Настройка динамических групп членства с помощью атрибута memberOf в портал Azure

Эта предварительная версия функций в идентификаторе Microsoft Entra позволяет администраторам создавать динамические группы членства и административные единицы, заполняемые добавлением членов других групп с помощью атрибута memberOf . Приложения, которые ранее не могли читать членство на основе групп в идентификаторе Microsoft Entra, теперь могут считывать все членство в этих новых memberOf группах. Эти группы можно использовать не только для приложений, но и для назначений лицензирования.

На следующей схеме показано, как можно создать группу Dynamic-Group-A с членами групп Security-Group-X и Security-Group-Y. Члены групп внутри Security-Group-X и Security-Group-Y не становятся членами Dynamic-Group-A.

С помощью этой предварительной версии администраторы могут настроить динамические группы членства с memberOf атрибутом в портал Azure, Microsoft Graph и PowerShell. Группы безопасности, группы Microsoft 365 и группы, синхронизированные с локальная служба Active Directory, могут быть добавлены в качестве членов этих динамических групп членства. Они также могут быть добавлены в одну группу. Например, динамическая группа может быть группой безопасности, но вы можете использовать группы Microsoft 365, группы безопасности и группы, которые синхронизируются из локальной среды, чтобы определить ее членство.

Необходимые компоненты

Чтобы создать динамическую группу Microsoft Entra, необходимо быть по крайней мере администратором memberOf пользователя. У вас должна быть лицензия Microsoft Entra ID P1 или P2 для клиента Microsoft Entra.

Ограничения предварительной версии

• Каждый клиент Microsoft Entra ограничен 500 динамическими группами членства с помощью атрибута memberOf . Группы memberOf учитываются в отношении общей квоты участников динамической группы в размере 15 000.
• Каждая динамическая группа может содержать до 50 групп членов.
• При добавлении членов групп безопасности в memberOf динамические группы членства только прямые члены группы безопасности становятся членами динамической группы.
• Для определения членства в другой memberOf динамической группе нельзя использовать одну memberOf динамическую группу. Например, Dynamic Group A с членами группы B и C в ней не может быть членом Dynamic Group D.
• Атрибут memberOf нельзя использовать с другими правилами. Например, правило, согласно которому динамическая группа A должна содержать членов группы B, а также должна содержать только пользователей, находящихся в Редмонде, не будет выполнено.
• Построителе правил динамической группы и функция проверки не может использоваться в memberOf настоящее время.
• Атрибут memberOf нельзя использовать с другими операторами. Например, нельзя создать правило, которое указывает "Члены группы A не могут находиться в динамической группе B".
• Пользователи, включенные в memberOf динамические группы членства, могут привести к более медленной обработке для вашего клиента, если клиент имеет большое количество групп или частые обновления динамических групп членства.

Начало работы

Эту функцию можно использовать в портал Azure, Microsoft Graph и PowerShell. Так как memberOf в построителе правил еще не поддерживается, необходимо ввести правило в редакторе правил.

Создание динамической группы memberOf

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
2. Перейдите к группам>удостоверений>Все группы.
3. Выберите Создать группу.
4. Укажите сведения о группе. Тип группы может быть Security или Microsoft 365, а для типа членства можно задать динамический пользователь или динамическое устройство.
5. Выберите Добавить динамический запрос.
6. MemberOf пока не поддерживается в построителе правил. Щелкните Изменить, чтобы написать правило в поле Синтаксис правила.
   1. Пример правила пользователя: user.memberof -any (group.objectId -in ['groupId', 'groupId']).
   2. Пример правила устройства: device.memberof -any (group.objectId -in ['groupId', 'groupId']).
7. Нажмите ОК.
8. Щелкните Создать группу.