Udostępnij za pośrednictwem

Tworzenie lub aktualizowanie dynamicznej grupy członkostwa w usłudze Microsoft Entra ID

  • Artykuł

Za pomocą reguł można określić dynamiczne grupy członkostwa na podstawie właściwości użytkownika lub urządzenia w usłudze Microsoft Entra ID, część firmy Microsoft Entra. W tym artykule opisano sposób konfigurowania reguły dla dynamicznych grup członkostwa w witrynie Azure Portal.

Członkostwo w grupie na podstawie właściwości użytkownika lub urządzenia jest obsługiwane w przypadku grup zabezpieczeń i grup platformy Microsoft 365. Po zastosowaniu reguły dla dynamicznej grupy członkostwa atrybuty użytkownika i urządzenia są oceniane pod kątem dopasowań do reguły członkostwa. Gdy atrybut zmieni się dla użytkownika lub urządzenia, wszystkie reguły dla dynamicznych grup członkostwa w organizacji są przetwarzane pod kątem zmian. Użytkownicy i urządzenia są dodawani lub usuwani, jeśli spełniają warunki dla dynamicznej grupy członkostwa. W usłudze Microsoft Entra jedna dzierżawa może mieć maksymalnie 15 000 dynamicznych grup członkostwa.

Uwaga

Grupy zabezpieczeń mogą być używane dla urządzeń lub użytkowników, ale grupy platformy Microsoft 365 mogą zawierać tylko użytkowników.

Korzystanie z dynamicznych grup członkostwa wymaga licencji Microsoft Entra ID P1 lub licencji usługi Intune for Education. Aby uzyskać więcej informacji, zobacz Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID .

Konstruktor reguł w witrynie Azure Portal

Identyfikator Entra firmy Microsoft udostępnia konstruktor reguł do szybszego tworzenia i aktualizowania ważnych reguł. Konstruktor reguł obsługuje konstrukcję do pięciu wyrażeń. Konstruktor reguł ułatwia tworzenie reguły za pomocą kilku prostych wyrażeń, jednak nie można jej używać do odtworzenia każdej reguły. Jeśli konstruktor reguł nie obsługuje reguły, którą chcesz utworzyć, możesz użyć pola tekstowego.

Poniżej przedstawiono kilka przykładów zaawansowanych reguł lub składni, dla których zalecamy konstruowanie przy użyciu pola tekstowego:

Uwaga

Konstruktor reguł może nie być w stanie wyświetlić niektórych reguł skonstruowanych w polu tekstowym. Może zostać wyświetlony komunikat, gdy konstruktor reguł nie może wyświetlić reguły. Konstruktor reguł nie zmienia obsługiwanej składni, walidacji ani przetwarzania reguł dla dynamicznych grup członkostwa w żaden sposób.

Zrzut ekranu przedstawiający stronę reguł dla dynamicznych grup członkostwa z wybraną akcją Dodaj wyrażenie na karcie Konfigurowanie reguł.

Aby zapoznać się z przykładami składni, obsługiwanych właściwości, operatorów i wartości dla reguły członkostwa, zobacz Zarządzanie regułami dla dynamicznych grup członkostwa w usłudze Microsoft Entra ID.

Aby utworzyć regułę dla grupy członkostwa dynamicznego

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.

  2. Wybierz pozycję Microsoft Entra ID.>Grupy.

  3. Wybierz pozycję Wszystkie grupy i wybierz pozycję Nowa grupa.

    Zrzut ekranu przedstawiający sposób wybierania akcji Dodaj nową grupę.

  4. Na stronie Grupa wprowadź nazwę i opis nowej grupy. Wybierz typ członkostwa dla użytkowników lub urządzeń, a następnie wybierz pozycję Dodaj zapytanie dynamiczne. Konstruktor reguł obsługuje maksymalnie pięć wyrażeń. Aby dodać więcej niż pięć wyrażeń, należy użyć pola tekstowego.

    Zrzut ekranu przedstawiający stronę Wszystkie grupy z wybraną akcją Nowa grupa.

  5. Aby wyświetlić niestandardowe właściwości rozszerzenia dostępne dla zapytania członkostwa:

    1. Wybierz pozycję Pobierz właściwości rozszerzenia niestandardowego
    2. Wprowadź identyfikator aplikacji, a następnie wybierz pozycję Odśwież właściwości.

  6. Po utworzeniu reguły wybierz pozycję Zapisz.

  7. Wybierz pozycję Utwórz na stronie Nowa grupa , aby utworzyć grupę.

Jeśli wprowadzona reguła nie jest prawidłowa, wyjaśnienie, dlaczego nie można przetworzyć reguły, zostanie wyświetlone w powiadomieniu w portalu. Uważnie przeczytaj go, aby dowiedzieć się, jak naprawić regułę.

Aby zaktualizować istniejącą regułę

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator grup.

  2. Wybierz Microsoft Entra ID.

  3. Wybierz pozycję Grupy>Wszystkie grupy.

  4. Wybierz grupę, aby otworzyć jej profil.

  5. Na stronie profilu grupy wybierz pozycję Reguły członkostwa dynamicznego. Konstruktor reguł obsługuje maksymalnie pięć wyrażeń. Aby dodać więcej niż pięć wyrażeń, należy użyć pola tekstowego.

    Zrzut ekranu przedstawiający sposób dodawania reguły dla dynamicznej grupy członkostwa.

  6. Aby wyświetlić właściwości rozszerzenia niestandardowego dostępne dla reguły członkostwa:

    1. Wybierz pozycję Pobierz właściwości rozszerzenia niestandardowego
    2. Wprowadź identyfikator aplikacji, a następnie wybierz pozycję Odśwież właściwości.

  7. Po zaktualizowaniu reguły wybierz pozycję Zapisz.

Włączanie lub wyłączanie powitalnej wiadomości e-mail

Po utworzeniu nowej grupy platformy Microsoft 365 zostanie wysłane powitalne powiadomienie e-mail użytkowników, którzy są dodawani do grupy. Później, jeśli jakiekolwiek atrybuty użytkownika lub urządzenia (tylko w przypadku grup zabezpieczeń) zmieniają się, wszystkie reguły dla dynamicznych grup członkostwa w organizacji są przetwarzane pod kątem zmian. Użytkownicy, którzy są dodawani, otrzymają również powiadomienie powitalne. To zachowanie można wyłączyć w programie Exchange PowerShell.

Sprawdzanie stanu przetwarzania dla reguły

Stan przetwarzania reguł i ostatnią datę zmiany członkostwa można zobaczyć na stronie Przegląd dla dynamicznej grupy członkostwa.

Zrzut ekranu przedstawiający diagram stanu grupy członkostwa dynamicznego.

Dla stanu dynamicznego przetwarzania reguł można wyświetlić następujące komunikaty o stanie:

  • Ocena: zmiana grupy została odebrana i aktualizacje są oceniane.
  • Przetwarzanie: aktualizacje są przetwarzane.
  • Ukończono aktualizację: przetwarzanie zostało ukończone i zostały wykonane wszystkie odpowiednie aktualizacje.
  • Błąd przetwarzania: nie można ukończyć przetwarzania z powodu błędu oceniania reguły członkostwa.
  • Wstrzymano aktualizację: reguła aktualizacji dynamicznej grupy członkostwa została wstrzymana przez administratora. Właściwość MembershipRuleProcessingState jest ustawiona na wartość "Wstrzymano".
  • Nie uruchomiono: przetwarzanie nie jest jeszcze uruchomione.

Uwaga

Na tym ekranie możesz również wybrać opcję Wstrzymaj przetwarzanie. Wcześniej ta opcja była dostępna tylko za pośrednictwem modyfikacji właściwości membershipRuleProcessingState. Osoby przypisane co najmniej do roli Administrator grup mogą zarządzać tym ustawieniem i mogą wstrzymywać i wznawiać dynamiczne przetwarzanie grup członkostwa. Właściciele grup bez odpowiednich ról nie mają uprawnień potrzebnych do edytowania tego ustawienia.

W obszarze Stan ostatniej zmiany członkostwa można wyświetlić następujące komunikaty o stanie:

  • <Data i godzina>: godzina ostatniej aktualizacji członkostwa.
  • W toku: aktualizacje są obecnie w toku.
  • Nieznany: nie można pobrać czasu ostatniej aktualizacji. Grupa może być nowa.

Ważne

Po wstrzymaniu i usunięciu przetwarzania dynamicznych grup członkostwa data "Ostatnia zmiana członkostwa" będzie zawierać wartość symbolu zastępczego. Ta wartość jest aktualizowana po zakończeniu przetwarzania.

Jeśli podczas przetwarzania reguły członkostwa dla określonej grupy wystąpi błąd, w górnej części strony Przegląd grupy zostanie wyświetlony alert. Jeśli nie można przetworzyć oczekujących aktualizacji grup członkostwa dynamicznego dla wszystkich grup w organizacji przez ponad 24 godziny, w górnej części pozycji Wszystkie grupy zostanie wyświetlony alert.

Zrzut ekranu przedstawiający sposób przetwarzania alertów komunikatów o błędach.

Następne kroki

Poniższe artykuły zawierają dodatkowe informacje na temat używania grup w usłudze Microsoft Entra ID.