Erstellen dynamischer Gruppen mit Microsoft Entra Regel-Generator

Abgeschlossen

Organisationen können Regeln verwenden, um die Gruppenmitgliedschaft zu bestimmen. Sie können diese Regeln auf Benutzer- oder Geräteeigenschaften in Microsoft Entra ID basieren. Microsoft 365 unterstützt die dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen.

Wenn Sie eine Gruppe mit dynamischer Mitgliedschaft erstellen, wertet das System Benutzer- und Geräteattribute auf Übereinstimmungen mit der Mitgliedschaftsregel aus. Wenn sich ein Attribut für einen Benutzer oder ein Gerät ändert, untersucht das System alle dynamischen Gruppenregeln im organization auf Mitgliedschaftsänderungen. Anschließend werden Benutzer und Geräte hinzugefügt oder entfernt, wenn diese die Bedingungen für eine Gruppe erfüllen.

Wichtig

Organisationen, die dynamische Gruppen implementieren, müssen entweder über eine Microsoft Entra Premium P1-Lizenz oder eine Microsoft Intune for Education-Lizenz für jeden eindeutigen Benutzer verfügen, der Mitglied einer dynamischen Gruppe ist. Sie müssen Benutzern keine Lizenzen zuweisen, damit sie Mitglieder dynamischer Gruppen sind, aber Sie müssen über die Mindestanzahl von Lizenzen im Microsoft Entra organization verfügen, um alle diese Benutzer abzudecken. Wenn Sie beispielsweise insgesamt 1.000 eindeutige Benutzer in allen dynamischen Gruppen in Ihrem organization haben, benötigen Sie mindestens 1.000 Lizenzen für Microsoft Entra Premium P1, um die Lizenzanforderung zu erfüllen. Organisationen benötigen keine Lizenz für Geräte, die Mitglieder einer dynamischen Gerätegruppe sind.

Regel-Generator im Microsoft Entra Admin Center

Microsoft Entra ID stellt ein Tool zum Erstellen von Regeln bereit, um Ihre wichtigen Regeln schneller zu erstellen und zu aktualisieren. Der Regel-Generator unterstützt die Erstellung von bis zu fünf Ausdrücken. Der Regel-Generator erleichtert das Erstellen einer Regel mit einigen einfachen Ausdrücken. Sie können es jedoch nicht verwenden, um jede Regel zu reproduzieren. Wenn die Ausdrücke des Regel-Generators die zu erstellende Regel nicht unterstützen, können Sie das Textfeld für die Regelsyntax verwenden.

Die folgende Liste enthält einige Beispiele für erweiterte Regeln oder Syntax, die Sie mithilfe des Textfelds für die Regelsyntax erstellen sollten:

• Regel mit mehr als fünf Ausdrücken
• Die Regel für direkte Berichte
• Festlegen der Operatorrangfolge
• Regeln mit komplexen Ausdrücken, z. B.: (user.proxyAddresses -any (_ -contains “contoso“))

Hinweis

Der Regel-Generator kann möglicherweise einige Regeln, die im Textfeld erstellt wurden, nicht anzeigen. Möglicherweise erhalten Sie eine Meldung, wenn der Regel-Generator die Regel nicht anzeigen kann. Der Regel-Generator ändert in keiner Weise die unterstützte Syntax, Validierung oder Verarbeitung dynamischer Gruppenregeln.

Zusätzliche Informationen. Beispiele für Syntax, unterstützte Eigenschaften, Operatoren und Werte für eine Mitgliedschaftsregel finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.

Führen Sie die folgenden Schritte aus, um eine Gruppenmitgliedschaftsregel zu erstellen:

1. Navigieren Sie zum Microsoft Entra Admin Center (geben Sie https://entra.microsoft.comein, oder wählen Sie im Microsoft 365 Admin Centerdie Option Alle anzeigen aus, und wählen Sie dann im Abschnitt Admin Center die Option Identität aus. Melden Sie sich mit einem Konto an, das entweder ein global administrierende Person, Intune Administrator oder Benutzeradministrator im Microsoft Entra organization ist.

2. Wählen Sie im linken Navigationsbereich Gruppen und dann Alle Gruppen aus.

3. Auf den Gruppen | Wählen Sie im Fenster "Alle Gruppen" auf der Menüleiste die Option Neue Gruppe aus.

   

4. Geben Sie auf der Seite Neue Gruppe die folgenden Informationen ein:

   • Name der Gruppe
   • Gruppenbeschreibung
   • Microsoft Entra Rollen können der Gruppe zugewiesen werden. Legen Sie den Umschalter auf Ja oder Nein fest.
   • Mitgliedschaftstyp. Wählen Sie entweder Dynamischer Benutzer oder Dynamisches Gerät aus.

5. Wählen Sie im Abschnitt Besitzer die Option Keine Besitzer ausgewählt aus. Wählen Sie im daraufhin angezeigten Bereich Besitzer hinzufügen die Besitzer der Gruppe aus.

6. Wählen Sie unter Dynamische Benutzermitglieder die Option Dynamische Abfrage hinzufügen aus.

   

7. Im daraufhin angezeigten Fenster Dynamische Mitgliedschaftsregeln wird standardmäßig die Registerkarte Regeln konfigurieren angezeigt. Sie können den Regel-Generator oder das Textfeld für die Regelsyntax verwenden, um eine dynamische Mitgliedschaftsregel zu erstellen oder zu bearbeiten. Der Regel-Generator unterstützt bis zu fünf Ausdrücke. Um mehr als fünf Ausdrücke hinzuzufügen, müssen Sie das Textfeld für die Regelsyntax verwenden.

   

8. So zeigen Sie die benutzerdefinierten Erweiterungseigenschaften an, die für Ihre Mitgliedschaftsabfrage verfügbar sind:

   1. Wählen Sie + Benutzerdefinierte Erweiterungseigenschaften abrufen aus.
   2. Geben Sie im angezeigten Bereich Get custom extension properties (Eigenschaften der benutzerdefinierten Erweiterung abrufen ) die Anwendungs-ID ein, und wählen Sie dann Eigenschaften aktualisieren aus. Auf diese Weise wird die vollständige Liste der benutzerdefinierten Erweiterungseigenschaften angezeigt, die beim Erstellen einer dynamischen Mitgliedschaftsregel verwendet werden sollen. Weitere Informationen zu diesem Feature finden Sie im Abschnitt am Ende dieser Lerneinheit mit dem Titel Erweiterungseigenschaften und benutzerdefinierte Erweiterungseigenschaften.

9. Wählen Sie nach dem Erstellen der Regel Speichern aus.

10. Wählen Sie erstellen auf der Seite Neue Gruppe aus, um die Gruppe zu erstellen.

Wenn die eingegebene Regel ungültig ist, zeigt das System eine Erklärung an, warum die Regel nicht verarbeitet werden konnte. Diese Benachrichtigung enthält in der Regel Anweisungen zum Beheben der Regel.

Erstellen einer dynamischen Mitgliedschaftsregel

Tipp

Diese Schulung führt Sie in die Grundlagen der Erstellung dynamischer Mitgliedschaftsregeln ein. Es beschreibt die grundlegende Syntax, die in einem einzelnen Ausdruck verwendet wird, die unterstützten Werte für Ausdrücke, Regeln für mehrere und komplexe Ausdrücke und Erweiterungseigenschaften. Es enthält auch einige grundlegende Beispiele für häufig verwendete Regeln. Wenn Sie an erweiterten Anleitungen zur Regelsyntax und verschiedenen unterstützten Eigenschaften interessiert sind, lesen Sie Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.

Attributbasierte Regeln ermöglichen die dynamische Mitgliedschaft für eine Gruppe in Microsoft Entra ID. Sie können eine Regel für die dynamische Mitgliedschaft in Sicherheitsgruppen oder Microsoft 365-Gruppen einrichten. Wenn sich die Attribute eines Benutzers oder Geräts ändern, wertet das System alle dynamischen Gruppenregeln in einem Verzeichnis aus, um festzustellen, ob die Änderung das Hinzufügen oder Entfernen von Gruppen auslösen würde. Wenn ein Benutzer oder Gerät die Regel für eine Gruppe erfüllt, fügt das System sie automatisch als Mitglied dieser Gruppe hinzu. Das System entfernt sie automatisch aus der Gruppenmitgliedschaft, wenn sie die Regel nicht mehr erfüllen.

Die folgenden Regeln regeln die dynamische Mitgliedschaft:

• Sie können ein Mitglied einer dynamischen Gruppe nicht manuell hinzufügen oder entfernen.
• Sie können eine dynamische Gruppe für Geräte oder Benutzer erstellen, aber Sie können keine Regel erstellen, die sowohl Benutzer als auch Geräte enthält.
• Sie können keine Gerätegruppe basierend auf den Benutzerattributen des Gerätebesitzers erstellen. Gerätemitgliedschaftsregeln können nur auf Geräteattribute verweisen.

Regelsyntax für einen einzelnen Ausdruck

Ein einzelner Ausdruck ist die einfachste Form einer Mitgliedschaftsregel. Eine Regel mit einem einzelnen Ausdruck ähnelt diesem Beispiel: Property Operator Value, wobei die Syntax für die Eigenschaft der Name von object.property ist.

Das folgende Beispiel veranschaulicht eine ordnungsgemäß erstellte Mitgliedschaftsregel mit einem einzelnen Ausdruck:

user.department -eq “Sales“

Klammern sind für einen einzelnen Ausdruck optional. Die Gesamtlänge des Texts Ihrer Mitgliedschaftsregel darf 3.072 Zeichen nicht überschreiten.

Unterstützte Ausdrucksoperatoren

In der folgenden Tabelle sind alle unterstützten Operatoren und deren Syntax für einen einzelnen Ausdruck aufgeführt. Sie können Operatoren mit oder ohne Bindestrichpräfix (-) verwenden. Der Contains-Operator führt partielle Zeichenfolgen-Übereinstimmungen durch, aber keine Element-Übereinstimmungen in einer Auflistung.

Operator	Syntax
Ungleich	-ne
Gleich	-eq
Beginnt nicht mit	-notStartsWith
Beginnt mit	-startsWith
Enthält nicht	-notContains
Enthält	-contains
Nicht übereinstimmend	-notMatch
Übereinstimmung	-match
In	-in
Nicht In	-notIn

Wenn Sie den Wert eines Benutzerattributes mit mehreren Werten vergleichen möchten, können Sie die Operatoren -in oder -notIn verwenden. Verwenden Sie die Klammersymbole "[" and "]" , um die Liste der Werte zu beginnen und zu beenden.

Im folgenden Beispiel wird der Ausdruck als true ausgewertet, wenn der Wert von user.department einem der Werte in der Liste entspricht:

user.department -in ["50001","50002","50003","50005","50006","50007","50008","50016","50020","50024","50038","50039","51100"]

Sie können den Operator -match verwenden, um einen beliebigen regulären Ausdruck zuzuordnen.

Beispiel 1:

user.displayName -match "Da.*"

In diesem Beispiel werden "Da", "Dav" und "David" als True ausgewertet, während "aDa" als False ausgewertet wird.

Beispiel 2:

user.displayName -match ".*vid"

In diesem Beispiel wird "David" als True ausgewertet, während "Da" als False ausgewertet wird.

Erstellen des Texts einer Mitgliedschaftsregel

Eine Mitgliedschaftsregel, die eine Gruppe automatisch mit Benutzern oder Geräten auffüllt, ist ein binärer Ausdruck, der zu einem true- oder false-Ergebnis führt. Die drei Teile einer einfachen Regel sind:

• Eigenschaft
• Operator
• Wert

Tipp

Die Reihenfolge der Teile in einem Ausdruck ist wichtig, um Syntaxfehler zu vermeiden.

Unterstützte Eigenschaften

Sie können drei Eigenschaftentypen verwenden, um eine Mitgliedschaftsregel zu erstellen.

• Boolesch
• Zeichenfolge
• Zeichenfolgenauflistung

Unterstützte Werte

Die in einem Ausdruck verwendeten Werte können aus mehreren Typen bestehen, darunter:

• Zeichenfolgen
• Boolesch – Wert true, false
• Zahlen
• Arrays – Zahlenarray, Zeichenfolgenarray

Beim Angeben eines Werts innerhalb eines Ausdrucks ist es wichtig, die richtige Syntax zu verwenden, um Fehler zu vermeiden. Einige Syntaxtipps sind:

• Doppelte Anführungszeichen sind optional, es sei denn, der Wert ist eine Zeichenfolge.
• Bei Zeichenfolgen- und RegEx-Vorgängen wird die Groß-/Kleinschreibung nicht beachtet.
• Wenn ein Zeichenfolgenwert doppelte Anführungszeichen enthält, sollten Sie beide Anführungszeichen mithilfe des Zeichens " mit Escapezeichen versehen. Die richtige Syntax, wenn "Sales" der Wert ist, lautet beispielsweise: user.department -eq ` “Sales“ '
• Sie sollten einfache Anführungszeichen in zwei einfachen Anführungszeichen anstelle eines escapen.
• Sie können auch NULL-Überprüfungen mit NULL als Wert durchführen. Beispiel: user.department -eq null

Regeln mit mehreren Ausdrücken

Eine Gruppenmitgliedschaftsregel kann aus mehr als einem einzelnen Ausdruck bestehen, der durch die logischen Operatoren -and, -or und -not verbunden ist. Sie können auch logische Operatoren in Kombination verwenden.

Im Folgenden sind Beispiele für ordnungsgemäß erstellte Mitgliedschaftsregeln mit mehreren Ausdrücken aufgeführt:

(user.department -eq “Sales“) -or (user.department -eq “Marketing“)

(user.department -eq “Sales“) -and -not (user.jobTitle -contains “SDE“)

Regeln mit komplexen Ausdrücken

Eine Mitgliedschaftsregel kann aus komplexen Ausdrücken bestehen, bei denen die Eigenschaften, Operatoren und Werte komplexere Formen annehmen. Das System betrachtet einen Ausdruck als komplex, wenn einer der folgenden Punkte zutrifft:

• Die -Eigenschaft besteht aus einer Auflistung von Werten. insbesondere mehrwertige Eigenschaften.
• Die Ausdrücke verwenden die Operatoren -any und -all.
• Der Wert des Ausdrucks kann selbst ein oder mehrere Ausdrücke sein.

Beispiele für allgemeine Regeln

Erstellen einer Regel für direkte Berichte

Sie können eine Gruppe erstellen, die alle direkten Berichte eines Managers enthält. Wenn sich die direkten Berichte des Managers in Zukunft ändern, passt das System automatisch die Mitgliedschaft der Gruppe an.

Sie können die Regel für direkte Berichte mit der folgenden Syntax erstellen:

Direct Reports for “{objectID_of_manager}“

Hier sehen Sie ein Beispiel für eine gültige Regel, bei der "62e19b97-8b3d-4d4a-a106-4ce66896a863" die objectID des Managers ist:

Direct Reports for “62e19b97-8b3d-4d4a-a106-4ce66896a863“

Die folgenden Tipps können Ihnen helfen, die Regel ordnungsgemäß zu verwenden.

• Die Manager-ID ist die Objekt-ID des Managers. Sie finden die Manager-ID im Profil des Vorgesetzten.
• Damit die Regel funktioniert, stellen Sie sicher, dass Sie die Manager-Eigenschaft für Benutzer in Ihrem organization richtig festlegen. Sie können den aktuellen Wert im Profil des Benutzers überprüfen.
• Diese Regel unterstützt nur die direkten Berichte des Managers. Anders ausgedrückt: Sie können keine Gruppe mit den direkten Berichten des Vorgesetzten und deren Berichten erstellen.
• Sie können diese Regel nicht mit anderen Mitgliedschaftsregeln kombinieren.

Erstellen einer Regel für alle Benutzer

Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe erstellen, die alle Benutzer innerhalb eines organization enthält. Wenn Sie Benutzer in Zukunft hinzufügen oder entfernen, passt das System automatisch die Gruppenmitgliedschaft an.

Sie erstellen die Regel Alle Benutzer mithilfe eines einzelnen Ausdrucks, der den Operator -ne und den NULL-Wert enthält. Diese Regel fügt B2B-Gastbenutzer und Mitgliedsbenutzer zu einer Gruppe hinzu.

user.objectId -ne null

Wenn Ihre Gruppe Gastbenutzer ausschließen und nur Mitglieder Ihrer organization einschließen soll, können Sie die folgende Syntax verwenden:

(user.objectId -ne null) -and (user.userType -eq “Member“)

Erstellen einer Regel für alle Geräte

Sie können mithilfe einer Mitgliedschaftsregel eine Gruppe erstellen, die alle Geräte in einem organization enthält. Wie bei Benutzern passt das System beim zukünftigen Hinzufügen oder Entfernen von Geräten automatisch die Gruppenmitgliedschaft an.

Sie erstellen die Regel Alle Geräte mithilfe eines einzelnen Ausdrucks, der den Operator -ne und den NULL-Wert enthält:

device.objectId -ne null

Erweiterungseigenschaften und benutzerdefinierte Erweiterungseigenschaften

Das System unterstützt Erweiterungsattribute und benutzerdefinierte Erweiterungseigenschaften als Zeichenfolgeneigenschaften in Dynamischen Mitgliedschaftsregeln. Es synchronisiert Erweiterungsattribute aus dem lokalen Window Server Active Directory oder Updates mithilfe von Microsoft Graph. Diese Attribute haben das Format extensionAttributeX, wobei X gleich 1 bis 15 ist.

Achtung

Mehrwertige Erweiterungseigenschaften in Dynamischen Mitgliedschaftsregeln werden vom System nicht unterstützt.

Im folgenden Beispiel wird eine Regel angezeigt, die ein Erweiterungsattribut als Eigenschaft verwendet:

(user.extensionAttribute15 -eq “Marketing“)

Sie können benutzerdefinierte Erweiterungseigenschaften aus folgendem Beispiel synchronisieren:

• Lokale Windows Server Active Directory
• eine verbundene SaaS-Anwendung
• erstellt mit Microsoft Graph

Benutzerdefinierte Erweiterungseigenschaften müssen das Format verwenden user.extension_[GUID]_[Attribute], wobei Folgendes gilt:

• [GUID] ist die entfernte Version des eindeutigen Bezeichners in Microsoft Entra ID für die Anwendung, die die Eigenschaft erstellt hat. Sie enthält nur die Zeichen 0-9 und A-Z.
• [Attribut] ist der Name der Eigenschaft, wenn sie ursprünglich erstellt wurde.

Ein Beispiel für eine Regel, die eine benutzerdefinierte Erweiterungseigenschaft verwendet, ist:

user.extension_c272a57b722d4eb29bfe327874ae79cb_OfficeNumber -eq "123"

Benutzerdefinierte Erweiterungseigenschaften werden auch als Verzeichnis- oder Microsoft Entra-Erweiterungseigenschaften bezeichnet.

Sie können den Namen der benutzerdefinierten Eigenschaft im Verzeichnis finden, indem Sie die Eigenschaft eines Benutzers mithilfe von Graph Explorer abfragen und nach dem Eigenschaftennamen suchen. Außerdem können Sie jetzt im Regel-Generator für dynamische Benutzergruppen den Link Benutzerdefinierte Erweiterungseigenschaften abrufen auswählen, um eine eindeutige App-ID einzugeben. Auf diese Weise wird die vollständige Liste der benutzerdefinierten Erweiterungseigenschaften angezeigt, die beim Erstellen einer dynamischen Mitgliedschaftsregel verwendet werden sollen. Sie können diese Liste aktualisieren, um alle neuen benutzerdefinierten Erweiterungseigenschaften für diese App abzurufen. Erweiterungsattribute und benutzerdefinierte Erweiterungseigenschaften müssen aus Anwendungen in Ihrem Mandanten stammen.