Создание или обновление динамической группы членства в идентификаторе Microsoft Entra

Правила можно использовать для определения динамических групп членства на основе свойств пользователя или устройства в идентификаторе Microsoft Entra, части Microsoft Entra. В этой статье описывается настройка правила для динамических групп членства в портал Azure.

Членство в группах на основе свойств пользователей или устройств поддерживается для групп безопасности и групп Microsoft 365. При применении правила для динамической группы членства атрибуты пользователей и устройств оцениваются для совпадений с правилом членства. При изменении атрибута для пользователя или устройства все правила для динамических групп членства в организации обрабатываются для внесения изменений. Пользователи и устройства добавляются или удаляются, если они соответствуют условиям динамической группы членства. В Microsoft Entra один клиент может иметь не более 15 000 динамических групп членства.

Примечание.

Группы безопасности можно использовать для устройств или пользователей, но группы Microsoft 365 могут включать только пользователей.

Для использования динамических групп членства требуется лицензия Microsoft Entra ID P1 или Лицензия Intune для образовательных учреждений. Дополнительные сведения см. в разделе "Управление правилами для динамических групп членства" в идентификаторе Microsoft Entra.

Построитель правил на портале Azure

Идентификатор Microsoft Entra предоставляет построитель правил для быстрого создания и обновления важных правил. Построитель правил позволяет создавать до пяти выражений. Построитель правил упрощает составление правил с использованием нескольких простых выражений, однако его невозможно использовать для воспроизведения каждого правила. Если построитель правил не поддерживает правило, которое требуется создать, можно воспользоваться текстовым полем.

Вот несколько примеров сложных правил или синтаксиса, построение которых рекомендуется выполнять с использованием текстового поля.

• Правило, которое содержит более пяти выражений
• Правило "Непосредственные подчиненные"
• Настройка приоритета операторов
• Правила со сложными выражениями; например (user.proxyAddresses -any (_ -contains "contoso"))

Примечание.

Построитель правил, возможно, не сможет отобразить некоторые правила, составленные с помощью текстового поля. Если построитель правил не сможет отобразить правило, возможно, отобразится соответствующее сообщение. Построитель правил не изменяет поддерживаемый синтаксис, проверку или обработку правил для динамических групп членства каким-либо образом.

Примеры синтаксиса, поддерживаемых свойств, операторов и значений правила членства см. в разделе "Управление правилами для динамических групп членства" в идентификаторе Microsoft Entra ID.

Создание правила для динамической группы членства

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

2. Выберите идентификатор Microsoft Entra.>Группы.

3. Выберите Все группы, а затем — Новая группа.

   

4. На странице Группа введите имя и описание новой группы. Выберите Тип членства — пользователи или устройства — и нажмите кнопку Добавить динамический запрос. Построитель правил поддерживает до пяти выражений. Чтобы добавить больше пяти выражений, используйте текстовое поле.

   

5. Для просмотра свойств пользовательского расширения, доступных для запроса членства, выполните следующие действия.

   1. Выберите пункт Получить настраиваемые свойства расширения.
   2. Введите идентификатор приложения и выберите Обновить свойства.

6. После создания правила нажмите кнопку Сохранить.

7. Выберите Создать на странице Новая группа, чтобы создать группу.

Если введенное правило недопустимо, объяснение того, почему правило не удалось обработать, отображается в уведомлении на портале. Прочтите его внимательно, чтобы понять, как исправить правило.

Обновление существующего правила

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

2. Выберите Microsoft Entra ID.

3. Выберите Группы>Все группы.

4. Выберите группу, чтобы открыть ее профиль.

5. На странице профиля группы выберите Правила динамического членства. Построитель правил поддерживает до пяти выражений. Чтобы добавить больше пяти выражений, используйте текстовое поле.

   

6. Для просмотра свойств пользовательского расширения, доступных для правила членства, выполните следующие действия.

   1. Выберите пункт Получить настраиваемые свойства расширения.
   2. Введите идентификатор приложения и выберите Обновить свойства.

7. После обновления правила нажмите кнопку Сохранить.

Отключение отправки приветственного сообщения электронной почты

При создании группы Microsoft 365 добавленными в группу пользователям отправляется приветствие по электронной почте. Позже, если любые атрибуты пользователя или устройства (только в случае групп безопасности) изменяются, все правила для динамических групп членства в организации обрабатываются для внесения изменений. После этого добавляемым пользователям также отправляются приветственные уведомления. Такое поведение можно отключить в Exchange PowerShell.

Проверка состояния обработки правила

Состояние обработки правил и дата последнего изменения членства отображаются на странице обзора для динамической группы членства.

Для состояния Обработка динамического правила могут отображаться следующие сообщения о состоянии:

• Оценка — изменение группы получено и оценивается.
• Обработка — обновления обрабатываются.
• Обновление выполнено — обработка завершена, все применимые обновления внесены.
• Ошибка обработки — невозможно выполнить обработку из-за ошибки при вычислении правила членства.
• Обновление приостановлено: правила для обновлений динамической группы членства были приостановлены администратором. MembershipRuleProcessingState имеет статус "Приостановлено".
• Не запущена: обработка еще не запущена.

Примечание.

На этом экране теперь можно также выбрать приостановку обработки. Ранее этот параметр был доступен только при изменении свойства membershipRuleProcessingState. Те, кто назначен по крайней мере роль администратора групп, могут управлять этим параметром и могут приостановить и возобновить динамическую обработку групп членства. Владельцы групп без правильных ролей не имеют прав, необходимых для изменения этого параметра.

Для состояния Последнее изменение членства могут отображаться следующие сообщения о состоянии:

• <Дата и время> — время последнего обновления членства.
• Выполняется — обновления выполняются.
• Неизвестно — не удается получить время последнего обновления. Возможно, группа новая.

Внимание

После приостановки и отмены обработки динамических групп членства дата "Последнее изменение членства" будет отображать значение заполнителя. Это значение обновляется после завершения обработки.

Если произошла ошибка при обработке правила членства для конкретной группы, отображается предупреждение в верхней части страницы "Обзор" для группы. Если ожидающие обновления динамических групп членства не могут обрабатываться для всех групп в организации в течение более 24 часов, в верхней части всех групп отображается оповещение.

Следующие шаги

В следующих статьях содержатся дополнительные сведения об использовании групп в идентификаторе Microsoft Entra.

• Просмотр существующих групп
• Создание группы и добавление участников
• Управление параметрами группы
• Управление членством в группе
• Управление правилами для динамических групп членства для пользователей