Tworzenie lub aktualizowanie dynamicznej grupy członkostwa w usłudze Microsoft Entra ID

Reguły umożliwiają określanie dynamicznych grup członkostwa na podstawie właściwości użytkownika lub urządzenia w identyfikatorze Entra firmy Microsoft. W tym artykule opisano sposób konfigurowania reguły dla dynamicznych grup członkostwa w witrynie Azure Portal.

Członkostwo w grupie na podstawie właściwości użytkownika lub urządzenia jest obsługiwane w przypadku grup zabezpieczeń i grup platformy Microsoft 365. Po zastosowaniu reguły dla dynamicznej grupy członkostwa atrybuty użytkownika i urządzenia są oceniane pod kątem dopasowań do reguły członkostwa. Gdy atrybut zmieni się dla użytkownika lub urządzenia, wszystkie reguły dla dynamicznych grup członkostwa w organizacji są przetwarzane pod kątem zmian. Użytkownicy i urządzenia są dodawani lub usuwani, jeśli spełniają warunki dla dynamicznej grupy członkostwa. W usłudze Microsoft Entra ID jedna dzierżawa może mieć maksymalnie 15 000 dynamicznych grup członkostwa.

Uwaga

Grupy zabezpieczeń mogą obejmować urządzenia lub użytkowników, ale grupy platformy Microsoft 365 mogą obejmować tylko użytkowników.

Używanie dynamicznych grup członkostwa wymaga licencji Microsoft Entra ID P1 lub licencji usługi Intune for Education. Aby uzyskać więcej informacji, zobacz Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID.

Konstruktor reguł w witrynie Azure Portal

Identyfikator Entra firmy Microsoft udostępnia konstruktor reguł do szybszego tworzenia i aktualizowania ważnych reguł. Konstruktor reguł obsługuje konstrukcję maksymalnie pięciu wyrażeń.

Konstruktor reguł ułatwia tworzenie reguły za pomocą kilku prostych wyrażeń. Nie można jednak jej użyć do odtworzenia każdej reguły. Jeśli konstruktor reguł nie obsługuje reguły, którą chcesz utworzyć, możesz użyć pola tekstowego.

Poniżej przedstawiono kilka przykładów zaawansowanych reguł lub składni, dla których zalecamy użycie pola tekstowego:

• Reguła z więcej niż pięcioma wyrażeniami
• Reguła dla bezpośrednich raportów
• Ustawianie pierwszeństwa operatora
• Reguła z wyrażeniami złożonymi; na przykład (user.proxyAddresses -any (_ -contains "contoso"))

Uwaga

Konstruktor reguł może nie być w stanie wyświetlić niektórych reguł skonstruowanych w polu tekstowym. Może zostać wyświetlony komunikat, gdy konstruktor reguł nie może wyświetlić reguły. Konstruktor reguł nie zmienia obsługiwanej składni, walidacji ani przetwarzania reguł dla dynamicznych grup członkostwa w żaden sposób.

Aby zapoznać się z przykładami składni i obsługiwanych właściwości, operatorów i wartości dla reguły członkostwa, zobacz Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID.

Tworzenie reguły dla dynamicznej grupy członkostwa

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.

2. Wybierz Microsoft Entra ID>Grupy.

3. Wybierz pozycję Wszystkie grupy, a następnie wybierz pozycję Nowa grupa.

   

4. W okienku Grupa wprowadź nazwę i opis nowej grupy. Wybierz wartość Typ członkostwa dla użytkowników lub urządzeń, a następnie wybierz pozycję Dodaj zapytanie dynamiczne.

5. W konstruktorze reguł dodaj maksymalnie pięć wyrażeń. Aby dodać więcej niż pięć wyrażeń, należy użyć pola tekstowego.

   

6. Aby wyświetlić niestandardowe właściwości rozszerzenia, które są dostępne dla zapytania członkostwa:

   1. Wybierz pozycję Pobierz niestandardowe właściwości rozszerzenia.
   2. Wprowadź identyfikator aplikacji, a następnie wybierz pozycję Odśwież właściwości.

7. Po zakończeniu tworzenia reguły wybierz pozycję Zapisz.

8. Na stronie Nowa grupa wybierz pozycję Utwórz , aby utworzyć grupę.

Jeśli wprowadzona reguła nie jest prawidłowa, w portalu zostanie wyświetlone wyjaśnienie, dlaczego nie można przetworzyć reguły. Uważnie przeczytaj go, aby dowiedzieć się, jak naprawić regułę.

Aktualizowanie istniejącej reguły

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.

2. Wybierz Microsoft Entra ID.

3. Wybierz pozycję Grupy>Wszystkie grupy.

4. Wybierz grupę, aby otworzyć jej profil.

5. Na stronie profilu grupy wybierz pozycję Reguły członkostwa dynamicznego. Konstruktor reguł obsługuje maksymalnie pięć wyrażeń. Aby dodać więcej niż pięć wyrażeń, należy użyć pola tekstowego.

   

6. Aby wyświetlić właściwości niestandardowych rozszerzeń, które są dostępne dla twojej reguły członkostwa:

   1. Wybierz pozycję Pobierz niestandardowe właściwości rozszerzenia.
   2. Wprowadź identyfikator aplikacji, a następnie wybierz pozycję Odśwież właściwości.

7. Po zakończeniu aktualizowania reguły wybierz pozycję Zapisz.

Włączanie lub wyłączanie powitalnej wiadomości e-mail

Gdy administrator utworzy nową grupę platformy Microsoft 365, użytkownicy dodani do grupy otrzymają powitalne powiadomienie e-mail. Później, jeśli jakiekolwiek atrybuty użytkownika lub urządzenia (tylko dla grup zabezpieczeń) zmieniają się, wszystkie reguły dla dynamicznych grup członkostwa w organizacji są przetwarzane pod kątem zmian. Użytkownicy, którzy są dodawani, otrzymają również powiadomienie powitalne.

To zachowanie można włączyć lub wyłączyć w programie Exchange PowerShell.

Sprawdzanie stanu przetwarzania reguły

Stan przetwarzania reguł i datę ostatniej zmiany członkostwa można zobaczyć na stronie przeglądu dla dynamicznej grupy członkostwa.

Dla stanu dynamicznego przetwarzania reguł mogą pojawić się następujące komunikaty o stanie:

• Ocenianie: zmiana grupy została odebrana, a aktualizacje są oceniane.
• Przetwarzanie: aktualizacje są przetwarzane.
• Ukończono aktualizację: Zakończono przetwarzanie i wprowadzono wszystkie odpowiednie aktualizacje.
• Błąd przetwarzania: Przetwarzanie nie może zakończyć się z powodu błędu podczas oceniania reguły członkostwa.
• Wstrzymano aktualizację: administrator wstrzymał regułę w celu zaktualizowania dynamicznych grup członkostwa. MembershipRuleProcessingState jest ustawiony na Paused.
• Nie uruchomiono: przetwarzanie nie zostało uruchomione.

Uwaga

Ta strona ma teraz opcję Wstrzymaj przetwarzanie . Wcześniej ta opcja była dostępna tylko za pośrednictwem modyfikacji membershipRuleProcessingState właściwości. Osoba, która ma co najmniej rolę Administrator grup , może zarządzać tym ustawieniem i może wstrzymać i wznowić przetwarzanie dynamicznych grup członkostwa. Właściciele grup, którzy nie mają odpowiednich ról, nie mają niezbędnych praw do edytowania tego ustawienia.

Dla ostatniej zmiany członkostwa są wyświetlane następujące komunikaty o stanie:

• <Data i godzina>: członkostwo zostało ostatnio zaktualizowane w tej dacie i godzinie.
• W toku: aktualizacje są obecnie w toku.
• Nieznany: nie można pobrać czasu ostatniej aktualizacji. Grupa może być nowa.

Ważne

Po wstrzymaniu i usunięciu przetwarzania dynamicznych grup członkostwa data ostatniej zmiany członkostwa zawiera wartość symbolu zastępczego. Ta wartość jest aktualizowana po zakończeniu przetwarzania.

Jeśli podczas przetwarzania reguły członkostwa dla określonej grupy wystąpi błąd, w górnej części strony przeglądu grupy pojawi się alert. Jeśli nie można przetworzyć oczekujących aktualizacji dla dynamicznych grup członkostwa dla wszystkich grup w organizacji przez ponad 24 godziny, zostanie wyświetlony alert powyżej Wszystkie grupy.

Treści powiązane

• Tworzenie grupy z członkami i wyświetlanie wszystkich grup i członków
• Zarządzanie grupami i członkostwem w grupach Microsoft Entra
• Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID