Freigeben über

Erstellen oder Aktualisieren einer dynamischen Mitgliedergruppe in Microsoft Entra ID

  • Artikel

Mithilfe von Regeln können Sie dynamische Mitgliedschaftsgruppen basierend auf Benutzer- oder Geräteeigenschaften in der Microsoft Entra-ID ermitteln. In diesem Artikel wird beschrieben, wie Sie eine Regel für eine dynamische Mitgliedschaftsgruppe im Azure-Portal einrichten.

Die auf Benutzer- oder Geräteeigenschaften basierende Gruppenmitgliedschaft wird für Sicherheitsgruppen und Microsoft 365-Gruppen unterstützt. Wenn Sie eine Regel für eine dynamische Mitgliedergruppe anwenden, werden die Attribute von Benutzenden und Geräten auf Übereinstimmungen mit der Mitgliedschaftsregel überprüft. Wenn sich eine Eigenschaft für einen Benutzenden oder ein Gerät ändert, werden alle Regeln für dynamische Mitgliedergruppen in der Organisation auf Änderungen überprüft. Benutzende und Geräte werden hinzugefügt oder entfernt, wenn sie die Bedingungen für eine dynamische Mitgliedergruppe erfüllen. In der Microsoft Entra-ID kann ein einzelner Mandant maximal 15.000 dynamische Mitgliedschaftsgruppen aufweisen.

Hinweis

Sicherheitsgruppen können entweder Geräte oder Benutzer enthalten, aber Microsoft 365-Gruppen können nur Benutzer enthalten.

Für die Verwendung dynamischer Mitgliedschaftsgruppen ist eine Microsoft Entra ID P1-Lizenz oder eine Intune for Education-Lizenz erforderlich. Weitere Informationen finden Sie unter Verwalten von Regeln für dynamische Mitgliedergruppen in Microsoft Entra ID.

Regel-Generator im Azure-Portal

Microsoft Entra ID stellt einen Regel-Generator bereit, mit dem Sie wichtige Regeln schneller erstellen und aktualisieren können. Der Regel-Generator unterstützt die Erstellung von bis zu fünf Ausdrücken.

Screenshot des Regel-Generators mit hervorgehobener Aktion zum Hinzufügen eines Ausdrucks.

Der Regel-Generator erleichtert das Erstellen einer Regel mit einigen einfachen Ausdrücken. Es kann jedoch nicht verwendet werden, um jede Regel zu reproduzieren. Wenn der Regel-Generator die zu erstellende Regel nicht unterstützt, können Sie das Textfeld verwenden.

Im Folgenden finden Sie einige Beispiele für erweiterte Regeln oder Syntax, für die empfohlen wird, das Textfeld zu verwenden:

Hinweis

Der Regel-Generator kann ggf. einige Regeln, die über das Textfeld erstellt wurden, nicht anzeigen. Möglicherweise wird eine Meldung angezeigt, wenn der Regel-Generator die Regel nicht anzeigen kann. Der Regel-Generator nimmt keinerlei Änderungen an der unterstützten Syntax, Überprüfung oder Verarbeitung von Regeln für dynamische Mitgliedschaftsgruppen vor.

Beispiele für Syntax und unterstützte Eigenschaften, Operatoren und Werte für eine Mitgliedschaftsregel finden Sie unter Verwalten von Regeln für dynamische Mitgliedschaftsgruppen in Microsoft Entra ID.

Erstellen einer Regel für eine dynamische Mitgliedschaftsgruppe

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens Gruppenadministrator an.

  2. Wählen Sie Microsoft Entra-ID-Gruppen> aus.

  3. Wählen Sie "Alle Gruppen" und dann " Neue Gruppe" aus.

    Screenshot, der die Optionen zum Hinzufügen einer neuen Gruppe zeigt.

  4. Geben Sie im Bereich "Gruppe " einen Namen und eine Beschreibung für die neue Gruppe ein. Wählen Sie einen Mitgliedschaftstypwert für Benutzer oder Geräte aus, und wählen Sie dann "Dynamische Abfrage hinzufügen" aus.

  5. Fügen Sie im Regel-Generator bis zu fünf Ausdrücke hinzu. Falls Sie mehr als fünf Ausdrücke hinzufügen möchten, müssen Sie das Textfeld verwenden.

    Screenshot des Bereichs zum Konfigurieren von Regeln mit hervorgehobener Schaltfläche zum Hinzufügen eines Ausdrucks.

  6. So zeigen Sie die benutzerdefinierten Erweiterungseigenschaften an, die für Ihre Mitgliedschaftsabfrage verfügbar sind:

    1. Wählen Sie "Benutzerdefinierte Erweiterungseigenschaften abrufen" aus.
    2. Geben Sie die Anwendungs-ID ein, und wählen Sie anschließend Eigenschaften aktualisieren aus.

  7. Nachdem Sie die Regel erstellt haben, wählen Sie "Speichern" aus.

  8. Wählen Sie auf der Seite "Neue Gruppe " die Option "Erstellen" aus, um die Gruppe zu erstellen.

Wenn die eingegebene Regel ungültig ist, zeigt das Portal eine Erläuterung an, warum die Regel nicht verarbeitet werden konnte. Lesen Sie sich die Erklärung aufmerksam durch, um zu verstehen, wie die Regel korrigiert werden kann.

Aktualisieren einer vorhandenen Regel

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens Gruppenadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Wählen Sie Gruppen>Alle Gruppen aus.

  4. Wählen Sie eine Gruppe aus, um ihr Profil zu öffnen.

  5. Wählen Sie auf der Profilseite für die Gruppe Dynamische Mitgliedschaftsregeln aus. Der Regel-Generator unterstützt bis zu fünf Ausdrücke. Falls Sie mehr als fünf Ausdrücke hinzufügen möchten, müssen Sie das Textfeld verwenden.

    Screenshot des Regel-Generators für eine dynamische Mitgliedschaftsgruppe.

  6. So zeigen Sie die benutzerdefinierten Erweiterungseigenschaften an, die für Ihre Mitgliedschaftsregel verfügbar sind:

    1. Wählen Sie "Benutzerdefinierte Erweiterungseigenschaften abrufen" aus.
    2. Geben Sie die Anwendungs-ID ein, und wählen Sie anschließend Eigenschaften aktualisieren aus.

  7. Nachdem Sie die Aktualisierung der Regel abgeschlossen haben, wählen Sie "Speichern" aus.

Aktivieren oder Deaktivieren der Willkommens-E-Mail

Wenn ein Administrator eine neue Microsoft 365-Gruppe erstellt, erhalten die Benutzer, die der Gruppe hinzugefügt werden, eine Willkommens-E-Mail-Benachrichtigung. Wenn später Attribute eines Benutzers oder Geräts (nur für Sicherheitsgruppen) geändert werden, werden alle Regeln für dynamische Mitgliedschaftsgruppen in der Organisation für Änderungen verarbeitet. Hinzugefügte Benutzer erhalten dann ebenfalls eine Begrüßungsnachricht.

Sie können dieses Verhalten in Exchange PowerShell aktivieren oder deaktivieren.

Überprüfen des Verarbeitungsstatus für eine Regel

Sie können den Status der Regelverarbeitung und das Datum der letzten Mitgliedschaftsänderung auf der Übersichtsseite für die dynamische Mitgliedschaftsgruppe anzeigen.

Screenshot, der den Status einer dynamischen Mitgliedschaftsgruppe zeigt.

Die folgenden Statusmeldungen können für den Status der dynamischen Regelverarbeitung angezeigt werden:

  • Auswertung: Die Gruppenänderung wurde empfangen, und die Aktualisierungen werden ausgewertet.
  • Wird verarbeitet: Die Updates werden verarbeitet.
  • Update abgeschlossen: Die Verarbeitung wurde abgeschlossen, und alle anwendbaren Updates wurden vorgenommen.
  • Verarbeitungsfehler: Die Verarbeitung konnte aufgrund eines Fehlers bei der Auswertung der Mitgliedschaftsregel nicht abgeschlossen werden.
  • Update angehalten: Der Administrator hat die Regel angehalten, um dynamische Mitgliedschaftsgruppen zu aktualisieren. MembershipRuleProcessingState ist auf Paused eingestellt.
  • Nicht gestartet: Die Verarbeitung wurde nicht gestartet.

Hinweis

Diese Seite hat jetzt eine Option zum Anhalten der Verarbeitung. Bisher war diese Option nur über die Änderung der membershipRuleProcessingState Eigenschaft verfügbar. Jemand, der mindestens über die Rolle " Gruppenadministrator " verfügt, kann diese Einstellung verwalten und die Verarbeitung dynamischer Mitgliedschaftsgruppen anhalten und fortsetzen. Gruppenbesitzer, die nicht über die richtigen Rollen verfügen, verfügen nicht über die erforderlichen Rechte, um diese Einstellung zu bearbeiten.

Die folgenden Statusmeldungen werden für die Änderung der letzten Mitgliedschaft angezeigt:

  • <Datum und Uhrzeit>: Die Mitgliedschaft wurde zu diesem Datum und zu dieser Uhrzeit zuletzt aktualisiert.
  • In Bearbeitung: Aktualisierungen sind derzeit in Bearbeitung.
  • Unbekannt: Der Zeitpunkt der letzten Aktualisierung kann nicht abgerufen werden. Die Gruppe ist möglicherweise neu.

Wichtig

Nachdem Sie die Verarbeitung dynamischer Mitgliedschaftsgruppen angehalten und aufheben haben, zeigt das Datum der letzten Mitgliedschaftsänderung einen Platzhalterwert an. Dieser Wert wird aktualisiert, nachdem die Verarbeitung abgeschlossen wurde.

Wenn während der Verarbeitung der Mitgliedschaftsregel für eine bestimmte Gruppe ein Fehler auftritt, wird oben auf der Übersichtsseite für die Gruppe eine Warnung angezeigt. Wenn für alle Gruppen innerhalb der Organisation für mehr als 24 Stunden keine ausstehenden Aktualisierungen für dynamische Mitgliedschaftsgruppen verarbeitet werden können, wird oberhalb aller Gruppen eine Warnung angezeigt.

Screenshot einer Warnung, die besagt, dass dynamische Gruppenmitgliedschaften aufgrund von Systemverzögerungen nicht aktualisiert wurden.

Verwandte Inhalte