Megosztás a következőn keresztül:

Dinamikus tagsági csoportok konfigurálása a memberOf attribútummal az Azure Portalon

  • Cikk

A Microsoft Entra ID szolgáltatás előzetes verziója lehetővé teszi a rendszergazdák számára, hogy dinamikus tagsági csoportokat és felügyeleti egységeket hozzanak létre, amelyeket az attribútum használatával memberOf más csoportok tagjainak hozzáadásával töltenek fel. Azok az alkalmazások, amelyek korábban nem tudtak csoportalapú tagságot olvasni a Microsoft Entra-azonosítóban, most már elolvashatják ezeknek az új memberOf csoportoknak a teljes tagságát. Ezek a csoportok nem csak alkalmazásokhoz használhatók, hanem licencelési hozzárendelésekhez is.

Az alábbi ábra bemutatja, hogyan hozhat létre Dynamic-Group-A-t a Security-Group-X és a Security-Group-Y tagjaival. A Security-Group-X és a Security-Group-Y csoport tagjai nem lesznek a Dynamic-A csoport tagjai.

A memberOf attribútum működését bemutató diagram.

Ezzel az előzetes verzióval a rendszergazdák dinamikus tagsági csoportokat konfigurálhatnak az Azure Portal, a Microsoft Graph és a memberOf PowerShell attribútumával. A biztonsági csoportok, a Microsoft 365-csoportok és a helyi Active Directory szinkronizált csoportok mind hozzáadhatók e dinamikus tagsági csoportok tagjaiként. Ezek is hozzáadhatók egyetlen csoporthoz. A dinamikus csoport lehet például biztonsági csoport, de a helyszíni microsoft 365-csoportok, biztonsági csoportok és a helyszíni szinkronizált csoportok segítségével határozhatja meg a tagságát.

Előfeltételek

Microsoft Entra dinamikus csoport létrehozásához legalább felhasználói rendszergazdának kell lennie ahhoz, hogy az memberOf attribútumot használja. Microsoft Entra-azonosítójú P1 vagy P2 licenccel kell rendelkeznie a Microsoft Entra-bérlőhöz.

Előzetes verzióra vonatkozó korlátozások

  • Minden Microsoft Entra-bérlő legfeljebb 500 dinamikus tagsági csoportot használhat az memberOf attribútum használatával. A memberOf csoportok a 15 000-ből álló teljes dinamikus csoporttagkvóta felé számlálnak.
  • Minden dinamikus csoport legfeljebb 50 tagcsoportot tartalmazhat.
  • Amikor biztonsági csoportok tagjait ad hozzá a dinamikus tagsági csoportokhoz memberOf , csak a biztonsági csoport közvetlen tagjai lesznek a dinamikus csoport tagjai.
  • Nem használhat dinamikus csoportot egy memberOf másik memberOf dinamikus csoport tagságának meghatározásához. Például az A dinamikus csoport, amelyben a B és a C csoport tagjai is szerepelnek, nem lehetnek a D dinamikus csoport tagjai.
  • Az memberOf attribútum nem használható más szabályokkal. Egy dinamikus A csoportot tartalmazó szabálynak például a B csoport tagjait kell tartalmaznia, és csak a Redmondban található felhasználókat kell tartalmaznia.
  • A dinamikus csoportszabály-szerkesztő és -érvényesítési funkció jelenleg nem használható memberOf .
  • Az memberOf attribútum nem használható más operátorokkal. Nem hozhat létre például olyan szabályt, amely szerint "Az A csoport tagjai nem lehetnek a B dinamikus csoportban".
  • A dinamikus tagsági csoportokban memberOf szereplő felhasználók lassabb feldolgozási időt okozhatnak a bérlő számára, ha a bérlő nagy számú csoportot vagy gyakori dinamikus tagsági csoportokat frissít.

Első lépések

Ez a funkció az Azure Portalon, a Microsoft Graphban és a PowerShellben használható. Mivel memberOf a szabályszerkesztő még nem támogatja, be kell írnia a szabályt a szabályszerkesztőbe.

MemberOf dinamikus csoport létrehozása

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.
  2. Tallózással keresse meg a Minden csoport identitáscsoportot>>.
  3. Válassza az Új csoportot.
  4. Adja meg a csoport adatait. A csoport típusa lehet Security vagy Microsoft 365, a tagság típusa pedig dinamikus felhasználó vagy dinamikus eszköz lehet.
  5. Válassza a Dinamikus lekérdezés hozzáadása lehetőséget.
  6. A MemberOf még nem támogatott a szabályszerkesztőben. Válassza a Szerkesztés lehetőséget a szabály a Szabály szintaxisa mezőben való megírásához.
    1. Példa felhasználói szabályra: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Példa eszközszabályra: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Kattintson az OK gombra.
  8. Válassza a Csoport létrehozása lehetőséget.