Udostępnij za pośrednictwem


Zmienianie grup statycznych na dynamiczne grupy członkostwa w usłudze Microsoft Entra ID

Możesz zmienić członkostwo grupy ze statycznej na dynamiczną (lub odwrotnie) W usłudze Microsoft Entra ID, część firmy Microsoft Entra. Identyfikator entra firmy Microsoft zachowuje tę samą nazwę grupy i identyfikator w systemie, więc wszystkie istniejące odwołania do grupy są nadal prawidłowe. Jeśli zamiast tego utworzysz nową grupę, musisz zaktualizować te odwołania. Tworzenie dynamicznych grup członkostwa eliminuje nakłady pracy związane z zarządzaniem dodawaniem i usuwaniem użytkowników. W tym artykule opisano sposób konwertowania istniejących grup ze statycznych na dynamiczne grupy członkostwa przy użyciu portalu lub poleceń cmdlet programu PowerShell. W usłudze Microsoft Entra jedna dzierżawa może mieć maksymalnie 15 000 dynamicznych grup członkostwa.

Ostrzeżenie

Podczas zmiany istniejącej grupy statycznej na grupę dynamiczną wszystkie istniejące elementy członkowskie zostaną usunięte z grupy, a następnie reguła członkostwa jest przetwarzana w celu dodania nowych członków. Jeśli grupa jest używana do kontrolowania dostępu do aplikacji lub zasobów, należy pamiętać, że oryginalne elementy członkowskie mogą utracić dostęp do momentu pełnego przetworzenia reguły członkostwa.

Zalecamy przetestowanie nowej reguły członkostwa wcześniej, aby upewnić się, że nowe członkostwo w grupie jest zgodnie z oczekiwaniami. Jeśli podczas testu wystąpią błędy, zobacz Rozwiązywanie problemów z licencją grup.

Zmienianie typu członkostwa dla grupy

Poniższe kroki można wykonać przy użyciu konta z przypisaną co najmniej rolą Administrator grup.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.
  2. Wybierz Microsoft Entra ID.
  3. Grupy.
  4. Z listy Wszystkie grupy otwórz grupę, którą chcesz zmienić.
  5. Wybierz Właściwości.
  6. Na stronie Właściwości grupy wybierz typ członkostwa Przypisany (statyczny), Dynamiczny użytkownik lub Urządzenie dynamiczne w zależności od żądanego typu członkostwa. W przypadku dynamicznych grup członkostwa możesz użyć konstruktora reguł, aby wybrać opcje dla prostej reguły lub samodzielnie napisać regułę członkostwa.

Poniższe kroki to przykład zmiany grupy ze statycznych na dynamiczne grupy członkostwa dla grupy użytkowników.

  1. Na stronie Właściwości wybranej grupy wybierz typ członkostwa użytkownika dynamicznego, a następnie wybierz pozycję Tak w oknie dialogowym wyjaśniającym zmiany w grupach członkostwa dynamicznego, aby kontynuować.

    Zrzut ekranu przedstawiający wybieranie typu członkostwa użytkownika dynamicznego.

  2. Wybierz pozycję Dodaj zapytanie dynamiczne, a następnie podaj regułę.

    Zrzut ekranu przedstawiający wprowadzanie reguły dla grupy dynamicznej.

  3. Po utworzeniu reguły wybierz pozycję Dodaj zapytanie w dolnej części strony.

  4. Wybierz pozycję Zapisz na stronie Właściwości grupy, aby zapisać zmiany. Typ członkostwa grupy jest natychmiast aktualizowany na liście grup.

Napiwek

Konwersja grupy może zakończyć się niepowodzeniem, jeśli wprowadzona reguła członkostwa była niepoprawna. Powiadomienie jest wyświetlane w prawym górnym rogu portalu, które zawiera wyjaśnienie, dlaczego reguła nie może zostać zaakceptowana przez system. Uważnie przeczytaj go, aby dowiedzieć się, jak można dostosować regułę, aby była prawidłowa. Aby zapoznać się z przykładami składni reguły i pełną listą obsługiwanych właściwości, operatorów i wartości dla reguły członkostwa, zobacz Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID.

Zmienianie typu członkostwa dla grupy (PowerShell)

Uwaga

Aby zmienić właściwości grupy dynamicznej, należy użyć poleceń cmdlet z modułu Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Instalowanie zestawu Microsoft Graph PowerShell SDK.

Oto przykład funkcji, które przełączają zarządzanie członkostwem w istniejącej grupie. W tym przykładzie należy zadbać o poprawne manipulowanie właściwością GroupTypes i zachowywanie wszystkich wartości, które nie są powiązane z dynamicznymi grupami członkostwa.

#The moniker for dynamic membership groups as used in the GroupTypes property of a group object
$dynamicGroupTypeString = "DynamicMembership"

function ConvertDynamicGroupToStatic
{
    Param([string]$groupId)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -eq $null -or !$groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a static group. Aborting conversion.";
    }


    #remove the type for dynamic membership groups, but keep the other type values
    $groupTypes.Remove($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to remove the dynamic type, ii) pause execution of the current rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "Paused"
}

function ConvertStaticGroupToDynamic
{
    Param([string]$groupId, [string]$dynamicMembershipRule)

    #existing group types
    [System.Collections.ArrayList]$groupTypes = (Get-MgGroup -GroupId $groupId).GroupTypes

    if($groupTypes -ne $null -and $groupTypes.Contains($dynamicGroupTypeString))
    {
        throw "This group is already a dynamic group. Aborting conversion.";
    }
    #add the dynamic group type to existing types
    $groupTypes.Add($dynamicGroupTypeString)

    #modify the group properties to make it a static group: i) change GroupTypes to add the dynamic type, ii) start execution of the rule, iii) set the rule
    Update-MgGroup -GroupId $groupId -GroupTypes $groupTypes.ToArray() -MembershipRuleProcessingState "On" -MembershipRule $dynamicMembershipRule
}

Aby utworzyć grupę statyczną:

ConvertDynamicGroupToStatic "a58913b2-eee4-44f9-beb2-e381c375058f"

Aby utworzyć grupę dynamiczną:

ConvertStaticGroupToDynamic "a58913b2-eee4-44f9-beb2-e381c375058f" "user.displayName -startsWith ""Peter"""

Następne kroki

Te artykuły zawierają dodatkowe informacje o grupach w usłudze Microsoft Entra ID.