Tworzenie lub aktualizowanie grupy dynamicznej w identyfikatorze Entra firmy Microsoft

  • Artykuł

Możesz użyć reguł, aby określić członkostwo w grupie na podstawie właściwości użytkownika lub urządzenia w usłudze Microsoft Entra ID, część firmy Microsoft Entra. W tym artykule opisano sposób konfigurowania reguły dla grupy dynamicznej w witrynie Azure Portal.

Członkostwo dynamiczne jest obsługiwane w przypadku grup zabezpieczeń i Grupy Microsoft 365. Po zastosowaniu reguły członkostwa w grupie atrybuty użytkownika i urządzenia są oceniane pod kątem dopasowań do reguły członkostwa. Gdy atrybut zmieni się dla użytkownika lub urządzenia, wszystkie reguły grupy dynamicznej w organizacji są przetwarzane w celu zmiany członkostwa. Użytkownicy i urządzenia są dodawani lub usuwani, jeśli spełniają warunki grupy.

Grupy zabezpieczeń mogą być używane dla urządzeń lub użytkowników, ale Grupy Microsoft 365 mogą być tylko grupami użytkowników. Korzystanie z grup dynamicznych wymaga licencji Microsoft Entra ID P1 lub licencji usługi Intune for Education. Aby uzyskać więcej informacji, zobacz Reguły członkostwa dynamicznego dla grup .

Konstruktor reguł w witrynie Azure Portal

Identyfikator Entra firmy Microsoft udostępnia konstruktor reguł do szybszego tworzenia i aktualizowania ważnych reguł. Konstruktor reguł obsługuje konstrukcję do pięciu wyrażeń. Konstruktor reguł ułatwia tworzenie reguły za pomocą kilku prostych wyrażeń, jednak nie można jej używać do odtworzenia każdej reguły. Jeśli konstruktor reguł nie obsługuje reguły, którą chcesz utworzyć, możesz użyć pola tekstowego.

Poniżej przedstawiono kilka przykładów zaawansowanych reguł lub składni, dla których zalecamy konstruowanie przy użyciu pola tekstowego:

Uwaga

Konstruktor reguł może nie być w stanie wyświetlić niektórych reguł skonstruowanych w polu tekstowym. Może zostać wyświetlony komunikat, gdy konstruktor reguł nie może wyświetlić reguły. Konstruktor reguł nie zmienia obsługiwanej składni, walidacji ani przetwarzania reguł grupy dynamicznej w żaden sposób.

Screenshot that shows the Dynamic membership rules page with the Add expression action on the Configure rules tab selected.

Przykłady składni, obsługiwanych właściwości, operatorów i wartości dla reguły członkostwa można znaleźć w temacie Dynamiczne reguły członkostwa dla grup w usłudze Microsoft Entra ID.

Aby utworzyć regułę członkostwa w grupie

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator grup.

  2. Wybierz pozycję Microsoft Entra ID.>Grupy.

  3. Wybierz pozycję Wszystkie grupy i wybierz pozycję Nowa grupa.

    Screenshot showing how to select the Add new group action.

  4. Na stronie Grupa wprowadź nazwę i opis nowej grupy. Wybierz typ członkostwa dla użytkowników lub urządzeń, a następnie wybierz pozycję Dodaj zapytanie dynamiczne. Konstruktor reguł obsługuje maksymalnie pięć wyrażeń. Aby dodać więcej niż pięć wyrażeń, należy użyć pola tekstowego.

    Screenshot that shows the All groups page with the New group action selected.

  5. Aby wyświetlić niestandardowe właściwości rozszerzenia dostępne dla zapytania członkostwa:

    1. Wybierz pozycję Pobierz właściwości rozszerzenia niestandardowego
    2. Wprowadź identyfikator aplikacji, a następnie wybierz pozycję Odśwież właściwości.

  6. Po utworzeniu reguły wybierz pozycję Zapisz.

  7. Wybierz pozycję Utwórz na stronie Nowa grupa , aby utworzyć grupę.

Jeśli wprowadzona reguła nie jest prawidłowa, wyjaśnienie, dlaczego nie można przetworzyć reguły, zostanie wyświetlone w powiadomieniu w portalu. Uważnie przeczytaj go, aby dowiedzieć się, jak naprawić regułę.

Aby zaktualizować istniejącą regułę

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator grup.

  2. Wybierz Microsoft Entra ID.

  3. Wybierz pozycję Grupy>Wszystkie grupy.

  4. Wybierz grupę, aby otworzyć jej profil.

  5. Na stronie profilu grupy wybierz pozycję Reguły członkostwa dynamicznego. Konstruktor reguł obsługuje maksymalnie pięć wyrażeń. Aby dodać więcej niż pięć wyrażeń, należy użyć pola tekstowego.

    Screenshot showing how to add a membership rule for a dynamic group.

  6. Aby wyświetlić właściwości rozszerzenia niestandardowego dostępne dla reguły członkostwa:

    1. Wybierz pozycję Pobierz właściwości rozszerzenia niestandardowego
    2. Wprowadź identyfikator aplikacji, a następnie wybierz pozycję Odśwież właściwości.

  7. Po zaktualizowaniu reguły wybierz pozycję Zapisz.

Włączanie lub wyłączanie powitalnej wiadomości e-mail

Po utworzeniu nowej grupy platformy Microsoft 365 zostanie wysłane powitalne powiadomienie e-mail użytkowników, którzy są dodawani do grupy. Później, jeśli jakiekolwiek atrybuty użytkownika lub urządzenia (tylko w przypadku grup zabezpieczeń) zmieniają się, wszystkie reguły grupy dynamicznej w organizacji są przetwarzane pod kątem zmian członkostwa. Użytkownicy, którzy są dodawani, otrzymają również powiadomienie powitalne. To zachowanie można wyłączyć w programie Exchange PowerShell.

Sprawdzanie stanu przetwarzania dla reguły

Stan przetwarzania reguł dynamicznych i data ostatniej zmiany członkostwa można zobaczyć na stronie Przegląd grupy.

Screenshot of a diagram of the dynamic group status.

Dla stanu dynamicznego przetwarzania reguł można wyświetlić następujące komunikaty o stanie:

  • Ocena: zmiana grupy została odebrana i aktualizacje są oceniane.
  • Przetwarzanie: Aktualizacje są przetwarzane.
  • Ukończono aktualizację: przetwarzanie zostało ukończone i zostały wykonane wszystkie odpowiednie aktualizacje.
  • Błąd przetwarzania: nie można ukończyć przetwarzania z powodu błędu oceniania reguły członkostwa.
  • Aktualizacja wstrzymana: aktualizacje reguł członkostwa dynamicznego zostały wstrzymane przez administratora. Właściwość MembershipRuleProcessingState jest ustawiona na wartość "Wstrzymano".

Uwaga

Na tym ekranie możesz również wybrać opcję Wstrzymaj przetwarzanie. Wcześniej ta opcja była dostępna tylko za pośrednictwem modyfikacji właściwości membershipRuleProcessingState. Administratorzy globalni, administratorzy grup, administratorzy użytkowników i administratorzy usługi Intune mogą zarządzać tym ustawieniem i mogą wstrzymywać i wznawiać przetwarzanie grup dynamicznych. Właściciele grup bez odpowiednich ról nie mają uprawnień potrzebnych do edytowania tego ustawienia.

W obszarze Stan ostatniej zmiany członkostwa można wyświetlić następujące komunikaty o stanie:

  • <Data i godzina>: godzina ostatniej aktualizacji członkostwa.
  • W toku: Aktualizacje są obecnie w toku.
  • Nieznany: nie można pobrać czasu ostatniej aktualizacji. Grupa może być nowa.

Ważne

Po wstrzymaniu i usunięciu członkostwa w grupie dynamicznej data "Ostatnia zmiana członkostwa" będzie zawierać wartość symbolu zastępczego. Ta wartość zostanie zaktualizowana po zakończeniu przetwarzania.

Jeśli podczas przetwarzania reguły członkostwa dla określonej grupy wystąpi błąd, w górnej części strony Przegląd grupy zostanie wyświetlony alert. Jeśli nie można przetworzyć oczekujących aktualizacji członkostwa dynamicznego dla wszystkich grup w organizacji przez ponad 24 godziny, w górnej części pozycji Wszystkie grupy zostanie wyświetlony alert.

Screenshot showing how to process error message alerts.

Następne kroki

Poniższe artykuły zawierają dodatkowe informacje na temat używania grup w usłudze Microsoft Entra ID.