在 Azure Active Directory 中建立或更新動態群組
您可以在 Azure Active Directory (Azure AD) (Microsoft Entra 的一部分) 中,使用規則以根據使用者或裝置屬性來判斷成員資格。 本文說明如何在 Azure 入口網站中設定動態群組的規則。 安全性群組和 Microsoft 365 群組支援動態成員資格。 套用群組成員資格規則時,使用者和裝置屬性會根據成員資格規則進行比對。 當使用者或裝置的屬性變更時,組織中的所有動態群組規則就會針對成員資格變更進行處理。 如果使用者和裝置符合群組的條件,則會加以新增或移除。 安全性群組可用於裝置或使用者,但 Microsoft 365 群組只能用於使用者群組。 使用動態群組需要 Azure AD Premium P1 授權或 Intune 教育版授權。 如需詳細資料,請參閱群組的動態成員資格規則。
Azure 入口網站中的規則建立器
Azure AD 提供規則建立器,可讓您更快速建立和更新重要的規則。 規則建立器支援建構最多五個運算式。 規則建立器可讓您更輕鬆以幾個簡單的運算式來建立規則,但不可能重現每一個規則。 如果規則建立器不支援您想建立的規則,您可以使用文字方塊。
以下是進階規則或語法的一些範例,建議您使用文字方塊來建構:
- 具有五個以上運算式的規則
- 直屬員工規則
- 設定運算子優先順序
- 具有複雜運算式的規則,例如
(user.proxyAddresses -any (_ -contains "contoso"))
注意
規則建立器可能無法顯示文字方塊中建構的某些規則。 當規則建立器無法顯示規則時,您可能會看到訊息。 規則建立器完全不會變更動態群組規則支援的語法、驗證或處理。
![螢幕擷取畫面:[動態成員資格規則] 頁面,其中已在 [設定規則] 索引標籤中選取 [新增運算式] 動作。](media/groups-create-rule/update-dynamic-group-rule.png)
如需成員規則的語法、支援屬性、運算子和值的範例,請參閱 Azure Active Directory 中群組的動態成員資格規則。
建立群組成員資格規則
使用 Azure AD 組織中的全域管理員、Intune系統管理員或使用者系統管理員角色中的帳戶登入Azure 入口網站。
流覽至Azure Active Directory>群組。
選取 [所有群組],然後選取 [新增群組]。
![螢幕擷取畫面:如何選取 [新增群組] 動作](media/groups-create-rule/create-new-group-azure-active-directory.png)
在 [群組] 頁面上,輸入新群組的名稱和描述。 選取 [使用者] 或 [裝置] 的成員資格類型,然後選取 [新增動態查詢]。 規則產生器最多可支援五個運算式。 若要加入五個以上的運算式,則必須使用文字輸入框。
![螢幕擷取畫面:[所有群組] 頁面,其中已選取 [新增群組] 動作。](media/groups-create-rule/add-dynamic-group-rule.png)
針對成員資格查詢,查看可用的自訂延伸模組屬性:
- 選取 [取得自訂延伸模組屬性]。
- 輸入應用程式識別碼,然後選取 [重新整理屬性]。
建立規則之後,請選取 [儲存]。
選取 [新增群組] 頁面上的 [建立] 以建立群組。
如果您輸入的規則無效,說明為何無法處理規則的文字會顯示在入口網站的 Azure 通知中。 請仔細閱讀以了解如何修正規則。
若要更新現有規則
使用 Azure AD 組織中的全域管理員、群組管理員、Intune系統管理員或使用者系統管理員角色中的帳戶登入Azure 入口網站。
流覽至[Azure Active Directory>群組>所有群組]。
選取群組以開啟其設定檔。
在群組的 [設定檔] 頁面上,選取 [動態成員資格規則]。 規則產生器最多可支援五個運算式。 若要加入五個以上的運算式,則必須使用文字輸入框。
針對成員資格規則,查看可用的自訂延伸模組屬性:
- 選取 [取得自訂延伸模組屬性]。
- 輸入應用程式識別碼,然後選取 [重新整理屬性]。
更新規則之後,請選取 [儲存]。
開啟或關閉歡迎電子郵件
建立新的 Microsoft 365 群組之後,系統對新增至群組的使用者傳送歡迎電子郵件通知。 之後,如果使用者或裝置 (僅限安全性群組) 的任何屬性變更,組織中的所有動態群組規則就會進行處理,以因應成員資格變更。 新增的使用者隨後也會收到歡迎通知。 您可以在 Exchange PowerShell 中關閉此行為。
檢查規則的處理狀態
您可以在群組的 [概觀] 頁面上看到動態規則處理狀態和成員資格變更日期。
可能會針對動態規則處理狀態顯示下列狀態訊息:
- 評估中:已收到群組變更,而且正在評估更新。
- 處理中:正在處理更新。
- 更新完成:處理已完成,並已建立所有適用的更新。
- 處理錯誤:因為評估成員資格規則時發生錯誤,無法完成處理。
- 已暫停更新:系統管理員已暫停動態成員資格規則更新。 MembershipRuleProcessingState 設定為「已暫停」。
注意
在此畫面中,您現在也可以選擇 [暫停處理]。 先前,此選項只能透過修改 membershipRuleProcessingState 屬性來使用。 全域系統管理員、群組管理員、使用者系統管理員和Intune管理員可以管理此設定,並可暫停和繼續動態群組處理。 沒有正確角色的群組擁有者沒有編輯此設定所需的許可權。
可能會針對成員資格上次變更狀態顯示下列狀態訊息:
- <日期和時間>:上次更新成員資格的時間。
- 進行中:目前正在更新。
- 未知:無法擷取上次更新時間。 群組可能是新的。
如果處理特定群組的成員資格規則時發生錯誤,則會在群組的 [概觀] 頁面頂端顯示警示。 如果 24 小時內無法處理組織內所有群組的暫止動態成員資格更新,則會在 [所有群組] 頂端顯示警示。
下一步
下列文章提供有關如何在 Azure Active Directory 中使用群組的其他資訊。