Gruppmedlemskap i en dynamisk grupp (förhandsversion) i Microsoft Entra-ID

  • Artikel

Med den här funktionsförhandsgranskningen i Microsoft Entra-ID kan administratörer skapa dynamiska grupper och administrativa enheter som fylls i genom att lägga till medlemmar i andra grupper med hjälp memberOf av attributet. Appar som inte kunde läsa gruppbaserat medlemskap tidigare i Microsoft Entra-ID kan nu läsa hela medlemskapet i dessa nya memberOf grupper. Dessa grupper kan inte bara användas för appar, utan de kan också användas för licenstilldelningar.

Följande diagram visar hur du kan skapa Dynamic-Group-A med medlemmar i Security-Group-X och Security-Group-Y. Medlemmar i grupperna i Security-Group-X och Security-Group-Y blir inte medlemmar i Dynamic-Group-A.

Diagram that shows how the memberOf attribute works.

Med den här förhandsversionen kan administratörer konfigurera dynamiska grupper med memberOf attributet i Azure-portalen, Microsoft Graph och PowerShell. Säkerhetsgrupper, Microsoft 365-grupper och grupper som synkroniseras från lokal Active Directory kan alla läggas till som medlemmar i dessa dynamiska grupper. Alla kan också läggas till i en enda grupp. Den dynamiska gruppen kan till exempel vara en säkerhetsgrupp, men du kan använda Microsoft 365-grupper, säkerhetsgrupper och grupper som synkroniseras lokalt för att definiera dess medlemskap.

Förutsättningar

Endast administratörer i rollen Global administratör, Intune-administratör eller Användaradministratör kan använda memberOf attributet för att skapa en dynamisk Microsoft Entra-grupp. Du måste ha en Microsoft Entra ID P1- eller P2-licens för Microsoft Entra-klientorganisationen.

Begränsningar i förhandsversionen

  • Varje Microsoft Entra-klientorganisation är begränsad till 500 dynamiska grupper med hjälp av attributet memberOf . Grupperna memberOf räknas mot den totala kvoten för dynamisk gruppmedlem på 5 000.
  • Varje dynamisk grupp kan ha upp till 50 medlemsgrupper.
  • När du lägger till medlemmar i säkerhetsgrupper i memberOf dynamiska grupper blir endast direkta medlemmar i säkerhetsgruppen medlemmar i den dynamiska gruppen.
  • Du kan inte använda en memberOf dynamisk grupp för att definiera medlemskap i en annan memberOf dynamisk grupp. Dynamisk grupp A, med medlemmar i grupp B och C i, kan till exempel inte vara medlem i dynamisk grupp D.
  • Attributet memberOf kan inte användas med andra regler. En regel som anger dynamisk grupp A ska till exempel innehålla medlemmar i grupp B och även innehålla endast användare som finns i Redmond misslyckas.
  • Den dynamiska gruppregelverktyget och verifieringsfunktionen kan inte användas för memberOf just nu.
  • Attributet memberOf kan inte användas med andra operatorer. Du kan till exempel inte skapa en regel som säger "Medlemmar i grupp A kan inte vara i dynamisk grupp B".

Kom igång

Den här funktionen kan användas i Azure-portalen, Microsoft Graph och PowerShell. Eftersom memberOf det ännu inte stöds i regelverktyget måste du ange regeln i regelredigeraren.

Skapa en medlemAv dynamisk grupp

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Bläddra till Identitetsgrupper>>Alla grupper.
  3. Välj Ny grupp.
  4. Fyll i gruppinformation. Grupptypen kan vara Säkerhet eller Microsoft 365 och medlemskapstypen kan ställas in på Dynamisk användare eller Dynamisk enhet.
  5. Välj Lägg till dynamisk fråga.
  6. MemberOf stöds ännu inte i regelverktyget. Välj Redigera för att skriva regeln i rutan Regelsyntax .
    1. Exempel på användarregel: user.memberof -any (group.objectId -in ['groupId', 'groupId'])
    2. Exempel på enhetsregel: device.memberof -any (group.objectId -in ['groupId', 'groupId'])
  7. Välj OK.
  8. Välj Skapa grupp.