Поделиться через

Создание динамических групп членства и управление ими для совместной работы B2B в Внешняя идентификация Microsoft Entra

  • Статья

Область применения: Зеленый круг с символом белой галочки. клиенты рабочей силы внешниеБелый круг с серым символом X. клиенты (дополнительные сведения)

Что такое динамические группы членства?

Динамическая группа членства — это конфигурация на основе безопасности для Microsoft Entra, доступная в Центре администрирования Microsoft Entra. Администраторы могут задать правила для заполнения динамических групп членства, созданных в идентификаторе Microsoft Entra, на основе атрибутов пользователей (например , userType, отдела или страны или региона). Участников можно автоматически добавлять в группу безопасности или удалять их из нее в зависимости от атрибутов. Эти группы могут предоставлять доступ к приложениям или облачным ресурсам, таким как сайты и документы SharePoint. Их также можно использовать для назначения лицензий участникам. Дополнительные сведения о выделенных группах в идентификаторе Microsoft Entra.

Необходимые компоненты

Для создания и использования динамических групп членства требуется лицензирование Microsoft Entra ID P1 или P2. Дополнительные сведения о создании правил на основе атрибутов для динамических групп членства в идентификаторе Microsoft Entra.

Создание динамической группы "все пользователи"

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

С помощью правила членства вы можете создать группу, содержащую всех пользователей в клиенте. Если в будущем пользователи будут добавлены в клиент или удалены из него, членство в группе скорректируется автоматически.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

  2. Перейдите к группам>удостоверений>все группы, а затем выберите "Создать группу".

  3. На странице Новая группа в разделе Тип группы выберите Безопасность. Введите имя группы и описание группы для новой группы.

  4. В разделе Тип членства выберите Динамический пользователь, а затем выберите Добавить динамический запрос.

  5. Над текстовым полем Синтаксис правила выберите Изменить. На странице Изменить синтаксис правила введите в текстовое поле следующее выражение:

    user.objectId -ne null

  6. Нажмите ОК. Правило появится в поле "Синтаксис правила":

    Снимок экрана: синтаксис правила для всех пользователей динамической группы.

  7. Выберите Сохранить. Теперь новая динамическая группа будет включать гостевых пользователей B2B и пользователей-участников.

  8. Выберите Создать на странице Новая группа, чтобы создать группу.

Только создание группы участников

Если вы хотите, чтобы ваша группа исключала гостевых пользователей и включала только членов вашего клиента, создайте динамическую группу, как описано выше, но в поле Синтаксис правила введите следующее выражение:

(user.objectId -ne null) and (user.userType -eq "Member")

На следующем изображении показан синтаксис правила для динамической группы, измененной для включения только членов и исключения гостей.

Снимок экрана: синтаксис правила, в котором тип пользователя равен члену.

Только создание группы гостей

Вы также можете найти полезно создать динамическую группу, содержащую только гостевых пользователей, чтобы можно было применить к ним политики (например, политики условного доступа Microsoft Entra). Создайте динамическую группу, как описано выше, но в поле Синтаксис правила введите следующее выражение:

(user.objectId -ne null) and (user.userType -eq "Guest")

На следующем изображении показан синтаксис правила для динамической группы, измененной для включения только гостей и исключения пользователей-членов.

Снимок экрана: синтаксис правила, в котором тип пользователя равен гостевой.

Следующие шаги