Microsoft Entra ID 的动态组中的组成员身份

Microsoft Entra ID 中的此功能预览版使管理员能够创建动态组和管理单元，通过使用 memberOf 属性添加其他组的成员来填充这些组和管理单元。 以前在 Microsoft Entra ID 中无法读取基于组的成员身份的应用现在可以读取这些新 memberOf 组的整个成员身份。 这些组不仅可以用于应用，还可以用于许可分配。

下图演示了如何使用 Security-Group-X 和 Security-Group-Y 的成员创建 Dynamic-Group-A。 Security-Group-X 和 Security-Group-Y 内的组成员不会成为 Dynamic-Group-A 的成员。

借助此预览版，管理员可以在 Azure 门户、Microsoft Graph 和 PowerShell 中使用 memberOf 属性配置动态组。 安全组、Microsoft 365 组、从本地 Active Directory 同步的组都可以添加为这些动态组的成员， 并且都可以添加到单个组中。 例如，动态组可以是安全组，但你可以使用 Microsoft 365 组、安全组以及从本地同步的组来定义其成员身份。

先决条件

只有全局管理员、Intune 管理员或用户管理员角色中的管理员才能使用 memberOf 属性创建 Microsoft Entra 动态组。 必须具有 Microsoft Entra 租户的 Microsoft Entra ID P1 或 P2 许可证。

预览版限制

• 每个 Microsoft Entra 租户最多只能使用 memberOf 属性创建 500 个动态组。 memberOf 组计入 15,000 的总动态组成员配额。
• 每个动态组最多可以有 50 个成员组。
• 将安全组的成员添加到 memberOf 动态组时，只有安全组的直接成员成为动态组的成员。
• 不能使用一个 memberOf 动态组来定义另一个 memberOf 动态组的成员身份。 例如，包含组 B 和 C 的成员的动态组 A 不能成为动态组 D 的成员。
• 该 memberOf 属性不能与其他规则一起使用。 例如，如果一个规则指定动态组 A 应包含组 B 的成员并且还应仅包含雷德蒙的用户，则该规则将失败。
• 动态组规则生成器和验证功能目前不能用于 memberOf。
• 该 memberOf 属性不能与其他运算符一起使用。 例如，不能创建以下这样的规则：指定“组 A 的成员不能位于动态组 B 中”。

开始使用

此功能可在 Azure 门户、Microsoft Graph 和 PowerShell 中使用。 由于规则生成器中尚不支持 memberOf，因此必须在规则编辑器中输入规则。

创建 memberOf 动态组

1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“组”>“所有组”。
3. 选择新建组。
4. 填入组详细信息。 组类型可以是“安全”或“Microsoft 365”，成员身份类型可以设置为“动态用户”或“动态设备”。
5. 选择“添加动态查询”。
6. 规则生成器尚不支持 MemberOf。 选择“编辑”以在“规则语法”框中写入规则。
   1. 用户规则示例：user.memberof -any (group.objectId -in ['groupId', 'groupId'])
   2. 设备规则示例：device.memberof -any (group.objectId -in ['groupId', 'groupId'])
7. 选择“确定”。
8. 选择“创建组”。