Поделиться через


Создание или обновление динамической группы членства в идентификаторе Microsoft Entra

Правила можно использовать для определения динамических групп членства на основе свойств пользователя или устройства в идентификаторе Microsoft Entra. В этой статье описывается настройка правила для динамических групп членства на портале Azure.

Членство в группах на основе свойств пользователей или устройств поддерживается для групп безопасности и групп Microsoft 365. При применении правила для динамической группы членства атрибуты пользователей и устройств оцениваются для совпадений с правилом членства. При изменении атрибута для пользователя или устройства все правила для динамических групп членства в организации обрабатываются для внесения изменений. Пользователи и устройства добавляются или удаляются, если они соответствуют условиям динамической группы членства. В идентификаторе Microsoft Entra один клиент может иметь не более 15 000 динамических групп членства.

Примечание.

Группы безопасности могут включать устройства или пользователей, но группы Microsoft 365 могут включать только пользователей.

Для использования динамических групп членства требуется лицензия Microsoft Entra ID P1 или лицензия Intune для образования. Дополнительные сведения см. в разделе "Управление правилами для динамических групп членства" в идентификаторе Microsoft Entra ID.

Построитель правил на портале Azure

Идентификатор Microsoft Entra предоставляет построитель правил для быстрого создания и обновления важных правил. Построитель правил позволяет создавать до пяти выражений.

Снимок экрана: построитель правил с действием для добавления выделенного выражения.

Построитель правил упрощает формирование правила с несколькими простыми выражениями. Однако его нельзя использовать для воспроизведения каждого правила. Если построитель правил не поддерживает создаваемое правило, можно использовать текстовое поле.

Ниже приведены некоторые примеры расширенных правил или синтаксиса, для которых рекомендуется использовать текстовое поле:

Примечание.

Построитель правил, возможно, не сможет отобразить некоторые правила, составленные с помощью текстового поля. Вы можете увидеть сообщение, если построителю правил не удается отобразить правило. Построитель правил не изменяет поддерживаемый синтаксис, проверку или обработку правил для динамических групп членства каким-либо образом.

Примеры синтаксиса и поддерживаемых свойств, операторов и значений правила членства см. в разделе "Управление правилами для динамических групп членства" в идентификаторе Microsoft Entra ID.

Создать правило для динамической группы участников

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Выберите Microsoft Entra ID>группы.

  3. Выберите все группы и нажмите кнопку "Создать группу".

    Снимок экрана: выбор для добавления новой группы.

  4. В области "Группа " введите имя и описание новой группы. Выберите значение типа членства для пользователей или устройств, а затем нажмите кнопку "Добавить динамический запрос".

  5. В построителе правил добавьте до пяти выражений. Чтобы добавить больше пяти выражений, используйте текстовое поле.

    Снимок экрана: панель настройки правил с выделенной кнопкой для добавления выражения.

  6. Чтобы просмотреть свойства пользовательского расширения, доступные для запроса на членство:

    1. Выберите "Получить настраиваемые свойства расширения".
    2. Введите идентификатор приложения и выберите Обновить свойства.
  7. После завершения создания правила нажмите кнопку "Сохранить".

  8. На странице "Создать группу " выберите "Создать ", чтобы создать группу.

Если введенное правило недопустимо, на портале отображается объяснение того, почему правило не удалось обработать. Прочтите его внимательно, чтобы понять, как исправить правило.

Обновление существующего правила

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.

  2. Выберите Microsoft Entra ID.

  3. Выберите Группы>Все группы.

  4. Выберите группу, чтобы открыть ее профиль.

  5. На странице профиля группы выберите Правила динамического членства. Построитель правил поддерживает до пяти выражений. Чтобы добавить больше пяти выражений, используйте текстовое поле.

    Снимок экрана, который показывает конструктор правил для динамической группы членства.

  6. Чтобы просмотреть настраиваемые свойства расширения, доступные для вашего правила членства:

    1. Выберите "Получить настраиваемые свойства расширения".
    2. Введите идентификатор приложения и выберите Обновить свойства.
  7. После завершения обновления правила нажмите кнопку "Сохранить".

Включение или отключение приветственного сообщения

Когда администратор создает новую группу Microsoft 365, пользователи, которые добавляются в группу, получают приветственное уведомление по электронной почте. Позже, если любые атрибуты пользователя или устройства (только для групп безопасности) изменяются, все правила для динамических групп членства в организации обрабатываются для изменения. После этого добавляемым пользователям также отправляются приветственные уведомления.

Вы можете включить или отключить это поведение в Exchange PowerShell.

Проверка состояния обработки правила

Вы можете увидеть состояние обработки правил и дату последнего изменения членства на странице обзора для динамической группы членства.

Снимок экрана, показывающий статус группы с динамическим членством.

Следующие сообщения о состоянии могут отображаться для состояния обработки динамических правил:

  • Оценка: было получено изменение группы и оцениваются обновления.
  • Обработка — обновления обрабатываются.
  • Обновление завершено: обработка завершена и все применимые обновления были сделаны.
  • Ошибка обработки: обработка не удалось завершить из-за ошибки при оценке правила членства.
  • Обновление приостановлено: администратор приостановил правило для обновления динамических групп членства. MembershipRuleProcessingState задан как Paused.
  • Не запущено: обработка не запущена.

Примечание.

Теперь на этой странице есть параметр приостановки обработки . Ранее этот параметр был доступен только при изменении membershipRuleProcessingState свойства. Кто-то, кто имеет по крайней мере роль администратора групп , может управлять этим параметром и может приостановить и возобновить обработку динамических групп членства. Владельцы групп, у которых нет правильных ролей, не имеют необходимых прав для изменения этого параметра.

Для последнего изменения членства отображаются следующие сообщения о состоянии:

  • <Дата и время>: членство было обновлено в этот день и время.
  • В процессе: обновления в процессе выполнения.
  • Неизвестно — не удается получить время последнего обновления. Возможно, группа новая.

Внимание

После того, как вы приостановите и возобновите обработку динамических групп членства, дата последнего изменения членства отображает временное значение-заполнитель. Это значение обновляется после завершения обработки.

Если во время обработки правила членства для определенной группы возникает ошибка, в верхней части страницы обзора группы появится оповещение. Если ожидающие обновления для динамических групп членства не могут быть обработаны для всех групп в организации в течение более чем 24 часов, над всеми группами появляется предупреждение.

Снимок экрана: оповещение о том, что членство в динамических группах не было обновлено из-за задержек системы.