Gruppmedlemskap i en dynamisk grupp (förhandsversion) i Microsoft Entra-ID
Med den här funktionsförhandsgranskningen i Microsoft Entra-ID kan administratörer skapa dynamiska grupper och administrativa enheter som fylls i genom att lägga till medlemmar i andra grupper med hjälp memberOf
av attributet. Appar som inte kunde läsa gruppbaserat medlemskap tidigare i Microsoft Entra-ID kan nu läsa hela medlemskapet i dessa nya memberOf
grupper. Dessa grupper kan inte bara användas för appar, utan de kan också användas för licenstilldelningar.
Följande diagram visar hur du kan skapa Dynamic-Group-A med medlemmar i Security-Group-X och Security-Group-Y. Medlemmar i grupperna i Security-Group-X och Security-Group-Y blir inte medlemmar i Dynamic-Group-A.
Med den här förhandsversionen kan administratörer konfigurera dynamiska grupper med memberOf
attributet i Azure-portalen, Microsoft Graph och PowerShell. Säkerhetsgrupper, Microsoft 365-grupper och grupper som synkroniseras från lokal Active Directory kan alla läggas till som medlemmar i dessa dynamiska grupper. Alla kan också läggas till i en enda grupp. Den dynamiska gruppen kan till exempel vara en säkerhetsgrupp, men du kan använda Microsoft 365-grupper, säkerhetsgrupper och grupper som synkroniseras lokalt för att definiera dess medlemskap.
Förutsättningar
Endast administratörer i rollen Global administratör, Intune-administratör eller Användaradministratör kan använda memberOf
attributet för att skapa en dynamisk Microsoft Entra-grupp. Du måste ha en Microsoft Entra ID P1- eller P2-licens för Microsoft Entra-klientorganisationen.
Begränsningar i förhandsversionen
- Varje Microsoft Entra-klientorganisation är begränsad till 500 dynamiska grupper med hjälp av attributet
memberOf
. GruppernamemberOf
räknas mot den totala kvoten för dynamisk gruppmedlem på 5 000. - Varje dynamisk grupp kan ha upp till 50 medlemsgrupper.
- När du lägger till medlemmar i säkerhetsgrupper i
memberOf
dynamiska grupper blir endast direkta medlemmar i säkerhetsgruppen medlemmar i den dynamiska gruppen. - Du kan inte använda en
memberOf
dynamisk grupp för att definiera medlemskap i en annanmemberOf
dynamisk grupp. Dynamisk grupp A, med medlemmar i grupp B och C i, kan till exempel inte vara medlem i dynamisk grupp D. - Attributet
memberOf
kan inte användas med andra regler. En regel som anger dynamisk grupp A ska till exempel innehålla medlemmar i grupp B och även innehålla endast användare som finns i Redmond misslyckas. - Den dynamiska gruppregelverktyget och verifieringsfunktionen kan inte användas för
memberOf
just nu. - Attributet
memberOf
kan inte användas med andra operatorer. Du kan till exempel inte skapa en regel som säger "Medlemmar i grupp A kan inte vara i dynamisk grupp B".
Kom igång
Den här funktionen kan användas i Azure-portalen, Microsoft Graph och PowerShell. Eftersom memberOf
det ännu inte stöds i regelverktyget måste du ange regeln i regelredigeraren.
Skapa en medlemAv dynamisk grupp
- Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
- Bläddra till Identitetsgrupper>>Alla grupper.
- Välj Ny grupp.
- Fyll i gruppinformation. Grupptypen kan vara Säkerhet eller Microsoft 365 och medlemskapstypen kan ställas in på Dynamisk användare eller Dynamisk enhet.
- Välj Lägg till dynamisk fråga.
- MemberOf stöds ännu inte i regelverktyget. Välj Redigera för att skriva regeln i rutan Regelsyntax .
- Exempel på användarregel:
user.memberof -any (group.objectId -in ['groupId', 'groupId'])
- Exempel på enhetsregel:
device.memberof -any (group.objectId -in ['groupId', 'groupId'])
- Exempel på användarregel:
- Välj OK.
- Välj Skapa grupp.