Microsoft Entra ID 的动态组中的组成员身份

Microsoft Entra ID 中的此功能预览版使管理员能够创建动态组和管理单元，通过使用 memberOf 属性添加其他组的成员来填充这些组和管理单元。 以前在 Microsoft Entra ID 中无法读取基于组的成员身份的应用现在可以读取这些新 memberOf 组的整个成员身份。 这些组不仅可以用于应用，还可以用于许可分配。

下图演示了如何使用 Security-Group-X 和 Security-Group-Y 的成员创建 Dynamic-Group-A。 Security-Group-X 和 Security-Group-Y 内的组成员不会成为 Dynamic-Group-A 的成员。

借助此预览版，管理员可以在 Azure 门户、Microsoft Graph 和 PowerShell 中使用 memberOf 属性配置动态组。 安全组、Microsoft 365 组、从本地 Active Directory 同步的组都可以添加为这些动态组的成员， 并且都可以添加到单个组中。 例如，动态组可以是安全组，但你可以使用 Microsoft 365 组、安全组以及从本地同步的组来定义其成员身份。

先决条件

你必须至少是用户管理员才能使用 memberOf 属性创建 Microsoft Entra 动态组。 必须具有 Microsoft Entra 租户的 Microsoft Entra ID P1 或 P2 许可证。

预览版限制

• 每个 Microsoft Entra 租户最多只能使用 memberOf 属性创建 500 个动态组。 memberOf 组计入 15,000 的总动态组成员配额。
• 每个动态组最多可以有 50 个成员组。
• 将安全组的成员添加到 memberOf 动态组时，只有安全组的直接成员成为动态组的成员。
• 不能使用一个 memberOf 动态组来定义另一个 memberOf 动态组的成员身份。 例如，包含组 B 和 C 的成员的动态组 A 不能成为动态组 D 的成员。
• 该 memberOf 属性不能与其他规则一起使用。 例如，如果一个规则指定动态组 A 应包含组 B 的成员并且还应仅包含雷德蒙的用户，则该规则将失败。
• 动态组规则生成器和验证功能目前不能用于 memberOf。
• 该 memberOf 属性不能与其他运算符一起使用。 例如，不能创建以下这样的规则：指定“组 A 的成员不能位于动态组 B 中”。

开始使用

此功能可在 Azure 门户、Microsoft Graph 和 PowerShell 中使用。 由于规则生成器中尚不支持 memberOf，因此必须在规则编辑器中输入规则。

创建 memberOf 动态组

1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“组”>“所有组”。
3. 选择新建组。
4. 填入组详细信息。 组类型可以是“安全”或“Microsoft 365”，成员身份类型可以设置为“动态用户”或“动态设备”。
5. 选择“添加动态查询”。
6. 规则生成器尚不支持 MemberOf。 选择“编辑”以在“规则语法”框中写入规则。
   1. 用户规则示例：user.memberof -any (group.objectId -in ['groupId', 'groupId'])
   2. 设备规则示例：device.memberof -any (group.objectId -in ['groupId', 'groupId'])
7. 选择“确定”。
8. 选择“创建组”。