Share via

Groepslidmaatschap in een dynamische groep in Microsoft Entra-id

  • Artikel

Met deze functievoorbeeld in Microsoft Entra ID kunnen beheerders dynamische groepen en beheereenheden maken die worden ingevuld door leden van andere groepen toe te voegen met behulp van het memberOf kenmerk. Apps die voorheen geen groepslidmaatschap konden lezen in Microsoft Entra ID, kunnen nu het volledige lidmaatschap van deze nieuwe memberOf groepen lezen. Deze groepen kunnen niet alleen worden gebruikt voor apps, maar ze kunnen ook worden gebruikt voor licentietoewijzingen.

In het volgende diagram ziet u hoe u Dynamic-Group-A kunt maken met leden van Security-Group-X en Security-Group-Y. Leden van de groepen binnen Security-Group-X en Security-Group-Y worden geen leden van Dynamic-Group-A.

Diagram waarin wordt getoond hoe het kenmerk memberOf werkt.

Met deze preview kunnen beheerders dynamische groepen configureren met het memberOf kenmerk in Azure Portal, Microsoft Graph en PowerShell. Beveiligingsgroepen, Microsoft 365-groepen en groepen die vanuit on-premises Active Directory worden gesynchroniseerd, kunnen allemaal worden toegevoegd als leden van deze dynamische groepen. Ze kunnen ook allemaal worden toegevoegd aan één groep. De dynamische groep kan bijvoorbeeld een beveiligingsgroep zijn, maar u kunt Microsoft 365-groepen, beveiligingsgroepen en groepen gebruiken die vanuit on-premises worden gesynchroniseerd om het lidmaatschap ervan te definiëren.

Vereisten

U moet ten minste een gebruiker Beheer istrator zijn om het memberOf kenmerk te gebruiken om een dynamische Microsoft Entra-groep te maken. U moet een Microsoft Entra ID P1- of P2-licentie hebben voor de Microsoft Entra-tenant.

Preview-beperkingen

  • Elke Microsoft Entra-tenant is beperkt tot 500 dynamische groepen met behulp van het memberOf kenmerk. De memberOf groepen tellen mee voor het totale quotum voor dynamisch groepslid van 15.000.
  • Elke dynamische groep kan maximaal 50 ledengroepen hebben.
  • Wanneer u leden van beveiligingsgroepen toevoegt aan memberOf dynamische groepen, worden alleen directe leden van de beveiligingsgroep lid van de dynamische groep.
  • U kunt geen dynamische groep gebruiken memberOf om het lidmaatschap van een andere memberOf dynamische groep te definiëren. Dynamische groep A, met leden van groep B en C, kan bijvoorbeeld geen lid zijn van dynamische groep D.
  • Het memberOf kenmerk kan niet worden gebruikt met andere regels. Een regel met de status dynamische groep A moet bijvoorbeeld leden van groep B bevatten en mag ook alleen gebruikers bevatten die zich in Redmond bevinden.
  • De opbouwfunctie voor dynamische groepsregels en het valideren van functies kan momenteel niet worden gebruikt memberOf .
  • Het memberOf kenmerk kan niet worden gebruikt met andere operators. U kunt bijvoorbeeld geen regel maken met de tekst 'Leden van groep A kunnen niet in dynamische groep B staan'.

Aan de slag

Deze functie kan worden gebruikt in Azure Portal, Microsoft Graph en PowerShell. Omdat memberOf deze nog niet wordt ondersteund in de opbouwfunctie voor regels, moet u de regel invoeren in de regeleditor.

Een dynamische groep memberOf maken

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.
  2. Blader naar Identiteitsgroepen>>Alle groepen.
  3. Selecteer Nieuwe groep.
  4. Vul groepsdetails in. Het groepstype kan beveiliging of Microsoft 365 zijn en het lidmaatschapstype kan worden ingesteld op Dynamisch gebruiker of dynamisch apparaat.
  5. Selecteer Dynamische query toevoegen.
  6. MemberOf wordt nog niet ondersteund in de opbouwfunctie voor regels. Selecteer Bewerken om de regel in het vak Regelsyntaxis te schrijven.
    1. Voorbeeld van een gebruikersregel: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Voorbeeld van apparaatregel: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Selecteer OK.
  8. Selecteer Groep maken.