Konfigurieren von dynamischen Mitgliedschaften für Teams.

  • 7 Minuten

Microsoft Teams unterstützt Teams, die Microsoft 365-Gruppen zugeordnet sind, mithilfe der dynamischen Mitgliedschaft.

Sie können die dynamische Mitgliedschaft verwenden, um Mitglieder eines Teams anhand einer oder mehrerer Regeln zu definieren, die auf bestimmte Benutzerattribute in Microsoft Entra ID überprüfen. Benutzer werden automatisch aus den designierten Teams entfernt bzw. zu ihnen hinzugefügt, wenn sich Benutzerattribute ändern oder Benutzer dem Mandanten beitreten und diesen verlassen. Mögliche Szenarien umfassen:

  • Ein Krankenhaus kann unterschiedliche Teams für Krankenschwestern, Ärzte und Chirurgen für die Übertragung von Kommunikationen erstellen. Diese Funktion ist besonders wichtig, wenn das Krankenhaus auf temporäre Mitarbeiter angewiesen ist.
  • Eine Universität kann ein Team für alle Lehrenden innerhalb eines Colleges einrichten, auch für zusätzliche, häufig wechselnde Dozenten.
  • Eine Fluggesellschaft möchte ein Team für eine häufig wechselnde Flugbesatzung erstellen, die bei Bedarf automatisch zugewiesen oder entfernt werden kann.

Mit dieser Funktion werden die Mitglieder eines bestimmten Teams automatisch anhand bestimmter Kriterien aktualisiert, anstatt die Mitgliedschaft manuell zu verwalten.

Hinweis

Für die Verwendung dynamischer Gruppen sind Microsoft Entra ID P1-Lizenzen für alle Benutzer im Bereich erforderlich.

Es kann zwischen einigen Minuten und bis zu 2 Stunden dauern, bis dynamische Mitgliedschaftsänderungen in der Microsoft 365-Gruppe für ein Team wirksam werden. Für die dynamische Gruppenmitgliedschaft in Teams müssen Sie Folgendes berücksichtigen:

  • Regeln können definieren, wer ein Mitglied eines Teams ist, aber nicht, wer der Teambesitzer ist.
  • Besitzer können Benutzer nicht als Mitglieder des Teams hinzufügen oder entfernen, da Mitglieder durch dynamische Gruppenregeln definiert werden.
  • Mitglieder können Teams nicht verlassen, die von dynamischen Gruppen unterstützt werden.

Dynamische Mitgliedschaft aktivieren

Um die dynamische Mitgliedschaft in einem Team zu aktivieren, müssen Sie die zugrunde liegende Microsoft 365-Gruppenmitgliedschaftsregel über das Microsoft Entra Admin Center oder PowerShell ändern. Die Verweise auf die Gruppe werden nicht geändert, wenn Sie die Mitgliedschaft ändern. Wenn die Gruppe für den Zugriff verwendet wird, hat jedes Mitglied, das durch die dynamische Mitgliedschaftsregel hinzugefügt wird, Zugriff auf die Ressourcen der Gruppe.

Derzeit gibt es keine Möglichkeit, ein Team mit dynamischer Mitgliedschaft direkt zu erstellen. Sie können entweder ein Team erstellen und dann die Mitgliedschaftsregel der zugeordneten Microsoft 365-Gruppe ändern oder eine Microsoft 365-Gruppe mit dynamischem Benutzermitgliedschaftstyp erstellen und dann ein Team aus der vorhandenen Microsoft 365-Gruppe erstellen.

Warnung

Wenn Sie eine vorhandene statische Gruppe in eine dynamische Gruppe ändern, werden alle vorhandenen Mitglieder aus der Gruppe entfernt, und dann wird die Mitgliedschaftsregel verarbeitet, um neue Mitglieder hinzuzufügen. Wenn die Gruppe zum Steuern des Zugriffs auf Apps oder Ressourcen verwendet wird, beachten Sie, dass die ursprünglichen Mitglieder möglicherweise den Zugriff verlieren, bis die Mitgliedschaftsregel vollständig verarbeitet wird. Sie sollten die neue Mitgliedschaftsregel vorab testen, um sicherzustellen, dass die Mitgliedschaft in der Gruppe wie erwartet funktioniert.

Verwenden des Microsoft Entra Admin Centers

Führen Sie die folgenden Schritte aus, um die Gruppenmitgliedschaft eines vorhandenen Teams in eine regelbasierte dynamische Mitgliedschaft zu ändern.

  1. Melden Sie sich beim Microsoft Entra Admin Center mit einem Konto an, das ein globaler Administrator, Benutzeradministrator oder Gruppenadministrator in Ihrer Microsoft Entra-Organisation ist.

  2. Wählen Sie im Menü im linken Bereich Gruppenaus.

  3. Öffnen Sie in der Liste Alle Gruppen die Gruppe, die Sie ändern möchten.

  4. Wählen Sie Eigenschaften aus. Wählen Sie auf der Seite „Eigenschaften“ für die ausgewählte Gruppe den Mitgliedschaftstyp „Dynamischer Benutzer“ aus.

    Screenshot: Mitgliedschaftstyp in Microsoft Entra ID

  5. Wählen Sie Dynamische Abfrage hinzufügen aus, und geben Sie dann die Regel ein.

    Screenshot: Hinzufügen einer dynamischen Abfrage in Microsoft Entra ID

  6. Klicken Sie nach dem Erstellen der Regel auf „Speichern“, um zur Seite Eigenschaften zurückzukehren.

  7. Wählen Sie Speichern auf der Seite Eigenschaften für die Gruppe aus, um die Änderungen zu speichern. Der Mitgliedschaftstyp der Gruppe wird sofort in der Gruppenliste aktualisiert.

Verwenden von Microsoft Graph PowerShell

Verwenden Sie Microsoft Graph PowerShell, um den Mitgliedschaftstyp einer Gruppe zu ändern.

Hinweis: Azure AD- und MSOnline-PowerShell-Module sollen eingestellt werden, und die PowerShell-Befehle wurden geändert, um Microsoft Graph PowerShell widerzuspiegeln.

Verwenden Sie den folgenden Befehl, um die Gruppe in eine dynamische Mitgliedschaft zu ändern:

Set-MgGroup -Id $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule

Um die $groupTypes-Variable zu erstellen, müssen Sie die Gruppentypen der vorhandenen Gruppe abrufen und der Gruppe die Zeichenfolge „dynamicMembership“ hinzufügen.

$groupTypes = (Get-MgGroup -Id $groupId).GroupTypes
$groupTypes.Add("DynamicMembership")

Erstellen einer dynamischen Mitgliedschaftsregel

Sie können eine Regel aus einem oder mehreren Ausdrücken erstellen. Ein einzelner Ausdruck hat das Format Property Operator Value. Zum Beispiel: user.department -eq "Sales". Wenn Sie einer einzelnen Regel mehrere Ausdrücke hinzufügen möchten, können Sie dieselben Operatoren verwenden, um sie zu kombinieren und jeden Ausdruck in einer eigenen Klammer zu belassen:

(user.department -eq "Sales") -and (user.department -eq "Marketing")

Es gibt drei Arten von Eigenschaften, die zum Erstellen einer Mitgliedschaftsregel verwendet werden können.

  • Boolesch

  • Zeichenfolge

  • Zeichenfolgenauflistung

Folgende Operatoren werden unterstützt:

Operator Syntax
Ungleich -ne
Gleich -eq
Beginnt nicht mit -notStartsWith
Beginnt mit -startsWith
Enthält nicht -notContains
Enthält -contains
Nicht übereinstimmend -notMatch
Übereinstimmung -match
In -in
Nicht In -notIn

Die in einem Ausdruck verwendeten Werte können aus mehreren Typen bestehen, darunter:

  • Zeichenfolgen

  • Boolesch – Wert true, false

  • Zahlen

  • Arrays – Zahlenarray, Zeichenfolgenarray

Beim Angeben eines Werts innerhalb eines Ausdrucks ist es wichtig, die richtige Syntax zu verwenden, um Fehler zu vermeiden. Einige Syntaxtipps sind:

  • Doppelte Anführungszeichen sind optional, es sei denn, der Wert ist eine Zeichenfolge.

  • Bei Zeichenfolgen- und RegEx-Vorgängen wird die Groß-/Kleinschreibung nicht beachtet.

  • Wenn ein Zeichenfolgenwert doppelte Anführungszeichen enthält, sollten beide Anführungszeichen mithilfe des Zeichens (") mit Escapezeichen versehen werden, z. B. ist die richtige Syntax, user.department -eq "Sales" wenn "Sales" der Wert ist.

  • Sie können auch Null-Prüfungen durchführen, indem Sie Null als Wert verwenden, z. B. user.department -eq null.

Weitere Informationen finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.