Statikus csoportok módosítása dinamikus tagsági csoportokra a Microsoft Entra-azonosítóban
Egy csoport tagságát statikusról dinamikusra (vagy fordítva) módosíthatja a Microsoft Entra id-ban, a Microsoft Entra részeként. A Microsoft Entra ID megtartja ugyanazt a csoportnevet és -azonosítót a rendszerben, így a csoportra vonatkozó összes meglévő hivatkozás továbbra is érvényes. Ha ehelyett új csoportot hoz létre, frissítenie kell ezeket a hivatkozásokat. A dinamikus tagsági csoportok létrehozása kiküszöböli a felhasználók hozzáadásával és eltávolításával kapcsolatos felügyeleti többletterhelést. Ez a cikk bemutatja, hogyan konvertálhat meglévő csoportokat statikusról dinamikus tagsági csoportokra a portál vagy a PowerShell-parancsmagok használatával. A Microsoft Entra-ban egyetlen bérlő legfeljebb 15 000 dinamikus tagsági csoporttal rendelkezhet.
Figyelmeztetés
Ha egy meglévő statikus csoportot dinamikus csoportra módosít, a rendszer eltávolítja az összes meglévő tagot a csoportból, majd a tagsági szabály feldolgozása új tagok hozzáadására történik. Ha a csoport az alkalmazásokhoz vagy erőforrásokhoz való hozzáférés szabályozására szolgál, vegye figyelembe, hogy az eredeti tagok a tagsági szabály teljes feldolgozásáig elveszítik a hozzáférést.
Javasoljuk, hogy előzetesen tesztelje az új tagsági szabályt, hogy meggyőződjön arról, hogy a csoport új tagsága a vártnak megfelelően van-e. Ha a teszt során hibákba ütközik, olvassa el a csoportlicenc-problémák megoldása című témakört.
Csoport tagságtípusának módosítása
Az alábbi lépéseket egy olyan fiókkal hajthatja végre, amelyhez legalább a Csoportok rendszergazdai szerepköre van hozzárendelve.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább csoportadminisztrátorként.
- Válassza ki a Microsoft Entra ID.
- Csoportok.
- A Minden csoport listában nyissa meg a módosítani kívánt csoportot.
- Válassza ki a tulajdonságokat.
- A csoport Tulajdonságok lapján válassza ki a hozzárendelt (statikus), a dinamikus felhasználó vagy a dinamikus eszköz tagságtípusát a kívánt tagságtípustól függően. Dinamikus tagsági csoportok esetén a szabályszerkesztővel kiválaszthatja az egyszerű szabály beállításait, vagy saját maga írhat tagsági szabályt.
Az alábbi lépések egy példa arra, hogy egy csoport statikusról dinamikus tagsági csoportra változik egy felhasználói csoport esetében.
A kijelölt csoport Tulajdonságok lapján válassza ki a dinamikus felhasználó tagságtípusát, majd válassza az Igen lehetőséget a dinamikus tagsági csoportok módosításait ismertető párbeszédpanelen a folytatáshoz.
Válassza a Dinamikus lekérdezés hozzáadása lehetőséget, majd adja meg a szabályt.
A szabály létrehozása után válassza a Lekérdezés hozzáadása lehetőséget a lap alján.
A módosítások mentéséhez válassza a Csoport Tulajdonságok lapján a Mentés lehetőséget. A csoport tagságtípusa azonnal frissül a csoportlistában.
Tipp.
A csoportátalakítás sikertelen lehet, ha a megadott tagsági szabály helytelen volt. A portál jobb felső sarkában megjelenik egy értesítés, amely magyarázatot tartalmaz arra, hogy a szabály miért nem fogadható el a rendszer számára. Olvassa el figyelmesen, hogy megértse, hogyan módosíthatja a szabályt, hogy érvényes legyen. Példák a szabályszintaxisra és a tagsági szabály támogatott tulajdonságainak, operátorainak és értékeinek teljes listájára: Dinamikus tagsági csoportok szabályainak kezelése a Microsoft Entra-azonosítóban.
Csoport tagságtípusának módosítása (PowerShell)
Feljegyzés
A dinamikus csoporttulajdonságok módosításához a Microsoft Graph PowerShell-modul parancsmagjait kell használnia. További információ: A Microsoft Graph PowerShell SDK telepítése.
Íme egy példa azokra a függvényekre, amelyek egy meglévő csoport tagságkezelését váltják át. Ebben a példában ügyelni kell a GroupTypes tulajdonság helyes módosítására és a dinamikus tagsági csoportokhoz nem kapcsolódó értékek megőrzésére.
#The moniker for dynamic membership groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"
function ConvertDynamicGroupToStatic
{
Param([string]$groupId)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a static group. Aborting conversion.";
}
#remove the type for dynamic membership groups, but keep the other type values
$groupTypes.Remove($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}
function ConvertStaticGroupToDynamic
{
Param([string]$groupId, [string]$dynamicMembershipRule)
#existing group types
[System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes
if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
{
throw "This group is already a dynamic group. Aborting conversion.";
}
#add the dynamic group type to existing types
$groupTypes.Add($dynamicGroupTypeString)
#modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}
Csoport statikussá tétele:
ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"
Csoport dinamikussá tétele:
ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""
Következő lépések
Ezek a cikkek további információkat tartalmaznak a Microsoft Entra ID-ban található csoportokról.