A.

Diagram that shows how the memberOf attribute works.

Mit dieser Vorschau können Administratoren dynamische Gruppen mit dem memberOf-Attribut im Azure-Portal sowie mit Microsoft Graph und PowerShell konfigurieren. Sicherheitsgruppen, Microsoft 365-Gruppen und über lokale Active Directory-Instanzen synchronisierte Gruppen können als Mitglieder dieser dynamischen Gruppen hinzugefügt werden. Sie können auch einer einzelnen Gruppe hinzugefügt werden. Beispielsweise könnte es sich bei der dynamischen Gruppe um eine Sicherheitsgruppe handeln, aber Sie können Microsoft 365-Gruppen, Sicherheitsgruppen und über lokale Instanzen synchronisierte Gruppen verwenden, um die Mitgliedschaft zu definieren.

Voraussetzungen

Nur Administratoren in der Rolle Globaler Administrator, Intune-Administrator oder Benutzeradministrator können das memberOf-Attribut verwenden, um eine dynamische Microsoft Entra-Gruppe zu erstellen. Sie benötigen eine Microsoft Entra-ID P1 oder P2-Lizenz für den Microsoft Entra-Mandanten.

Einschränkungen der Vorschau

  • Jeder Microsoft Entra-Mandant ist auf 500 dynamische Gruppen mit dem memberOf-Attribut beschränkt. memberOf-Gruppen werden auf das für Mitglieder dynamischer Gruppen geltende Gesamtkontingent von 5.000 angerechnet.
  • Jede dynamische Gruppe kann bis zu 50 Mitgliedergruppen umfassen.
  • Wenn Sie Mitglieder von Sicherheitsgruppen zu dynamischen memberOf-Gruppen hinzufügen, werden nur direkte Mitglieder der Sicherheitsgruppe zu Mitgliedern der dynamischen Gruppe.
  • Sie können eine dynamische memberOf-Gruppe nicht verwenden, um die Mitgliedschaft einer anderen dynamischen memberOf-Gruppe zu definieren. So kann beispielsweise die dynamische Gruppe A, der Mitglieder der Gruppen B und C angehören, nicht Mitglied der dynamischen Gruppe D sein.
  • Das memberOf Attribut kann nicht mit anderen Regeln verwendet werden. So schlägt beispielsweise eine Regel fehl, die festlegt, dass die dynamische Gruppe A Mitglieder der Gruppe B enthalten soll und außerdem nur in Redmond befindliche Benutzer enthalten soll.
  • Der Regel-Generator/die Funktion zum Erstellen und Überprüfen dynamischer Gruppenregeln kann derzeit nicht für memberOf verwendet werden.
  • Das memberOf Attribut kann nicht mit anderen Operatoren verwendet werden. Sie können z. B. keine Regel erstellen, die festlegt, dass Mitglieder der Gruppe A nicht Mitglied der dynamischen Gruppe B sein dürfen.

Erste Schritte

Diese Funktion kann im Azure-Portal, in Microsoft Graph und in PowerShell verwendet werden. Da memberOf noch nicht im Regel-Generator unterstützt wird, müssen Sie Ihre Regel im Regel-Editor eingeben.

Schritte zum Erstellen einer dynamischen memberOf-Gruppe

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
  3. Wählen Sie Neue Gruppe aus.
  4. Geben Sie die Gruppendetails an. Als Gruppentyp können Sie Sicherheit oder Microsoft 365 angeben, und der Mitgliedschaftstyp kann auf Dynamischer Benutzer oder Dynamisches Gerät festgelegt werden.
  5. Wählen Sie Dynamische Abfrage hinzufügen aus.
  6. „memberOf“ wird im Regel-Generator noch nicht unterstützt. Wählen Sie Bearbeiten aus, um die Regel in das Feld Regelsyntax zu schreiben.
    1. Beispiel für eine Benutzerregel: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Beispiel für eine Geräteregel: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Klicken Sie auf OK.
  8. Wählen Sie Gruppe erstellen aus.