Erstellen oder Aktualisieren einer dynamischen Gruppe in Microsoft Entra ID

  • Artikel

Sie können Regeln verwenden, um die Gruppenzugehörigkeit anhand von Benutzer- oder Geräteeigenschaften in Microsoft Entra ID, Teil von Microsoft Entra, zu bestimmen. In diesem Artikel erfahren Sie, wie Sie im Azure-Portal eine Regel für eine dynamische Gruppe einrichten.

Die dynamische Mitgliedschaft wird für Sicherheitsgruppen und Microsoft 365-Gruppen unterstützt. Wenn eine Regel für die Gruppenmitgliedschaft angewendet wird, werden Benutzer- und Geräteattribute auf Übereinstimmungen mit der Mitgliedschaftsregel geprüft. Wenn sich ein Attribut für einen Benutzer oder ein Gerät ändert, werden alle dynamischen Gruppenregeln in der Organisation verarbeitet, um Mitgliedschaftsänderungen zu berücksichtigen. Benutzer und Geräte werden hinzugefügt oder entfernt, wenn sie die Bedingungen für eine Gruppe erfüllen.

Sicherheitsgruppen können für Geräte oder Benutzer verwendet werden, Microsoft 365-Gruppen dagegen können nur Benutzergruppen sein. Die Verwendung von dynamischen Gruppen erfordert eine Microsoft Entra P1 Lizenz oder eine „Intune for Education“-Lizenz. Weitere Details finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Azure Active Directory.

Regel-Generator im Azure-Portal

Microsoft Entra ID stellt einen Regel-Generator bereit, mit dem Sie wichtige Regeln schneller erstellen und aktualisieren können. Der Regel-Generator unterstützt die Erstellung von bis zu fünf Ausdrücken. Die Erstellung einer Regel mit einigen einfachen Ausdrücken wird durch den Regel-Generator vereinfacht, aber er kann nicht verwendet werden, um jede Regel zu reproduzieren. Falls der Regel-Generator die zu erstellende Regel nicht unterstützt, können Sie das Textfeld verwenden.

Im Anschluss folgen einige Beispiele für erweiterte Regeln oder für Syntax, für die die Erstellung über das Textfeld empfohlen wird:

Hinweis

Der Regel-Generator kann ggf. einige Regeln, die über das Textfeld erstellt wurden, nicht anzeigen. Unter Umständen wird eine Meldung angezeigt, falls die Regel vom Regel-Generator nicht angezeigt werden kann. Der Regel-Generator nimmt keinerlei Änderungen an der unterstützten Syntax, Überprüfung oder Verarbeitung von Regeln für dynamische Gruppen vor.

Screenshot that shows the Dynamic membership rules page with the Add expression action on the Configure rules tab selected.

Beispiele für Syntax, unterstützte Eigenschaften, Operatoren und Werte für eine Mitgliedschaftsregel finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Microsoft Entra ID.

So erstellen Sie eine Regel für die Gruppenmitgliedschaft

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.>Gruppen.

  3. Wählen Sie Alle Gruppen und Neue Gruppe aus.

    Screenshot showing how to select the Add new group action.

  4. Geben Sie auf der Seite Gruppe einen Namen und eine Beschreibung für die neue Gruppe ein. Wählen Sie einen Mitgliedschaftstyp für Benutzer oder Geräte und anschließend die Option Dynamische Abfrage hinzufügen aus. Der Regel-Generator unterstützt bis zu fünf Ausdrücke. Falls Sie mehr als fünf Ausdrücke hinzufügen möchten, müssen Sie das Textfeld verwenden.

    Screenshot that shows the All groups page with the New group action selected.

  5. Zeigen Sie die benutzerdefinierten Erweiterungseigenschaften für Ihre Mitgliedschaftsabfrage wie folgt an:

    1. Wählen Sie Benutzerdefinierte Erweiterungseigenschaften abrufen aus.
    2. Geben Sie die Anwendungs-ID ein, und wählen Sie anschließend Eigenschaften aktualisieren aus.

  6. Klicken Sie nach dem Erstellen der Regel auf Speichern.

  7. Wählen Sie auf der Seite Neue Gruppe die Option Erstellen aus, um die Gruppe zu erstellen.

Sollte die eingegebene Regel ungültig sein, wird über eine Benachrichtigung im Portal angezeigt, warum die Regel nicht verarbeitet werden konnte. Lesen Sie sich die Erklärung aufmerksam durch, um die Regel korrigieren zu können.

So aktualisieren Sie eine vorhandene Rolle

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Wählen Sie Gruppen>Alle Gruppen aus.

  4. Wählen Sie eine Gruppe aus, um ihr Profil zu öffnen.

  5. Wählen Sie auf der Profilseite für die Gruppe Dynamische Mitgliedschaftsregeln aus. Der Regel-Generator unterstützt bis zu fünf Ausdrücke. Falls Sie mehr als fünf Ausdrücke hinzufügen möchten, müssen Sie das Textfeld verwenden.

    Screenshot showing how to add a membership rule for a dynamic group.

  6. So zeigen Sie die benutzerdefinierten Erweiterungseigenschaften für Ihre Mitgliedschaftsregel an

    1. Wählen Sie Benutzerdefinierte Erweiterungseigenschaften abrufen aus.
    2. Geben Sie die Anwendungs-ID ein, und wählen Sie anschließend Eigenschaften aktualisieren aus.

  7. Klicken Sie nach dem Aktualisieren der Regel auf Speichern.

Aktivieren oder Deaktivieren der Begrüßungs-E-Mail

Wenn eine neue Microsoft 365-Gruppe erstellt wird, erhalten die Benutzer, die der Gruppe hinzugefügt werden, eine Begrüßungs-E-Mail. Wenn sich später Attribute eines Benutzers oder Geräts ändern (nur bei Sicherheitsgruppen), werden alle dynamischen Gruppenregeln in der Organisation verarbeitet, um Mitgliedschaftsänderungen zu berücksichtigen. Hinzugefügte Benutzer erhalten dann ebenfalls eine Begrüßungsnachricht. Sie können dieses Verhalten in Exchange PowerShell deaktivieren.

Überprüfen des Verarbeitungsstatus für eine Regel

Auf der Seite Übersicht für die Gruppe sehen Sie den dynamischen Regelverarbeitungsstatus und das Datum der letzten Mitgliedschaftsänderung.

Screenshot of a diagram of the dynamic group status.

Für Dynamischer Regelverarbeitungsstatus können die folgenden Statusmeldungen angezeigt werden:

  • Evaluieren: Die Gruppenänderung wurde empfangen und die Aktualisierungen werden ausgewertet.
  • Verarbeitung: Die Updates werden verarbeitet.
  • Aktualisierung abgeschlossen: Die Verarbeitung wurde abgeschlossen, alle anwendbaren Aktualisierungen wurden vorgenommen.
  • Verarbeitungsfehler: Die Verarbeitung konnte aufgrund eines Fehlers bei der Auswertung der Mitgliedschaftsregel nicht abgeschlossen werden.
  • Aktualisierung angehalten: Aktualisierungen der Regeln für die dynamische Mitgliedschaft wurden vom Administrator angehalten. „MembershipRuleProcessingState“ ist auf „Paused“ festgelegt.

Hinweis

Auf diesem Bildschirm können Sie jetzt auch die Option Verarbeitung anhalten auswählen. Bisher war diese Option nur durch die Änderung der „membershipRuleProcessingState“-Eigenschaft verfügbar. Globale Administratoren, Gruppenadministratoren, Benutzeradministratoren und Intune-Administratoren können diese Einstellung verwalten und die Verarbeitung von dynamischen Gruppen anhalten und fortsetzen. Gruppenbesitzer ohne die entsprechenden Rollen verfügen nicht über die Berechtigungen, die zum Bearbeiten dieser Einstellung erforderlich sind.

Für den Status Letzte Mitgliedschaftsänderung können die folgenden Statusmeldungen angezeigt werden:

  • <Datum und Uhrzeit>: Der Zeitpunkt der letzten Aktualisierung der Mitgliedschaft.
  • In Bearbeitung: Aktualisierungen sind derzeit in Bearbeitung.
  • Unbekannt: Der Zeitpunkt der letzten Aktualisierung kann nicht abgerufen werden. Die Gruppe ist möglicherweise neu.

Wichtig

Nach dem Anhalten und Beenden der Pause der dynamischen Gruppenmitgliedschaft wird das Datum der „letzten Mitgliedschaftsänderung“ als Platzhalterwert angezeigt. Dieser Wert wird aktualisiert, sobald die Verarbeitung abgeschlossen ist.

Wenn bei der Verarbeitung der Mitgliedschaftsregel für eine bestimmte Gruppe ein Fehler auftritt, wird oben auf der Seite Übersicht der Gruppe eine Warnung angezeigt. Wenn für alle Gruppen innerhalb der Organisation für mehr als 24 Stunden keine ausstehenden Aktualisierungen der dynamischen Mitgliedschaft verarbeitet werden können, wird oben in Alle Gruppen eine Warnung angezeigt.

Screenshot showing how to process error message alerts.

Nächste Schritte

Die folgenden Artikel enthalten zusätzliche Informationen zur Verwendung von Gruppen in Microsoft Entra ID.